2025-11-16T18:13:19.971421

Effective module lattices and their shortest vectors

Gargava, Serban, Viazovska et al.
We prove tight probabilistic bounds for the shortest vectors in module lattices over number fields using the results of arXiv:2308.15275. Moreover, establishing asymptotic formulae for counts of fixed rank matrices with algebraic integer entries and bounded Euclidean length, we prove an approximate Rogers integral formula for discrete sets of module lattices obtained from lifts of algebraic codes. This in turn implies that the moment estimates of arXiv:2308.15275 as well as the aforementioned bounds on the shortest vector also carry through for large enough discrete sets of module lattices.
academic

Réseaux de modules effectifs et leurs vecteurs les plus courts

Informations fondamentales

  • ID de l'article : 2402.10305
  • Titre : Effective module lattices and their shortest vectors
  • Auteurs : Nihar Gargava, Vlad Serban, Maryna Viazovska, Ilaria Viglino
  • Classification : math.NT (théorie des nombres), cs.IT (théorie de l'information), math.IT (mathématiques de l'information)
  • Date de publication : Prépublication arXiv, soumis en février 2024, mis à jour en octobre 2025
  • Lien de l'article : https://arxiv.org/abs/2402.10305v2

Résumé

Cet article utilise les résultats des travaux antérieurs 1 pour établir des bornes probabilistes strictes sur les vecteurs les plus courts des réseaux de modules sur les corps de nombres. De plus, en établissant des formules asymptotiques pour le dénombrement de matrices de rang fixe avec éléments entiers algébriques et longueur euclidienne bornée, les auteurs démontrent une formule approchée de Rogers pour les ensembles discrets de réseaux de modules obtenus par relèvement de codes algébriques. Cela implique que les estimations de moments de 1 et les bornes de vecteurs les plus courts mentionnées ci-dessus s'appliquent également aux ensembles discrets de réseaux de modules suffisamment grands.

Contexte et motivation de la recherche

Contexte du problème

  1. Problème central en cryptographie sur réseaux : Le problème du vecteur le plus court (SVP) est central en cryptographie sur réseaux, cherchant à déterminer la longueur du vecteur non nul le plus court dans un réseau. L'existence d'algorithmes rapides reste une question ouverte, avec des défis publics invitant les chercheurs à soumettre des algorithmes.
  2. Résultats connus pour les réseaux aléatoires : Pour les réseaux aléatoires de Haar, le Théorème 1 donne une prédiction précise de la longueur du vecteur le plus court : 1loglogddλ1(Λ)γ(d)1+loglogdd1-\frac{\log\log d}{d} \leq \frac{\lambda_1(\Lambda)}{\gamma(d)} \leq 1+\frac{\log\log d}{d}γ(d)d2πe\gamma(d) \approx \sqrt{\frac{d}{2\pi e}} est le rayon de la boule unité de volume dd-dimensionnelle.
  3. Spécificité des réseaux de modules : Les réseaux de modules sont des réseaux dotés d'une structure algébrique supplémentaire, largement utilisés dans les implémentations cryptographiques efficaces, comme le problème d'apprentissage avec erreurs sur anneaux (Ring-LWE) et le problème des entiers courts (SIS).
  4. Défis de recherche : Établir des estimations asymptotiques similaires au Théorème 1 pour les réseaux de modules est plus difficile, car cela nécessite de comprendre le comportement lorsque le degré du corps de nombres augmente.

Contributions principales

  1. Bornes probabilistes pour les vecteurs les plus courts des réseaux de modules : Démonstration de bornes probabilistes strictes similaires à celles des réseaux aléatoires pour les réseaux de modules de rang tt lorsque t27t \geq 27 (Théorème 3).
  2. Formule effective de Rogers : Établissement d'une formule approchée de Rogers pour les ensembles discrets de réseaux de modules construits par relèvement de codes algébriques (Théorème 15).
  3. Formule asymptotique pour le dénombrement de matrices : Généralisation des résultats de Katznelson aux corps de nombres généraux, donnant une formule asymptotique pour le dénombrement de matrices de rang fixe (Théorème 4).
  4. Pont entre théorie et pratique : Démonstration que les résultats théoriques s'appliquent également aux constructions effectives provenant de codes algébriques, avec des implications pour le calcul et la théorie du codage.

Détails des méthodes

Définition de la tâche

Étude de la distribution probabiliste de la longueur du vecteur le plus court λ1(Λ)\lambda_1(\Lambda) dans les réseaux de modules ΛKtR\Lambda \subseteq K^t \otimes \mathbb{R} de rang tt sur un corps de nombres KK, en particulier le comportement asymptotique lorsque le degré du corps de nombres augmente.

Cadre théorique fondamental

1. Espace des modules des réseaux de modules

Les réseaux de modules sont définis pour (g,M)(g,M), où gGLt(KR)g \in GL_t(K \otimes \mathbb{R}), MKtM \subseteq K^t est un OKO_K-module de type fini, satisfaisant : vol(KtR/(g1M))=1\text{vol}(K^t \otimes \mathbb{R}/(g^{-1} \cdot M)) = 1

Équipé du produit scalaire : x,y=ΔK2degKtr(xyˉ)\langle x,y \rangle = |\Delta_K|^{-\frac{2}{\deg K}} \text{tr}(x\bar{y})

2. Classification par classes de Steinitz

Chaque réseau de modules possède une classe de Steinitz [Λ]cl(K)[\Lambda] \in \text{cl}(K), donnée par les classes d'idéaux fractionnaires : [Λ]=[I]cl(K)[\Lambda] = [I] \in \text{cl}(K)II est engendré par tous les déterminants des tt-uplets de vecteurs dans MM.

3. Construction par relèvement de codes algébriques

Pour un idéal premier non ramifié POKP \subseteq O_K et une dimension ss, on définit : L(P,s)={βπP1(S)SkPt est un sous-espace s-dimensionnel de kP}L(P,s) = \{\beta\pi_P^{-1}(S) | S \subseteq k_P^t \text{ est un sous-espace } s\text{-dimensionnel de } k_P\}β=N(P)(1st)1[K:Q]\beta = N(P)^{-(1-\frac{s}{t})\frac{1}{[K:\mathbb{Q}]}} assure un covolume unitaire.

Points techniques innovants

1. Effectivisation de la formule intégrale de Rogers

La technique clé consiste à démontrer que pour N(P)N(P) suffisamment grand : 1#L(P,s)ΛL(P,s)(vΛng(v))m=0nDMm×n(K)rk(D)=mD forme eˊchelonneˊe reˊduiteD(D)txKRt×mg(xD)dx\frac{1}{\#L(P,s)} \sum_{\Lambda \in L(P,s)} \left(\sum_{v \in \Lambda^n} g(v)\right) \to \sum_{m=0}^n \sum_{\substack{D \in M_{m \times n}(K) \\ \text{rk}(D)=m \\ D \text{ forme échelonnée réduite}}} \mathcal{D}(D)^{-t} \int_{x \in K_R^{t \times m}} g(xD)dx

2. Traitement du phénomène de chute de rang

Le Lemme 13 traite le problème critique de la chute de rang : lorsque xMt×n(OK)x \in M_{t \times n}(O_K) satisfait rk(πP(x))<rk(x)\text{rk}(\pi_P(x)) < \text{rk}(x), on a : xCN(P)1m[K:Q]\|x\| \geq C N(P)^{\frac{1}{m[K:\mathbb{Q}]}}

Cela garantit que pour N(P)N(P) suffisamment grand, les matrices avec chute de rang sont repoussées en dehors du support de la fonction gg.

3. Analyse fine du dénombrement de matrices

La Proposition 19 établit l'estimation asymptotique clé : AMt×n(OK)rk(A)=mg(βA)βmtdDRm,n(K)1D(D)tMt×m(KR)g(xD)dxβδ\left|\sum_{\substack{A \in M_{t \times n}(O_K) \\ \text{rk}(A)=m}} g(\beta A)\beta^{mtd} - \sum_{D \in R_{m,n}(K)} \frac{1}{\mathcal{D}(D)^t} \int_{M_{t \times m}(K_R)} g(xD)dx\right| \ll \beta^\delta

Configuration expérimentale

Cadre de vérification théorique

Cet article est principalement un travail théorique, mais fournit les vérifications suivantes :

  1. Choix des corps de nombres : Considération principale des corps cyclotomiques K=Q(μk)K = \mathbb{Q}(\mu_k), car ils satisfont la propriété de Bogomolov.
  2. Plages de paramètres :
    • Rang t27t \geq 27 (limitation technique, potentiellement non optimale)
    • Dimension ss satisfaisant 1st<1n1-\frac{s}{t} < \frac{1}{n}
  3. Régime asymptotique : Considération du comportement lorsque kk \to \infty, correspondant au degré d=ϕ(k)d = \phi(k) \to \infty.

Résultats expérimentaux

Résultats principaux

Théorème 3 (Bornes pour les vecteurs les plus courts des réseaux de modules)

Pour t27t \geq 27 fixé, corps cyclotomique K=Q(μk)K = \mathbb{Q}(\mu_k), d=tdegK=tϕ(k)d = t \cdot \deg K = t\phi(k), réseau de modules aléatoire de Haar ΛKtR\Lambda \subseteq K^t \otimes \mathbb{R} de covolume unitaire satisfait :

Lorsque kk \to \infty, avec probabilité 1o(1)1-o(1) : 1loglogkdk1dλ1(Λ)γ(d)1+loglogkd1-\frac{\log\log k}{d} \leq \frac{k^{-\frac{1}{d}}\lambda_1(\Lambda)}{\gamma(d)} \leq 1+\frac{\log\log k}{d}

Théorème 4 (Formule asymptotique pour le dénombrement de matrices)

Pour mn<tm \leq n < t, soit N(T;m,n,t,K)N(T;m,n,t,K) le nombre de matrices n×tn \times t de rang mm avec coefficients dans OKO_K et chaque élément de norme bornée par TT, alors : N(T;m,n,t,K)=CTmtdegK+O(TmtdegK1+ε)N(T;m,n,t,K) = C \cdot T^{mt \deg K} + O(T^{mt \deg K - 1 + \varepsilon})

Résultats d'estimations de moments

Théorème 38 (Estimations de moments générales)

Pour la classe de corps de nombres SS satisfaisant la propriété de Bogomolov, il existe des constantes explicites telles que les moments d'ordre nn satisfont : ωKnmn(VωK)E[(#BΛ{0})n]ωKnmn(VωK)+En,t,K(V+1)n1\omega_K^n \cdot m_n\left(\frac{V}{\omega_K}\right) \leq \mathbb{E}[(\#B \cap \Lambda \setminus \{0\})^n] \leq \omega_K^n \cdot m_n\left(\frac{V}{\omega_K}\right) + E_{n,t,K} \cdot (V+1)^{n-1}

où le terme d'erreur En,t,KC(td)(n2)/2ωKn2/4Z(K,t,n)eεd(tt0)E_{n,t,K} \leq C \cdot (td)^{(n-2)/2} \cdot \omega_K^{n^2/4} \cdot Z(K,t,n) \cdot e^{-\varepsilon \cdot d(t-t_0)}.

Proposition 39 (Résultats exacts pour les moments d'ordre deux)

Pour les corps cyclotomiques Ki=Q(ζki)K_i = \mathbb{Q}(\zeta_{k_i}), t27t \geq 27, boule BB de volume VV : V2+VkiE[(#BΛ{0})2]V2+Vki(1+Ceεdi(tt0))V^2 + V \cdot k_i \leq \mathbb{E}[(\#B \cap \Lambda \setminus \{0\})^2] \leq V^2 + V \cdot k_i \cdot (1 + C \cdot e^{-\varepsilon \cdot d_i(t-t_0)})

Travaux connexes

Résultats classiques

  1. Rogers (1947) : Première considération d'une version effective du théorème de valeur moyenne de Siegel
  2. Katznelson (1994) : Dénombrement de matrices de rang fixe sur Q\mathbb{Q}
  3. Schmidt (1967) : Estimations de hauteur pour les sous-espaces algébriques

Développements modernes

  1. Algorithmes de réduction de réseaux : Analyse complète de l'algorithme BKZ
  2. Cryptographie sur réseaux de modules : Problèmes Ring-LWE et module-LWE
  3. Théorie de l'équidistribution : Équidistribution des points de Hecke

Positionnement de la contribution de cet article

Cet article généralise la formule intégrale classique de Rogers aux constructions effectives de réseaux de modules, établissant un pont entre la théorie et le calcul.

Conclusions et discussion

Conclusions principales

  1. Percée théorique : Première établissement de bornes probabilistes pour les vecteurs les plus courts des réseaux de modules similaires à celles des réseaux aléatoires
  2. Innovation méthodologique : Développement de nouvelles techniques pour traiter les relèvements de codes algébriques
  3. Valeur applicative : Fourniture d'une base théorique pour la cryptographie sur réseaux

Limitations

  1. Limitations techniques : La condition t27t \geq 27 peut ne pas être optimale, avec espace d'amélioration
  2. Restrictions sur les corps : Les résultats principaux concernent les corps de nombres satisfaisant la propriété de Bogomolov
  3. Complexité computationnelle : Les constantes dans les calculs pratiques peuvent être importantes

Directions futures

  1. Amélioration des bornes : Réduction de l'exigence sur tt à des valeurs plus pratiques (comme 3, 4, 5)
  2. Extension des classes de corps : Considération de corps de nombres plus généraux
  3. Applications algorithmiques : Conversion des résultats théoriques en algorithmes pratiques de réduction de réseaux

Évaluation approfondie

Points forts

  1. Profondeur technique : Traitement ingénieux des difficultés techniques comme la chute de rang
  2. Complétude théorique : Établissement d'un cadre complet allant de la théorie à l'application
  3. Innovativité : Première effectivisation de la formule intégrale de Rogers pour les réseaux de modules
  4. Utilité pratique : Fourniture d'outils théoriques importants pour la cryptographie sur réseaux

Insuffisances

  1. Restrictions paramétriques : L'exigence t27t \geq 27 peut être trop forte pour les applications pratiques
  2. Complexité des preuves : Les preuves techniques sont complexes, avec lisibilité à améliorer
  3. Vérification numérique : Absence d'expériences numériques concrètes validant les résultats théoriques

Portée d'impact

  1. Contribution théorique : Progrès important pour la théorie des réseaux de modules
  2. Perspectives d'application : Importance significative pour la cryptographie sur réseaux et la théorie du codage
  3. Valeur méthodologique : Les techniques développées peuvent s'appliquer à d'autres problèmes connexes

Domaines d'application

  1. Cryptographie sur réseaux : Analyse de la sécurité des systèmes cryptographiques basés sur les réseaux de modules
  2. Théorie du codage : Construction de codes correcteurs d'erreurs efficaces
  3. Applications en théorie des nombres : Étude des problèmes d'approximation diophantienne sur les corps de nombres

Références

Cet article s'appuie principalement sur les travaux antérieurs des auteurs 1 Gargava, Serban, Viazovska. "Moments of the number of points in a bounded set for number field lattices" (arXiv:2308.15275v2, 2023), et cite les travaux classiques de Rogers (1947), Katznelson (1994), Schmidt (1967) et autres.

Évaluation globale : Ceci est un article mathématique théorique de haute qualité qui réalise des progrès importants dans la théorie des réseaux de modules. Bien que les exigences techniques soient élevées et qu'il existe certaines restrictions paramétriques, il fournit une base théorique importante pour la cryptographie sur réseaux et les domaines connexes. La valeur principale de l'article réside dans l'établissement d'un pont entre la théorie et les constructions pratiques, ce qui est d'une importance significative pour le développement de ce domaine.