2025-11-10T02:37:02.890602

Module lattices and their shortest vectors

Gargava, Serban, Viazovska et al.
We study the shortest vector lengths in module lattices over arbitrary number fields, with an emphasis on cyclotomic fields. In particular, we sharpen the techniques of arXiv:2308.15275v2 to establish improved results for the variance of the number of lattice vectors of bounded Euclidean norm in a random module lattice. We then derive tight probabilistic bounds for the shortest vector lengths for several notions of random module lattice.
academic

Модульные решётки и их кратчайшие векторы

Основная информация

  • ID статьи: 2510.12893
  • Название: Module lattices and their shortest vectors
  • Авторы: Nihar Gargava, Vlad Serban, Maryna Viazovska, Ilaria Viglino
  • Классификация: math.NT (теория чисел), cs.IT (теория информации), math.IT (математическая теория информации)
  • Дата публикации: 14 октября 2025 г. (препринт arXiv)
  • Ссылка на статью: https://arxiv.org/abs/2510.12893

Аннотация

В данной работе исследуется длина кратчайшего вектора модульных решёток (module lattices) над произвольными числовыми полями, с особым акцентом на циклотомические поля (cyclotomic fields). Авторы улучшают методы предыдущей работы arXiv:2308.15275v2, устанавливая лучшие результаты для дисперсии количества решёточных векторов с ограниченной евклидовой нормой в случайных модульных решётках. Затем выводятся строгие вероятностные границы для длины кратчайшего вектора при различных концепциях случайных модульных решёток.

Исследовательский контекст и мотивация

Постановка проблемы

  1. Центральная проблема криптографии на решётках: Задача поиска кратчайшего вектора (SVP) является фундаментом криптографии на решётках, и её сложность лежит в основе безопасности многих постквантовых криптосистем.
  2. Значимость модульных решёток: С момента введения криптосистемы NTRU модульные решётки с алгебраической структурой привлекают внимание благодаря их эффективности по сравнению с неструктурированными решётками и в настоящее время являются основой нескольких стандартов NIST для постквантовой криптографии.
  3. Теоретический пробел: Для обычных случайных решёток известна теорема 1, дающая точное асимптотическое поведение длины кратчайшего вектора, однако для модульных решёток с дополнительной алгебраической структурой отсутствуют аналогичные результаты.

Исследовательская мотивация

  1. Необходимость оценки безопасности: В условиях угрозы квантовых вычислений требуется глубокое понимание сложности вычислительных задач на модульных решётках.
  2. Совершенствование теории: Заполнение пробела в теории модульных решёток относительно вероятностного поведения кратчайшего вектора.
  3. Практическая ценность: Обеспечение теоретической поддержки и инструментов анализа безопасности для криптосистем на основе модульных решёток.

Основные вклады

  1. Улучшенные оценки моментов: Снижение минимального условия на ранг с t ≥ 27 до t ≥ 11 путём более тонкой обработки вклада алгебраических чисел с малой высотой Вейля.
  2. Унифицированные результаты для циклотомических полей: Установление асимптотического поведения кратчайшего вектора модульных решёток над циклотомическими полями (теорема 3), аналогично классическим результатам для неструктурированных решёток.
  3. Практические вероятностные границы: Предоставление вычислимых честных вероятностных границ, применимых к конкретным числовым полям и рангам в текущих реализациях.
  4. Улучшение технических методов: Разработка тонких методов для работы с дополнительной симметрией в модульных решётках (действие группы единиц), в частности оптимизация для случая циклотомических полей.

Подробное описание методов

Определение задачи

Исследование вероятностного распределения кратчайшего ненулевого вектора λ₁(Λ) в случайной модульной решётке Λ ∈ Mod_t(K), где K — числовое поле, t — ранг над O_K. Центральная случайная величина: ρV(Λ):=#(B(Λ{0}))\rho_V(\Lambda) := \#(B \cap (\Lambda \setminus \{0\})) где B — шар с центром в начале координат объёма V.

Архитектура модели

1. Расширение интегральной формулы Роджерса

Для модульных решёток интегральное представление второго момента имеет вид: E[ρV(Λ)2]=vol(B)2+αK×D(α)tvol(Bα1B)E[\rho_V(\Lambda)^2] = \text{vol}(B)^2 + \sum_{\alpha \in K^{\times}} D(\alpha)^{-t} \cdot \text{vol}(B \cap \alpha^{-1}B)

где D(α) = O_K : α^{-1}O_K ∩ O_K — индекс решётки.

2. Обработка группы единиц

Ключевое наблюдение: вследствие диагонального действия группы единиц O_K^×, величина ρ_V(Λ) всегда кратна ω_K = #μ(K), поэтому естественным объектом исследования является количество ω_K-кортежей.

3. Применение границ высоты

Использование теории высоты Вейля для установления геометрических оценок: vol(Bα1B)vol(B)(e2h(α)+e2h(α)N(α)2/d2)dt/2\frac{\text{vol}(B \cap \alpha^{-1}B)}{\text{vol}(B)} \leq \left(\frac{e^{2h_{\infty}(\alpha)} + e^{-2h_{\infty}(\alpha)} \cdot N(\alpha)^{2/d}}{2}\right)^{-dt/2}

Технические инновации

1. Послойная обработка высоты

Разделение алгебраических чисел по слоям в зависимости от высоты Вейля с применением различных стратегий оценки для разных диапазонов высот, что оптимизирует минимальное условие на ранг.

2. Специальные свойства циклотомических полей

Использование CM-свойств циклотомических полей и результатов Шинцеля-Смита о нижних границах высоты для вполне положительных алгебраических целых чисел, получение унифицированных констант:

  • c(K) = 0.155 (общий случай)
  • c_o(K) = 0.2406 (случай бесконечного порядка)
  • c_S(K) = 0.271763 (случай вне группы единиц)

3. Тонкие оценки подсчёта единиц

Лемма 10 предоставляет верхнюю границу для количества единиц с ограниченной высотой: #{βOK×h(η+L(β))X}#SK(X+cS(K)/2cS(K)/2)r1+r21\#\{\beta \in O_K^{\times} | h(\eta + L(\beta)) \leq X\} \leq \#S_K \cdot \left(\frac{X + c_S(K)/2}{c_S(K)/2}\right)^{r_1+r_2-1}

Экспериментальная установка

Теоретическая верификация

Статья в основном представляет теоретическую работу, проверяемую численными расчётами:

Набор данных

  • Циклотомические поля K = Q(ζ_m), m = 8,10,12,13,15,16
  • Диапазон O_K-ранга: 15 ≤ t ≤ 32
  • Конкретный случай: K = Q(ζ₁₆), t = 32 (размерность 256)

Методология вычислений

Реализация на SageMath:

  1. Алгоритм перечисления точек с ограниченной высотой
  2. Численное вычисление дзета-функции Дедекинда
  3. Явные границы для членов ошибки

Детали реализации

  • Пороговое значение высоты: h₀ = 0.6
  • Количество исключительных единиц: #S_K ≤ 17·#μ(K)
  • Точность вычислений: члены ошибки достигают 10^{-11}

Результаты экспериментов

Основные результаты

Теорема 3 (главный результат для циклотомических полей)

Для фиксированного t ≥ 11 и циклотомического поля K = Q(ζ_k), при k → ∞ случайная модульная решётка единичного объёма Λ с вероятностью 1-o(1) удовлетворяет: 1loglogωKnωK1/nλ1(Λ)γ(n)1+loglogωKn1 - \frac{\log\log\omega_K}{n} \leq \omega_K^{-1/n} \cdot \frac{\lambda_1(\Lambda)}{\gamma(n)} \leq 1 + \frac{\log\log\omega_K}{n}

Пример 30 (конкретные численные результаты)

Для случая K = Q(ζ₁₆), t = 32:

  • Член ошибки η ≤ 1.2 × 10^{-11}
  • Вероятностная граница: ≥ 0.639
  • Кратчайший вектор примерно на 0.8156% длиннее, чем в неструктурированном случае

Технические улучшения

  1. Снижение минимального ранга: с t ≥ 27 до t ≥ 11
  2. Оптимизация констант: получение явных вычислимых констант
  3. Расширение области применения: охват большего числа практических сценариев

Экспериментальные выводы

  1. Влияние дискриминанта: проводники с малыми нечётными простыми делителями порождают больше шума
  2. Эффект размерности: в высокомерном случае члены ошибки быстро убывают
  3. Практическая применимость: предоставление значимых границ для параметров текущих криптографических схем

Связанные работы

Классическая теория решёток

  • Теорема о среднем значении Зигеля: установление теории математического ожидания подсчёта решёточных точек
  • Интегральная формула Роджерса: предоставление интегрального представления высших моментов
  • Результаты Айтая-Нгиена: асимптотическое поведение кратчайшего вектора неструктурированных решёток

Теория модульных решёток

  • NTRU и её развитие: открытие исследований структурированных решёток
  • Задачи LWE/SIS на кольцах: установление теоретических основ
  • Поднятие алгебраических кодов: исследование дискретных множеств модульных решёток

Теория высоты

  • Проблема Лемера: классическая задача о нижних границах высоты алгебраических чисел
  • Работы Шинцеля-Смита: границы высоты для вполне вещественных и вполне положительных целых чисел
  • Аморосо-Дворницкий: нижние границы высоты в абелевых расширениях

Заключение и обсуждение

Основные выводы

  1. Поведение кратчайшего вектора модульных решёток может быть точно охарактеризовано, аналогично неструктурированным решёткам, но с дополнительным множителем ω_K.
  2. Циклотомические поля предоставляют идеальный объект исследования с хорошими свойствами высоты.
  3. Теоретические результаты дают значимые численные границы при практических параметрах.

Ограничения

  1. Ограничение на минимальный ранг: условие t ≥ 11 может быть неоптимальным.
  2. Ограничение на циклотомические поля: случай общих числовых полей требует дополнительной работы.
  3. Вычислительная сложность: явные вычисления для полей высокой степени остаются затруднительными.

Направления будущих исследований

  1. Оптимизация минимального ранга: дальнейшее снижение до t = 3,4,5.
  2. Общие числовые поля: расширение на более широкий класс числовых полей.
  3. Алгоритмические приложения: применение теоретических результатов к анализу алгоритмов редукции решёток.

Глубокая оценка

Преимущества

  1. Теоретическая глубина: искусное сочетание глубоких результатов из теории чисел, геометрии и теории вероятностей.
  2. Технические инновации: значительные улучшения в обработке бесконечной группы единиц.
  3. Практическая ценность: предоставление важной теоретической поддержки для постквантовой криптографии на решётках.
  4. Вычислительная верификация: теоретические результаты подтверждены численными экспериментами.

Недостатки

  1. Высокий технический уровень: требуется глубокое знание алгебраической теории чисел.
  2. Ограниченная область применения: основной фокус на циклотомических полях, общий случай требует дополнительного развития.
  3. Вычислительная сложность: явные вычисления для полей высокой степени остаются сложными.

Влияние

  1. Теоретический вклад: заполнение важного пробела в теории модульных решёток.
  2. Криптографические приложения: предоставление инструментов анализа безопасности для постквантовых криптосистем на основе решёток.
  3. Методологическая ценность: разработанные методы применимы к связанным задачам.

Области применения

  1. Анализ постквантовой криптографии: оценка безопасности криптосистем на основе модульных решёток.
  2. Алгоритмы редукции решёток: понимание производительности алгоритмов на структурированных решётках.
  3. Теоретические исследования: основа для дальнейшего изучения свойств модульных решёток.

Библиография

Статья цитирует 31 важную работу, охватывающую классические и современные результаты в теории решёток, алгебраической теории чисел и криптографии, что свидетельствует о полноте и глубине исследования.