Алгоритм Ленстры — Ленстры — Ловаса ( ЛЛЛ-алгоритм , LLL-алгоритм ) — алгоритм , разработанный Арьеном Ленстрой , Хендриком Ленстрой и Ласло Ловасом в 1982 году . За полиномиальное время алгоритм преобразует базис на решётке (подгруппе ${\displaystyle \mathbb {R} ^{n}}$ ) в кратчайший почти ортогональный базис на этой же решётке. По состоянию на 2019 год алгоритм Ленстры — Ленстры — Ловаса является одним из самых эффективных для вычисления редуцированного базиса в решётках больших размерностей . Он актуален прежде всего в задачах, сводящихся к поиску кратчайшего вектора решётки.

История

Алгоритм был разработан голландскими математиками Арьеном Ленстрой и Хендриком Ленстрой совместно с венгерским математиком Ласло Ловасом в 1982 году .

Основной предпосылкой для создания ЛЛЛ-алгоритма послужило то, что процесс Грама ― Шмидта работает только с векторами, компоненты которых являются вещественными числами . Для векторного пространства ${\displaystyle \mathbb {R} ^{n}}$ процесс Грама ― Шмидта позволяет преобразовать произвольный базис в ортонормированный («идеал», к которому стремится ЛЛЛ-алгоритм). Но процесс Грама ― Шмидта не гарантирует того, что на выходе каждый из векторов будет целочисленной линейной комбинацией исходного базиса. Таким образом, полученный в результате набор векторов может и не являться базисом исходной решётки. Это привело к необходимости создания специального алгоритма для работы с решётками .

Изначально алгоритм использовался для факторизации многочленов с целыми коэффициентами , вычисления диофантовых приближений вещественных чисел и для решения задач линейного программирования в пространствах фиксированной размерности , а впоследствии и для криптоанализа .

Редукция базиса

Решётка в евклидовом пространстве — это подгруппа группы ${\displaystyle (\mathbb {R} ^{n},+)}$ , порожденная ${\displaystyle d}$ линейно независимыми векторами из ${\displaystyle \mathbb {R} ^{n}}$ , называемыми базисом решётки. Любой вектор решётки может быть представлен целочисленной линейной комбинацией базисных векторов . Базис решётки определяется неоднозначно: на рисунке изображены два различных базиса одной и той же решётки.

Редукция базиса заключается в приведении к особому виду, удовлетворяющему некоторым свойствам. Редуцированный базис должен быть, по возможности, наиболее коротким среди всех базисов решётки и близким к ортогональному (что выражается в том, что итоговые коэффициенты Грама — Шмидта должны быть не больше ${\displaystyle 1/2}$ ) .

Пусть в результате преобразования базиса ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\}}$ с помощью процесса Грама ― Шмидта получен базис ${\displaystyle \mathbf {B} ^{*}=\{\mathbf {b} _{1}^{*},\mathbf {b} _{2}^{*},\dots ,\mathbf {b} _{d}^{*}\}}$ , с коэффициентами Грама — Шмидта, определяемыми следующим образом:

${\textstyle \mu _{i,j}={\frac {\langle \mathbf {b} _{i},\mathbf {b} _{j}^{*}\rangle }{\langle \mathbf {b} _{j}^{*},\mathbf {b} _{j}^{*}\rangle }}}$ , для всех ${\displaystyle j,i}$ таких, что ${\displaystyle 1\leqslant j<i\leqslant d}$ .

Тогда (упорядоченный) базис ${\displaystyle \mathbf {B} }$ называется ${\displaystyle \delta }$ -ЛЛЛ-редуцированным базисом (где параметр ${\displaystyle \delta }$ находится в промежутке ${\textstyle (0.25,1]}$ ), если он удовлетворяет следующим свойствам :

1. Для всех ${\displaystyle i,j}$ таких, что ${\displaystyle 1\leqslant j<i\leqslant d\colon \left|\mu _{i,j}\right|\leqslant 0{,}5}$ . (условие уменьшения размера)
2. Для ${\displaystyle k=1,2,\dots ,d}$ имеет место: ${\displaystyle (\delta -\mu _{k,k-1}^{2})\|\mathbf {b} _{k-1}^{*}\|^{2}\leqslant \|\mathbf {b} _{k}^{*}\|^{2}}$ . (условие Ловаса)

Здесь ${\displaystyle \|\mathbf {b} \|}$ — норма вектора , ${\displaystyle \langle \mathbf {b} _{i},\mathbf {b} _{j}^{*}\rangle }$ — cкалярное произведение векторов.

Изначально Ленстра, Ленстра и Ловас в своей статье продемонстрировали работу алгоритма для параметра ${\textstyle \delta ={\frac {3}{4}}}$ . Несмотря на то что алгоритм остаётся корректным и для ${\displaystyle \delta =1}$ , его работа за полиномиальное время гарантируется только для ${\displaystyle \delta }$ в промежутке ${\displaystyle (0.25,1)}$ .

Свойства редуцированного базиса

Пусть ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\}}$ — сокращённый алгоритмом ЛЛЛ с параметром ${\displaystyle \delta }$ базис на решётке ${\displaystyle {\mathcal {L}}}$ . Из определения такого базиса можно получить несколько свойств ${\displaystyle \mathbf {B} }$ . Пусть ${\displaystyle \lambda _{1}({\mathcal {L}})}$ — норма кратчайшего вектора решётки, тогда:

1. Первый вектор базиса не может быть значительно длиннее кратчайшего ненулевого вектора :
   ${\textstyle \|\mathbf {b} _{1}\|\leqslant \left({\frac {2}{\sqrt {4\delta -1}}}\right)^{d-1}\cdot \lambda _{1}({\mathcal {L}})}$ . В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle \|\mathbf {b} _{1}\|\leqslant 2^{(d-1)/2}\cdot \lambda _{1}({\mathcal {L}})}$ .
2. Первый вектор базиса ограничен определителем решётки :
   ${\textstyle \|\mathbf {b} _{1}\|\leqslant \left({\frac {2}{\sqrt {4\delta -1}}}\right)^{(d-1)/2}\cdot \det({\mathcal {L}})^{1/d}}$ . В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle \|\mathbf {b} _{1}\|\leqslant 2^{(d-1)/4}\cdot (\det {\mathcal {L}})^{1/d}}$ .
3. Произведение норм векторов не может быть сильно больше определителя решётки:
   ${\textstyle \prod _{i=1}^{d}\|\mathbf {b} _{i}\|\leqslant \left({\frac {2}{\sqrt {4\delta -1}}}\right)^{d(d-1)/2}\cdot \det({\mathcal {L}})}$ . В частности, ${\displaystyle \prod _{i=1}^{d}\|\mathbf {b} _{i}\|\leqslant 2^{d(d-1)/4}\cdot \det({\mathcal {L}})}$ для ${\displaystyle \delta =3/4}$ .

Базис, преобразованный методом ЛЛЛ, почти самый короткий из всех возможных, в том смысле, что существуют абсолютные границы ${\displaystyle c_{i}>1}$ такие, что первый базисный вектор не более чем в ${\displaystyle c_{1}}$ раз длиннее самого короткого вектора решётки, аналогично, второй вектор базиса не более чем в ${\displaystyle c_{2}}$ раз превосходит второй кратчайший вектор решётки и так далее (что прямо следует из свойства 1) .

Алгоритм

Входные данные :

базис решётки ${\displaystyle \mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\in \displaystyle \mathbb {R} ^{3}}$ (состоит из линейно независимых векторов),

параметр ${\displaystyle \delta }$ c ${\textstyle {\frac {1}{4}}<\delta <1}$ , чаще всего ${\textstyle \delta ={\frac {3}{4}}}$ (выбор параметра зависит от конкретной задачи).

Последовательность действий :

В алгоритме ${\displaystyle \lfloor \mu _{k,j}\rceil }$ — округление по правилам математики. Процесс алгоритма, описанный на псевдокоде :

  ortho ${\displaystyle :=\mathrm {gramSchmidt} (\{\mathbf {b} _{1},\dots ,\mathbf {b} _{d}\})=\{\mathbf {b} _{1}^{*},\dots ,\mathbf {b} _{d}^{*}\}}$ 
  (выполнить процесс Грама — Шмидта без нормировки);
  определить ${\textstyle \mu _{k,j}:={\frac {\langle \mathbf {b} _{k},\mathbf {b} _{j}^{*}\rangle }{\langle \mathbf {b} _{j}^{*},\mathbf {b} _{j}^{*}\rangle }}}$, всегда подразумевая наиболее актуальные значения ${\displaystyle \mathbf {b} _{k},\mathbf {b} _{j}^{*}}$
  присвоить ${\displaystyle k=2}$
  пока ${\displaystyle k\leqslant d}$:
    для j от ${\displaystyle k-1}$ до 0:
       если ${\textstyle |\mu _{k,j}|>{\frac {1}{2}}}$, то:
          ${\displaystyle \mathbf {b} _{k}=\mathbf {b} _{k}-\lfloor \mu _{k,j}\rceil \mathbf {b} _{j}}$;
          Обновить значения ${\displaystyle |\mu _{k,j}|}$ для ${\displaystyle j<k}$;
       конец условия;
    конец цикла;
    если ${\textstyle (\delta -\mu _{k,k-1}^{2})\|\mathbf {b} _{k-1}^{*}\|^{2}\leqslant \|\mathbf {b} _{k}^{*}\|^{2}}$, то:
       ${\displaystyle k=k+1}$
    иначе:
       поменять ${\displaystyle \mathbf {b} _{k}}$ и ${\displaystyle \mathbf {b} _{k-1}}$ местами;
       Обновить значения ${\displaystyle \mathbf {b} _{k}^{*},\mathbf {b} _{k-1}^{*},\langle \mathbf {b} _{k}^{*},\mathbf {b} _{k}^{*}\rangle ,\langle \mathbf {b} _{k-1}^{*},\mathbf {b} _{k-1}^{*}\rangle }$ для ${\displaystyle k>1}$; ${\displaystyle \mu _{k-1,j},\mu _{k,j}}$ для ${\displaystyle j<k}$;
       ${\displaystyle k=\max(k-1,1)}$;
    конец условия;
  конец цикла.

Выходные данные: редуцированный базис: ${\displaystyle \mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}}$ .

Вычислительная сложность

На входе имеется базис ${\displaystyle n}$ -мерных векторов ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\}}$ с ${\displaystyle \ d\leqslant n}$ .

Если вектора базиса состоят из целочисленных компонент, алгоритм приближает кратчайший почти ортогональный базис за полиномиальное время ${\displaystyle O(d^{5}n\log ^{3}B)}$ , где ${\displaystyle B}$ — максимальная длина ${\displaystyle \mathbf {b} _{i}}$ по евклидовой норме , то есть ${\displaystyle B=\max \left(\|\mathbf {b} _{1}\|_{2},\|\mathbf {b} _{2}\|_{2},...,\|\mathbf {b} _{d}\|_{2}\right)}$ . Основной цикл алгоритма ЛЛЛ требует ${\displaystyle O(d^{2}\log B)}$ итераций и работает с числами длины ${\displaystyle O(d\log B)}$ . Так как на каждой итерации происходит обработка ${\displaystyle d}$ векторов длины ${\displaystyle n}$ , в итоге алгоритм требует ${\displaystyle O(d^{3}n\log ^{3}B)}$ арифметических операций. Применение наивных алгоритмов сложения и умножения целых чисел даёт в итоге ${\displaystyle O(d^{5}n\log ^{3}B)}$ битовых операций .

В случае, когда у решётки задан базис с рациональными компонентами, эти рациональные числа сначала необходимо преобразовать в целые путем умножения базисных векторов на знаменатели их компонент (множество знаменателей ограничено некоторым целым числом ${\displaystyle X}$ ). Но тогда операции будут производиться уже над целыми числами, не превышающими ${\displaystyle X^{nd}}$ . В итоге будет максимум ${\displaystyle O(d^{8}n^{4}\log ^{3}X)}$ битовых операций . Для случая, когда решётка задана в ${\displaystyle \mathbb {R} ^{n}}$ , сложность алгоритма остается такой же, но увеличивается количество битовых операций. Так как в компьютерном представлении любое вещественное число заменяется рациональным в силу ограниченности битового представления, полученная оценка верна и для вещественных решёток .

В то же время для размерностей меньше чем 4 задача редукции базиса более эффективно решается .

Пример

Пример, приводимый Вибом Босмой .

Пусть базис решётки ${\displaystyle \mathbf {b} _{1},\mathbf {b} _{2},\mathbf {b} _{3}\in \displaystyle \mathbb {Z} ^{3}}$ (как подгруппа ${\displaystyle (\mathbb {R} ^{n},+)}$ ), задан столбцами матрицы:

${\displaystyle {\begin{bmatrix}1&-1&3\\1&0&5\\1&2&6\end{bmatrix}}}$

По ходу алгоритма получается следующее:

Выходные данные: базис, редуцированный методом Ленстры — Ленстры — Ловаса:

${\displaystyle {\begin{bmatrix}0&1&-1\\1&0&0\\0&1&2\end{bmatrix}}}$

Применение

Алгоритм часто применяется в рамках метода MIMO (пространственное кодирования сигнала) для декодирования сигналов, полученных несколькими антеннами , и в криптосистемах с открытым ключом : , RSA с конкретными настройками, NTRUEncrypt и так далее. Алгоритм может быть использован для нахождения целых решений в разных задачах теории чисел, в частности для поиска корней многочлена в целых числах .

В процессе атак на криптосистемы с открытым ключом ( NTRU ) алгоритм используется для поиска кратчайшего вектора решётки, так как алгоритм в результате находит целый набор кратчайших векторов .

В криптоанализе задача, так же как в случае с NTRU, сводится к поиску кратчайшего вектора базиса решётки, который находится за полиномиальное (от размерности базиса) время .

В задачах о ранце, в частности, для атаки на криптосистемe Меркла — Хеллмана алгоритм ЛЛЛ ищет редуцированный базис решётки .

Вариации и обобщения

Использование арифметики на числах с плавающей запятой вместо точного представления рациональных чисел может значительно ускорить работу ЛЛЛ-алгоритма ценой совсем небольших численных ошибок .

Реализации алгоритма

Программно алгоритм реализован в следующем программном обеспечении:

• В как автономная реализация ;
• В GAP как функция LLLReducedBasis ;
• В как функция LLL в библиотеке LLLBases ;
• В как функции LLL и LLLGram ;
• В Maple как функция IntegerRelations[LLL] ;
• В Mathematica как функция LatticeReduce ;
• В как модуль LLL ;
• В как функция qflll ;
• В как функция analysis.get_lll_reduced_lattice ;
• В SageMath как метод LLL , реализованный в fpLLL и NTL .

Примечания

Литература

• Huguette, Napias. // J. The. Nombr. Bordeaux. — 1996. — doi : .
• Cohen, Henri. A course in computational algebraic number theory (англ.) . — (англ.) ( , 2000. — Vol. 138. — (GTM). — ISBN 3-540-55640-0 .
• Borwein, Peter. (англ.) . — 2002. — ISBN 0-387-95444-9 .
• Hoffstein, Jeffrey; Pipher, Jill; Silverman, J.H. An Introduction to Mathematical Cryptography (англ.) . — (англ.) ( , 2008. — ISBN 978-0-387-77993-5 .
• Luk, Franklin T.; Qiao, Sanzheng. A pivoted LLL algorithm // Lin. Alg. Appl.. — 2011. — Т. 434 , № 11 . — С. 2296—2307 . — doi : .
• The LLL Algorithm : Survey and Applications / Ed. by Phong Q. Nguyen and Brigitte Vallée. — Springer, 2010. — ISBN 978-3-642-02295-1 . — doi : .
• Murray R. Bremner. Lattice Basis Reduction : An Introduction to the LLL Algorithm and Its Applications. — CRC Press, 2011. — ISBN 9781439807026 .