格签名相似概念区分: SVP、SIS、LWE的区分

参考.

1 概括：

1. SIS和LWE问题可以规约到不同底层格困难问题，如SVP问题。¹
2. 现有签名方案大多规约到SIS和LWE难题，而不是直接规约到SVP难题。

2 关系

具体的规约关系有：

格的困难问题：
Ajtai1996给出了格中困难问题从最坏情况到平均情况的规约证明，使得基于格问题构造的密码方案具有了可证明安全的性质。
新的格困难问题中，有几种重要的平均情况困难的问题：SIS、LWE、RLWE 及变种。在一定的参数设定下，这些问题可以归约到 GapSVP、SIVP 等格上的困难问题（例如：求解SIS难题不比求解格SVP容易）。

• 最短向量问题 (Shortest Vector Problem, SVP).
  SVP 问题定义为：对于给定的格$\Lambda$ ，找到一个非零的格向量$\mathbf{v}$ ，使得对于任意的非零向量$\mathbf{u}\in \Lambda$，$||\mathbf{v}||\le ||\mathbf{u}||$。

  类似问题有：
  近似最短向量问题aSVP(Approximate Shortest Vector Problem),
  唯一最短向量问题 (Unique Shortest Vector Problem, uSVP),
  近似最短向量问题判定版本 (GapSVP),
  最近向量问题 (Closest Vector Problem, CVP),
  近似最近向量问题 (Approximate Closest Vector Problem, aCVP),
  有界距离解码问题 (Bounded Distance Decoding, BDD),
  最短线性无关向量问题 (Shortest Independent Vector Problem, SIVP).

• SIS.(小整数解问题 ,Small Integer Solutions Problem).
  SIS 问题定义为：给定整数$m,n,q$，随机选取矩阵$\mathbf{A}\in {\mathbb{Z}}_q^{n\times m}$和界定参数 $\beta$，求解非零整数向量$\mathbf{z}\in {\mathbb{Z}}^m\backslash 0$，使得$\mathbf{A}\mathbf{z}=0$，且$\Vert \mathbf{z}\Vert \le \beta$。
  $\beta$：近似参数。
  任意$n$维格近似参数$n^c$的SIVP和GapSIVP可以规约到SIS问题.

• LWE.(容错学习问题 Learning with Errors Problem).
  LWE 问题定义为：给定均匀随机生成的矩阵 $\mathbf{A}\in {\mathbb{Z}}_q^{n\times m}$， 向量$\mathbf{s}\in {\mathbb{Z}}_q^m$和 噪声值$\mathbf{e}\in {\mathbb{Z}}_q^n$服从分布$\mathcal{X}$， $b_i={\mathbf{A}}_i\mathbf{s}+\mathbf{e}$。
  搜索版本的 LWE 问题（Search LWE）为：给定多组$({\mathbf{A}}_i,{\mathbf{b}}_i)$，找到 $\mathbf{s}$。
  判定版本的 LWE问题（Decision LWE）为：将${\mathbf{b}}_i$和均匀随机生成的向量区分开。

• MSIS.
  

• MLWE
  

其他，环上LWE(RLWE)等。

3 应用todo

---

1. 王旭阳,胡爱群.格困难问题的复杂度分析[J].密码学报,2015,2(01):1-16. ↩︎