Алгоритм Ленстры — Ленстры — Ловаса: различия между версиями

Алгоритм Ленстра-Ленстра-Ловаса (ЛЛЛ) - алгоритм сокращения базиса решетки^[англ.], изобретенный Арьеном Ленстра, Хендриком Ленстра и Ласло Ловасом в 1982 году.^[1] Алгоритм является основой проведения манипуляций с базисами на решетках в евклидовом пространстве.

Имея на входе базис целочисленных n-мерных векторов ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\}}$, алгоритм, заданный на решетке (подгруппе Rⁿ ) с ${\displaystyle \ d\leq n}$, экспоненциально приближает кратчайший ортогональный базис на решётке за полиномиальное время

${\displaystyle O(d^{5}n\log ^{3}B)\,}$

где ${\displaystyle B}$ - максимальная длина ${\displaystyle \mathbf {b} _{i}}$ по Евклидовой норме, то есть ${\displaystyle B=max\left(||\mathbf {b} _{1}||_{2},||\mathbf {b} _{2}||_{2},...,||\mathbf {b} _{d}||_{2}\right)}$.^[2] Изначально, алгоритм ЛЛЛ, работая за полиномиальное время, использовался для факторизации многочленов с целыми коэффициентами, для одновременного приближения действительных чисел рациональными, и для решения задачи целочисленного линейного программирования в пространстве фиксированной размерности.

Базис, сокращенный методом ЛЛЛ

Описание исходных данных и работы ЛЛЛ следующее: Пусть дан базис

${\displaystyle \mathbf {B} =\{\mathbf {b} _{0},\mathbf {b} _{1},\dots ,\mathbf {b} _{n}\},}$

преобразованный с помощью процесса Грамма-Шмидта в ортогональный базис

${\displaystyle \mathbf {B} ^{*}=\{\mathbf {b} _{0}^{*},\mathbf {b} _{1}^{*},\dots ,\mathbf {b} _{n}^{*}\},}$

с коэффициентами Грамма-Шмидта, определяемыми следующим образом

${\displaystyle \mu _{i,j}={\frac {\langle \mathbf {b} _{i},\mathbf {b} _{j}^{*}\rangle }{\langle \mathbf {b} _{j}^{*},\mathbf {b} _{j}^{*}\rangle }}}$, для всех ${\displaystyle j,i}$ таких, что ${\displaystyle 1\leq j<i\leq n}$.

Таким образом (упорядоченный) базис ${\displaystyle B}$ называется сокращенным по методу ЛЛЛ базисом, если существует параметр ${\displaystyle \delta }$ из промежутка (0.25,1] такой, что выполняются условия:^[2]

1. (Условие сокращения размера) Для всех ${\displaystyle i,j}$ таких, что ${\displaystyle 1\leq j<i\leq n\colon \left|\mu _{i,j}\right|\leq 0.5}$. По определению это свойство гарантирует сокращение длины векторов упорядоченного базиса.
2. (Условие Ловаса) For k = 1,2,..,n ${\displaystyle \colon \delta \Vert \mathbf {b} _{k-1}^{*}\Vert ^{2}\leq \Vert \mathbf {b} _{k}^{*}\Vert ^{2}+\mu _{k,k-1}^{2}\Vert \mathbf {b} _{k-1}^{*}\Vert ^{2}}$.

Оценив значение параметра ${\displaystyle \delta }$, можно сказать насколько хорошо базис сокращен. Если значение параметра ${\displaystyle \delta }$ большое (но лежит в промежутке (0.25,1]), то базис сокращен достаточно. Изначально А. Ленстра, Х. Ленстра и Л. Ловас в своей статье продемонстрировали работу ЛЛЛ алгоритма для параметра ${\displaystyle \delta ={\frac {3}{4}}}$. Несмотря на то что алгоритм ЛЛЛ остается корректным и для ${\displaystyle \delta =1}$, его работа за полиномиальное время гарантируется только для ${\displaystyle \delta }$ в промежутке ${\displaystyle (0.25,1)}$.

Не существует алгоритма, который бы вычислял почти ортогональный базис с векторами наименьшей длины из возможных для базиса на решётке с размерностью более 4 за полиномиальное время.^[3] В то же время, базис, преобразованный методом ЛЛЛ, почти самый короткий из всех возможных, в том смысле, что существуют абсолютные границы ${\displaystyle c_{i}>1}$ такие, что первый базисный вектор не боле чем в ${\displaystyle c_{1}}$ раз длиннее чем самый короткий вектор решётки, аналогично, второй вектор базиса не более чем в ${\displaystyle c_{2}}$ раз превосходит второй кратчайший вектор решетки, и так далее.

Алгоритм ЛЛЛ

Следующее описание основано на (Hoffstein, Pipher & Silverman 2008, Теорема 6.68).^[4]

ВВОД:

${\displaystyle \triangleright }$ базис решетки ${\displaystyle b_{0},b_{1},\dots ,b_{n}\in Z^{m}}$,

${\displaystyle \triangleright }$ параметр ${\displaystyle \delta }$ c ${\displaystyle {\frac {1}{4}}<\delta <1}$, чаще всего ${\displaystyle \delta ={\frac {3}{4}}}$

ПРОЦЕСС:

   Выполнить процесса Грамма-Шмидта без нормировки:
   ${\displaystyle ortho:=\mathrm {gramSchmidt} (\{b_{0},\dots ,b_{n}\})=\{b_{0}^{*},\dots ,b_{n}^{*}\}}$
   Define ${\displaystyle \scriptstyle \mu _{i,j}:={\frac {\langle b_{i},b_{j}^{*}\rangle }{\langle b_{j}^{*},b_{j}^{*}\rangle }}}$, который должен всегда использовать самые последние значения ${\displaystyle \scriptstyle b_{i},b_{j}^{*}}$.
   Let ${\displaystyle k=1}$
   while ${\displaystyle k\leq n}$ do
       for j  from ${\displaystyle k-1}$ to 0 do
           if ${\displaystyle |\mu _{k,j}|>{\frac {1}{2}}}$ do
               ${\displaystyle b_{k}=b_{k}-\lfloor \mu _{k,j}\rceil b_{j}}$
               Обновить входные данные для ortho и все данные, зависящие от ${\displaystyle \scriptstyle \mu _{i,j}}$, если необходимо. 
               (Простой метод это пересчет ${\displaystyle \scriptstyle ortho:=\mathrm {gramSchmidt} (\{b_{0},\dots ,b_{n}\})=\{b_{0}^{*},\dots ,b_{n}^{*}\}}$ если ${\displaystyle \scriptstyle b_{i}}$ меняется.)
           end if
       end for
       if ${\displaystyle \langle b_{k}^{*},b_{k}^{*}\rangle \geq (\delta -(\mu _{k,k-1})^{2})\langle b_{k-1}^{*},b_{k-1}^{*}\rangle }$ then
           ${\displaystyle k=k+1}$
       else
           Поменять ${\displaystyle \scriptstyle b_{k}}$ и ${\displaystyle \scriptstyle b_{k-1}}$.
           Обновить входные данные для ortho и все данные, зависящие от ${\displaystyle \scriptstyle \mu _{i,j}}$, если необходимо. (См. выше комментарий.)
           ${\displaystyle k=\max(k-1,1)}$
       end if
   end while

ВЫВОД: Сокращенный методом ЛЛЛ базис: ${\displaystyle b_{0},b_{1},\dots ,b_{n}}$

Свойства уменьшенного базиса

Пусть ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{n}\}}$ - сокращенный по алгоритму ЛЛЛ с параметром ${\displaystyle \delta }$ базис на решётке ${\displaystyle {\mathcal {L}}}$. Из определения такого базиса можно получить несколько свойств ${\displaystyle \mathbf {B} }$.

1. Первый вектор базиса не может быть сильно больше кратчайшего ненулевого вектора: ${\displaystyle ||\mathbf {b} _{1}||\leq (2/({\sqrt {4\delta -1}}))^{n-1}\cdot \lambda _{1}({\mathcal {L}})}$. В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle ||\mathbf {b} _{1}||\leq 2^{(n-1)/2}\cdot \lambda _{1}({\mathcal {L}})}$.^[5]
2. Первый вектор базиса ограничен определителем решетки: ${\displaystyle ||\mathbf {b} _{1}||\leq (2/({\sqrt {4\delta -1}}))^{(n-1)/2}\cdot (\det({\mathcal {L}}))^{1/n}}$. В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle ||\mathbf {b} _{1}||\leq 2^{(n-1)/4}\cdot (\det({\mathcal {L}}))^{1/n}}$.^[2]
3. Произведение норм векторов не может быть сильно больше определителя решетки: положим ${\displaystyle \delta =3/4}$, тогда ${\displaystyle \prod _{i=1}^{n}||\mathbf {b} _{i}||\leq 2^{n(n-1)/4}\cdot \det({\mathcal {L}})}$.^[2]

Пример

Следующий пример основывается на тексте Босма В.^[6]

ВВОД:

Пусть базис решетки ${\displaystyle \mathbf {b} _{1},\mathbf {b} _{2},\mathbf {b} _{3}\in Z^{3}}$, задан столбцами матрицы:

${\displaystyle {\begin{bmatrix}1&-1&3\\1&0&5\\1&2&6\end{bmatrix}}}$

По ходу алгоритма ЛЛЛ получается следующее:

Применить замену, продолжить исполнение алгоритма с базисом решетки, который задан следующим образом

${\displaystyle {\begin{bmatrix}1&4&-1\\1&5&0\\1&4&2\end{bmatrix}}}$

Повторить шаги алгоритма.

ВЫВОД: базис, сокращенный методом ЛЛЛ

${\displaystyle {\begin{bmatrix}0&1&-1\\1&0&0\\0&1&2\end{bmatrix}}}$

Применение алгоритма

ЛЛЛ часто применяется в алгоритмах обнаружения MIMO ^[7] и криптосистемах с открытым ключем: криптосистемах, основанных на задаче о ранце^[англ.], RSA с конкретными настройками, NTRUEncrypt, и так далее. Алгоритм может быть использован для нахождения целочисленных решений в разных задачах.^[8]

В частности, алгоритм ЛЛЛ формирует ядро алгоритмов поиска целочисленных решений. К примеру, зная, что r = 1.618034 это (округленный) корень полинома, неизвестное квадратное уравнение с целыми коэффициентами получить с помощью алгоритма ЛЛЛ уменьшения базиса решетки в ${\displaystyle R^{4}}$, порожденной векторами ${\displaystyle [1,0,0,10000r^{2}],[0,1,0,10000r],}$ and ${\displaystyle [0,0,1,10000]}$. Первый вектор в уменьшенном базисе будет целочисленной линейной комбинацией трех данных, поэтому будет обязательно представим в виде ${\displaystyle [a,b,c,10000(ar^{2}+br+c)]}$; но такой вектор будет коротким, только если a, b, c достаточно маленькие и ${\displaystyle ar^{2}+br+c}$ еще меньше. Поэтому первые три координаты полученного короткого вектора с большой вероятностью будут коэффициентами целочисленного квадратного полинома, у которого один из корней - r. В этом примере алгоритм ЛЛЛ в качестве результата выводит вектор [1, -1, -1, 0.00025], и, действительно, у ${\displaystyle x^{2}-x-1}$ есть корень, равный золотому сечению, 1.6180339887....

Реализации алгоритма

ЛЛЛ реализован в следующих функциях и методах:

• Arageli как функция lll_reduction_int
• fpLLL как автономная реализация
• GAP как функция LLLReducedBasis
• Macaulay2^[англ.] as the function LLL в библиотеке LLLBases
• Magma^[англ.] как функции LLL и LLLGram
• Maple как функция IntegerRelations[LLL]
• Mathematica как функция LatticeReduce
• Number Theory Library (NTL) как функция LLL
• PARI/GP^[англ.] как функция qflll
• Pymatgen как функция analysis.get_lll_reduced_lattice
• SageMath как метод LLL, реализованный в fpLLL и NTL

См. также

• Теорема Копперсмита

Примечания

Литература

• Huguette, Napias. A generalization of the LLL algorithm over euclidean rings or orders // J. The. Nombr. Bordeaux. — 1996. — doi:10.5802/jtnb.176.
• Cohen, Henri. A course in computational algebraic number theory. — Springer, 2000. — Vol. 138. — ISBN 3-540-55640-0.
• Borwein, Peter. Computational Excursions in Analysis and Number Theory. — 2002. — ISBN 0-387-95444-9.
• Luk, Franklin T.; Qiao, Sanzheng (2011). "A pivoted LLL algorithm". Lin. Alg. Appl. 434 (11): 2296—2307. doi:10.1016/j.laa.2010.04.003.
• Hoffstein, Jeffrey. An Introduction to Mathematical Cryptography / Jeffrey Hoffstein, Jill Pipher, J.H. Silverman. — Springer, 2008. — ISBN 978-0-387-77993-5.