定义 1.1 (格)#

给定 $k$ 个线性无关的向量 $\mathbf{b}_1, \mathbf{b}_2, \dots, \mathbf{b}_k \in \mathbb{R}^n$，由这些向量生成的格 $\mathcal{L}$ 定义为： $\mathcal{L} = \left\{ \sum_{i=1}^{k} c_i \mathbf{b}_i \mid c_i \in \mathbb{Z} \right\}$ 这组线性无关的向量 $\{\mathbf{b}_1, \dots, \mathbf{b}_k\}$ 称为格 $\mathcal{L}$ 的一组 基 (Basis)。向量 $\mathbf{b}_i$ 称为 基向量 (Basis vectors)。

关键点：

• 离散性 (Discreteness): 格点在空间中是离散分布的，任意两个不同的格点之间存在一个最小距离。这是因为基向量线性无关，且系数 $c_i$ 只能取整数。
• 加法子群 (Additive Subgroup): 格 $\mathcal{L}$ 是 $\mathbb{R}^n$ 的一个加法子群。这意味着：
  • 零向量 $\mathbf{0} \in \mathcal{L}$ (取所有 $c_i = 0$)。
  • 如果 $\mathbf{x}, \mathbf{y} \in \mathcal{L}$，那么 $\mathbf{x} + \mathbf{y} \in \mathcal{L}$。
  • 如果 $\mathbf{x} \in \mathcal{L}$，那么 $-\mathbf{x} \in \mathcal{L}$。
• 维度 (Dimension/Rank): 生成格的线性无关基向量的个数 $k$ 称为格的 维度 (Dimension) 或 秩 (Rank)。我们通常称 $n$ 为格的 嵌入维度 (Embedding dimension)。如果 $k=n$，则称该格为 满秩格 (Full-rank lattice)。在本报告中，除非特别说明，我们通常考虑满秩格，即 $k=n$。

格的表示：基矩阵#

我们可以将格的基向量 $\mathbf{b}_1, \dots, \mathbf{b}_n$ (假设为满秩格) 排列成一个 $n \times n$ 的矩阵 $\mathbf{B}$，其中每一列（或每一行，取决于约定，本书约定为列向量）是基向量： $\mathbf{B} = [\mathbf{b}_1 | \mathbf{b}_2 | \dots | \mathbf{b}_n]$ 这个矩阵 $\mathbf{B}$ 称为格 $\mathcal{L}$ 的 基矩阵 (Basis matrix)。那么，格 $\mathcal{L}$ 可以表示为： $\mathcal{L} = \{ \mathbf{B} \mathbf{c} \mid \mathbf{c} \in \mathbb{Z}^n \}$ 其中 $\mathbf{c} = (c_1, \dots, c_n)^T$ 是整数系数向量。

示例 (二维格):#

考虑 $\mathbb{R}^2$ 中的两个向量 $\mathbf{b}_1 = (2, 0)^T$ 和 $\mathbf{b}_2 = (1, 1)^T$。它们是线性无关的。它们生成的格 $\mathcal{L}$ 包含所有形如 $c_1(2, 0)^T + c_2(1, 1)^T = (2c_1 + c_2, c_2)^T$ 的点，其中 $c_1, c_2 \in \mathbb{Z}$。 这个格的基矩阵是 $\mathbf{B} = \begin{pmatrix} 2 & 1 \\ 0 & 1 \end{pmatrix}$。 一些格点包括：$(0,0), (2,0), (1,1), (3,1), (-2,0), (-1,-1), \dots$

不同的基表示同一个格#

同一个格可以由不同的基来表示。例如，在上面的二维例子中，向量组 $\mathbf{b}'_1 = \mathbf{b}_1 = (2, 0)^T$ 和 $\mathbf{b}'_2 = \mathbf{b}_1 + \mathbf{b}_2 = (3, 1)^T$ 也是该格的一组基。基矩阵变为 $\mathbf{B}' = \begin{pmatrix} 2 & 3 \\ 0 & 1 \end{pmatrix}$。

那么，两组基 $\{\mathbf{b}_1, \dots, \mathbf{b}_n\}$ 和 $\{\mathbf{b}'_1, \dots, \mathbf{b}'_n\}$ 生成同一个格 $\mathcal{L}$ 的充要条件是什么？ 设 $\mathbf{B}$ 和 $\mathbf{B}'$ 是对应的基矩阵。如果它们生成同一个格，那么每个 $\mathbf{b}'_j$ 必须是 $\{\mathbf{b}_i\}$ 的整数线性组合，同时每个 $\mathbf{b}_i$ 也必须是 $\{\mathbf{b}'_j\}$ 的整数线性组合。这意味着存在一个整数矩阵 $\mathbf{U}$ 使得 $\mathbf{B}' = \mathbf{B} \mathbf{U}$，并且存在一个整数矩阵 $\mathbf{V}$ 使得 $\mathbf{B} = \mathbf{B}' \mathbf{V}$。 将第二个式子代入第一个，得到 $\mathbf{B}' = \mathbf{B}' \mathbf{V} \mathbf{U}$。由于 $\mathbf{B}'$ 的列向量是线性无关的（满秩），这意味着 $\mathbf{V} \mathbf{U} = \mathbf{I}$ (单位矩阵)。 同样地，$\mathbf{U} \mathbf{V} = \mathbf{I}$。 这表明 $\mathbf{U}$ 和 $\mathbf{V}$ 互为逆矩阵，并且它们都是整数矩阵。一个整数矩阵，其逆矩阵也是整数矩阵，这样的矩阵称为 幺模矩阵 (Unimodular matrix)。

定理 1.1 (基变换)#

两组基 $\mathbf{B}$ 和 $\mathbf{B}'$ 生成同一个格 $\mathcal{L}$，当且仅当存在一个幺模矩阵 $\mathbf{U}$ (即 $\mathbf{U}$ 是整数矩阵且 $\det(\mathbf{U}) = \pm 1$) 使得 $\mathbf{B}' = \mathbf{B} \mathbf{U}$。

这个性质非常重要，它说明格是比特定基更基本的对象。格算法的核心目标之一（格基约化）就是找到一个“好”的基 $\mathbf{B}'$，它通过幺模变换 $\mathbf{U}$ 从一个可能“坏”的基 $\mathbf{B}$ 得到。

基本区域 (Fundamental Domain / Parallelepiped)#

给定格 $\mathcal{L}$ 的一组基 $\{\mathbf{b}_1, \dots, \mathbf{b}_n\}$，由这组基定义的 基本平行多面体 (Fundamental Parallelepiped) (在 $\mathbb{R}^n$ 中) 是集合： $\mathcal{P}(\mathbf{B}) = \left\{ \sum_{i=1}^{n} \alpha_i \mathbf{b}_i \mid 0 \le \alpha_i < 1 \right\}$ 这是一个半开半闭的区域。

基本平行多面体具有重要的性质：$\mathbb{R}^n$ 空间可以被格点 $\mathbf{v} \in \mathcal{L}$ 对基本平行多面体 $\mathcal{P}(\mathbf{B})$ 的平移副本 $\mathcal{P}(\mathbf{B}) + \mathbf{v}$ 无重叠地完全覆盖。即： $\mathbb{R}^n = \bigcup_{\mathbf{v} \in \mathcal{L}} (\mathcal{P}(\mathbf{B}) + \mathbf{v})$ 并且对于不同的 $\mathbf{v}_1, \mathbf{v}_2 \in \mathcal{L}$，$(\mathcal{P}(\mathbf{B}) + \mathbf{v}_1)$ 和 $(\mathcal{P}(\mathbf{B}) + \mathbf{v}_2)$ 的内部是不相交的。

直观地说，基本平行多面体代表了格点在空间中的“势力范围”或“单元格”。它的体积在格理论中扮演着核心角色。

格的行列式 (Determinant / Volume)#

格 $\mathcal{L}$ 的 行列式 (Determinant)，记作 $\det(\mathcal{L})$ 或 $\text{vol}(\mathcal{L})$，定义为由任意一组基 $\mathbf{B} = [\mathbf{b}_1, \dots, \mathbf{b}_n]$ 生成的基本平行多面体 $\mathcal{P}(\mathbf{B})$ 的 $n$ 维体积 (Volume)。 $\det(\mathcal{L}) = \text{vol}(\mathcal{P}(\mathbf{B}))$ 如何计算这个体积？如果基向量存储为 $n \times n$ 矩阵 $\mathbf{B}$ 的列，那么体积是： $\det(\mathcal{L}) = |\det(\mathbf{B})|$ 如果基向量存储为矩阵的行，体积也是 $|\det(\mathbf{B})|$。 一个关键性质是，格的行列式不依赖于基的选择。如果我们用另一个基 $\mathbf{B}' = \mathbf{B} \mathbf{U}$ (其中 $\mathbf{U}$ 是幺模矩阵) 来计算，则： $|\det(\mathbf{B}')| = |\det(\mathbf{B} \mathbf{U})| = |\det(\mathbf{B})| |\det(\mathbf{U})| = |\det(\mathbf{B})| \times |\pm 1| = |\det(\mathbf{B})|$ 因此，$\det(\mathcal{L})$ 是格 $\mathcal{L}$ 的一个内在不变量。

几何意义： 格的行列式代表了基本单元的体积。它反映了格点的“密度”。行列式越小，格点越密集；行列式越大，格点越稀疏。在二维情况下，它就是基本平行四边形的面积。

另一种计算方式：Gram 矩阵#

有时通过 Gram 矩阵计算行列式更方便。给定基 $\mathbf{B} = [\mathbf{b}_1, \dots, \mathbf{b}_n]$，其 Gram 矩阵 $\mathbf{G}$ 定义为： $\mathbf{G} = \mathbf{B}^T \mathbf{B}$ 矩阵 $\mathbf{G}$ 的第 $(i, j)$ 个元素是内积 $\langle \mathbf{b}_i, \mathbf{b}_j \rangle = \mathbf{b}_i^T \mathbf{b}_j$。那么， $\det(\mathbf{G}) = \det(\mathbf{B}^T \mathbf{B}) = \det(\mathbf{B}^T) \det(\mathbf{B}) = (\det(\mathbf{B}))^2$ 因此， $\det(\mathcal{L}) = \sqrt{\det(\mathbf{G})} = \sqrt{\det(\mathbf{B}^T \mathbf{B})}$

定义 1.2 (对偶格)#

给定 $\mathbb{R}^n$ 中的格 $\mathcal{L}$，其 对偶格 (Dual Lattice) $\mathcal{L}^*$ 定义为： $\mathcal{L}^* = \{ \mathbf{y} \in \text{span}(\mathcal{L}) \mid \forall \mathbf{x} \in \mathcal{L}, \langle \mathbf{x}, \mathbf{y} \rangle \in \mathbb{Z} \}$ 其中 $\text{span}(\mathcal{L})$ 是由格 $\mathcal{L}$ 中向量张成的子空间（对于满秩格，即 $\mathbb{R}^n$），$\langle \mathbf{x}, \mathbf{y} \rangle = \mathbf{x}^T \mathbf{y}$ 是标准内积。 对偶格包含所有与原格中所有向量的内积均为整数的向量。

性质：

1. 对偶格也是一个格: 如果 $\mathcal{L}$ 是一个格，那么 $\mathcal{L}^*$ 也是一个格。
2. 对偶格的基: 如果 $\mathbf{B}$ 是格 $\mathcal{L}$ 的一组基（基矩阵），那么 $\mathcal{L}^*$ 的一组基由矩阵 $(\mathbf{B}^T)^{-1}$ 的列向量给出。（注意：这里假设 $\mathbf{B}$ 是方阵，即满秩格。如果不是满秩，需要使用伪逆）。 更准确地说，如果 $\mathbf{B} = [\mathbf{b}_1, \dots, \mathbf{b}_n]$，设 $\mathbf{B}^* = (\mathbf{B}^T)^{-1} = [\mathbf{b}^*_1, \dots, \mathbf{b}^*_n]$，则 $\{\mathbf{b}^*_1, \dots, \mathbf{b}^*_n\}$ 是 $\mathcal{L}^*$ 的一组基，且满足 $\langle \mathbf{b}_i, \mathbf{b}^*_j \rangle = \delta_{ij}$ (Kronecker delta)。这组基有时被称为 对偶基 (Dual basis) (注意与 Gram-Schmidt 正交化中的向量符号区别，上下文会明确)。
3. 行列式关系: 对偶格的行列式与原格的行列式互为倒数： $\det(\mathcal{L}^*) = \frac{1}{\det(\mathcal{L})}$ 这是因为 $\det(\mathbf{B}^*) = \det((\mathbf{B}^T)^{-1}) = (\det(\mathbf{B}^T))^{-1} = (\det(\mathbf{B}))^{-1}$。
4. 对偶的对偶: 对偶格的对偶是原格：$(\mathcal{L}^*)^* = \mathcal{L}$。
5. 包含关系: 整数格 $\mathbb{Z}^n$ 是自对偶的，即 $(\mathbb{Z}^n)^* = \mathbb{Z}^n$。

示例:#

回到之前的二维格 $\mathcal{L}$，基矩阵 $\mathbf{B} = \begin{pmatrix} 2 & 1 \\ 0 & 1 \end{pmatrix}$。 $\mathbf{B}^T = \begin{pmatrix} 2 & 0 \\ 1 & 1 \end{pmatrix}$。 $(\mathbf{B}^T)^{-1} = \frac{1}{2 \times 1 - 0 \times 1} \begin{pmatrix} 1 & 0 \\ -1 & 2 \end{pmatrix} = \begin{pmatrix} 1/2 & 0 \\ -1/2 & 1 \end{pmatrix}$。 所以，对偶格 $\mathcal{L}^*$ 的一组基是 $\mathbf{b}^*_1 = (1/2, -1/2)^T$ 和 $\mathbf{b}^*_2 = (0, 1)^T$。 $\det(\mathcal{L}) = |\det(\mathbf{B})| = |2 \times 1 - 1 \times 0| = 2$。 $\det(\mathcal{L}^*) = |\det((\mathbf{B}^T)^{-1})| = |(1/2) \times 1 - 0 \times (-1/2)| = 1/2$。验证了 $\det(\mathcal{L}^*) = 1/\det(\mathcal{L})$。

定理 1.2 (Minkowski 第一定理 / 凸体定理)#

令 $\mathcal{L}$ 为 $\mathbb{R}^n$ 中的一个满秩格，其行列式为 $\det(\mathcal{L})$。令 $S \subset \mathbb{R}^n$ 是一个 中心对称、凸 的集合。如果 $S$ 的体积满足： $\text{vol}(S) > 2^n \det(\mathcal{L})$ 那么 $S$ 必定包含至少一个 非零 的格点 $\mathbf{v} \in \mathcal{L} \setminus \{\mathbf{0}\}$。

如果 $S$ 是紧集（有界闭集），则条件可以放宽为 $\text{vol}(S) \ge 2^n \det(\mathcal{L})$。

几何直观： 这个定理说，如果一个中心对称的凸体“足够大”（体积超过 $2^n$ 倍的基本单元体积），那么它必然会“抓住”除了原点之外的至少一个格点。想象一下，把这个凸体放在原点，如果它太大，就无法避免碰到周围的某个格点。

证明思路 (Blichfeldt 定理):#

Minkowski 定理的一个常见证明依赖于 Blichfeldt 定理：

• Blichfeldt 定理: 令 $\mathcal{L}$ 为 $\mathbb{R}^n$ 中的满秩格。令 $M \subset \mathbb{R}^n$ 是任意可测集。如果 $\text{vol}(M) > \det(\mathcal{L})$，则存在两个不同的点 $\mathbf{x}, \mathbf{y} \in M$ 使得 $\mathbf{x} - \mathbf{y} \in \mathcal{L}$。
• 从 Blichfeldt 到 Minkowski: 考虑集合 $S' = \frac{1}{2} S = \{ \mathbf{x}/2 \mid \mathbf{x} \in S \}$。由于 $S$ 是中心对称凸集，如果 $\mathbf{v} \in \mathcal{L} \setminus \{\mathbf{0}\}$ 且 $\mathbf{v} \in S$，那么 $\mathbf{v}/2 \in S'$ 且 $-\mathbf{v}/2 \in S'$。 $\text{vol}(S') = \text{vol}(S) / 2^n$。如果 $\text{vol}(S) > 2^n \det(\mathcal{L})$，则 $\text{vol}(S') > \det(\mathcal{L})$。根据 Blichfeldt 定理，存在两个不同的点 $\mathbf{x}', \mathbf{y}' \in S'$ 使得 $\mathbf{v} = \mathbf{x}' - \mathbf{y}' \in \mathcal{L}$，且 $\mathbf{v} \neq \mathbf{0}$。 因为 $\mathbf{x}', \mathbf{y}' \in S' = \frac{1}{2} S$，所以 $2\mathbf{x}', 2\mathbf{y}' \in S$。由于 $S$ 是凸集，且中心对称（所以 $-\mathbf{y}' = (-1)\mathbf{y}' \in S'$，即 $-(2\mathbf{y}') \in S$），那么 $\mathbf{v} = \mathbf{x}' - \mathbf{y}' = \frac{1}{2} (2\mathbf{x}') + \frac{1}{2} (-2\mathbf{y}')$。因为 $2\mathbf{x}' \in S$ 且 $-2\mathbf{y}' \in S$，并且 $S$ 是凸集，所以 $\mathbf{v} = \frac{1}{2} (2\mathbf{x}') + \frac{1}{2} (-2\mathbf{y}')$ 也必须在 $S$ 中。 因此，我们找到了一个非零格点 $\mathbf{v} \in S$。

Minkowski 定理的应用：最短向量长度的上界#

Minkowski 定理的一个重要推论是，它为格中最短非零向量的长度提供了一个上界。考虑一个以原点为中心的 $n$ 维球 $B_r = \{ \mathbf{x} \in \mathbb{R}^n \mid ||\mathbf{x}|| \le r \}$，其半径为 $r$。这是一个中心对称的凸集。其体积为 $\text{vol}(B_r) = V_n r^n$，其中 $V_n = \frac{\pi^{n/2}}{\Gamma(n/2 + 1)}$ 是 $n$ 维单位球的体积（$\Gamma$ 是 Gamma 函数）。

根据 Minkowski 定理，如果 $\text{vol}(B_r) \ge 2^n \det(\mathcal{L})$，则球 $B_r$ 内必然包含一个非零格点。我们想找到满足这个条件的最小半径 $r$。 令 $\lambda_1(\mathcal{L})$ 表示格 $\mathcal{L}$ 中最短非零向量的长度： $\lambda_1(\mathcal{L}) = \min \{ ||\mathbf{v}|| \mid \mathbf{v} \in \mathcal{L} \setminus \{\mathbf{0}\} \}$ 那么，存在一个非零格点 $\mathbf{v}$ 使得 $||\mathbf{v}|| \le r$，只要 $V_n r^n \ge 2^n \det(\mathcal{L})$。 这给出了 $\lambda_1(\mathcal{L})$ 的一个上界： $\lambda_1(\mathcal{L}) \le \left( \frac{2^n \det(\mathcal{L})}{V_n} \right)^{1/n}$ 使用 Stirling 公式近似 $\Gamma$ 函数，可以得到 $V_n^{1/n} \approx \sqrt{\frac{2\pi e}{n}}$ 当 $n$ 较大时。代入可得： $\lambda_1(\mathcal{L}) \lesssim \sqrt{\frac{n}{2\pi e}} \cdot 2 \cdot (\det(\mathcal{L}))^{1/n}$ 更简洁（但常数稍差）的界是 Hermite 常数 $\gamma_n$： Minkowski 定理保证了 $\lambda_1(\mathcal{L}) \le \sqrt{\gamma_n} (\det(\mathcal{L}))^{1/n}$，其中 $\gamma_n$ 是 Hermite 常数。已知 $\gamma_n \le n$ (一个简单的界)，并且有更紧的界如 $\gamma_n \approx n / (\pi e)$。 这通常被简化为： $\lambda_1(\mathcal{L}) \le \sqrt{n} (\det(\mathcal{L}))^{1/n}$ 这个结果至关重要：它保证了任何 $n$ 维格中都存在一个长度不超过 $\sqrt{n} (\det(\mathcal{L}))^{1/n}$ 的非零向量。虽然这个界不一定是紧的，但它确立了最短向量长度与格的维度和行列式之间的基本关系。寻找这个最短向量（或近似短的向量）正是格理论核心问题之一。

Minkowski 第二定理 (逐次最小)#

Minkowski 还证明了关于格中线性无关向量长度的更强的结果。定义 逐次最小 (Successive Minima) $\lambda_1, \lambda_2, \dots, \lambda_n$ 如下：

• $\lambda_1 = \min \{ ||\mathbf{v}|| \mid \mathbf{v} \in \mathcal{L} \setminus \{\mathbf{0}\} \}$
• $\lambda_k = \min \{ r \mid \exists \mathbf{v}_1, \dots, \mathbf{v}_k \in \mathcal{L} \text{ linearly independent s.t. } ||\mathbf{v}_i|| \le r \text{ for } i=1,\dots,k \}$ 即 $\lambda_k$ 是最小的半径 $r$，使得以原点为中心、半径为 $r$ 的闭球包含 $k$ 个线性无关的格向量。显然 $\lambda_1 \le \lambda_2 \le \dots \le \lambda_n$。

定理 1.3 (Minkowski 第二定理)#

对于 $\mathbb{R}^n$ 中的满秩格 $\mathcal{L}$ 及其逐次最小 $\lambda_1, \dots, \lambda_n$，有： $\left( \prod_{i=1}^n \lambda_i \right)^{1/n} \le \sqrt{\gamma_n} (\det(\mathcal{L}))^{1/n}$ 并且 $\frac{2^n \det(\mathcal{L})}{V_n} \le \prod_{i=1}^n \lambda_i \le \frac{(2^n n!) \det(\mathcal{L})}{V_n^n}$ 一个更常用的形式是（结合 $\lambda_1$ 的界）： $\frac{(\det(\mathcal{L}))^{1/n}}{\sqrt{n}} \lesssim \lambda_1 \quad \text{and} \quad \prod_{i=1}^n \lambda_i \approx (\det(\mathcal{L}))$ (这里的 $\approx$ 忽略了 $n$ 的次指数因子)。 这个定理更深刻地揭示了格的几何结构与行列式之间的关系，它表明 $n$ 个线性无关的“短”向量的长度乘积与格的行列式密切相关。

本章介绍了格的基本概念，为后续讨论格上的困难问题和解决这些问题的算法奠定了基础。理解格的定义、基、行列式、对偶格以及 Minkowski 定理提供的最短向量存在性保证，是掌握格算法的关键第一步。

定义 2.1 (最短向量问题 SVP - 精确版)#

给定格 $\mathcal{L}$ 的一组基 $\mathbf{B} = \{\mathbf{b}_1, \dots, \mathbf{b}_n\}$，找到一个非零向量 $\mathbf{v} \in \mathcal{L}$，使得对于所有其他非零向量 $\mathbf{w} \in \mathcal{L} \setminus \{\mathbf{0}\}$，都有 $||\mathbf{v}|| \le ||\mathbf{w}||$。 这个向量 $\mathbf{v}$ 的长度 $||\mathbf{v}||$ 就是第一逐次最小 $\lambda_1(\mathcal{L})$。

几何直观： 在由格点构成的离散点阵中，找到离原点最近的那个点（除了原点自身）。

计算复杂性：

• NP-hard: Ajtai 在 1998 年证明了精确 SVP 在随机归约下是 NP-hard 的 [Ajtai98]。这意味着在标准计算复杂性假设下（如 P ≠ NP），不存在多项式时间的算法能保证解决任意格的精确 SVP 问题。
• 近似版本 (Approximate SVP, $\gamma$-SVP): 由于精确 SVP 的困难性，研究者们也关注其近似版本。

定义 2.2 ($\gamma$-SVP)#

给定格 $\mathcal{L}$ 的基 $\mathbf{B}$ 和一个近似因子 $\gamma \ge 1$ (可以是关于维度 $n$ 的函数)，找到一个非零向量 $\mathbf{v} \in \mathcal{L}$ 使得： $||\mathbf{v}|| \le \gamma \cdot \lambda_1(\mathcal{L})$ 其中 $\lambda_1(\mathcal{L})$ 是格 $\mathcal{L}$ 中最短非零向量的真实长度。

• 近似 SVP 的复杂性：
  • NP-hard for small $\gamma$: 对于某些小的常数近似因子 $\gamma$（例如 $\gamma < \sqrt{2}$），$\gamma$-SVP 仍然是 NP-hard 的 [Micciancio01]。
  • Hardness for larger $\gamma$: Micciancio (1998) 证明了对于任何常数 $\gamma$，$\gamma$-SVP 都是 NP-hard 的。进一步地，Khôt (2005) 证明了除非 NP $\subseteq$ coAM，否则 $\gamma$-SVP 对于 $\gamma = 2^{(\log n)^{1/2-\epsilon}}$ 也是困难的，这里 $\epsilon > 0$。这表明即使是近似因子接近多项式的 SVP 也是困难的。
  • GapSVP: 区分“$\lambda_1 \le 1$”和“$\lambda_1 \ge \gamma$”的判定问题（称为 GapSVP$_\gamma$）被认为与 $\gamma$-SVP 的搜索版本难度相当。GapSVP 的困难性是许多格密码安全证明的基础。
  • 多项式时间可解 for large $\gamma$: 另一方面，当近似因子 $\gamma$ 非常大时，$\gamma$-SVP 问题可以在多项式时间内解决。例如，LLL 算法（将在下一章详细介绍）可以在多项式时间内找到一个向量 $\mathbf{v}$ 满足 $||\mathbf{v}|| \le 2^{(n-1)/2} \lambda_1(\mathcal{L})$。这里的近似因子 $\gamma = 2^{O(n)}$ 是指数级的。改进的算法如 BKZ 可以达到次指数级或更小的指数级近似因子，但时间复杂度会相应增加。

SVP 的重要性： SVP 不仅是格理论的自然基础问题，其困难性假设也是许多格密码体制（尤其是基于 LWE 问题的体制的安全归约）的基石。同时，求解 SVP（即使是近似版本）的能力直接关系到格基约化算法的质量。

定义 2.3 (最近向量问题 CVP - 精确版)#

给定格 $\mathcal{L}$ 的一组基 $\mathbf{B} = \{\mathbf{b}_1, \dots, \mathbf{b}_n\}$ 和一个目标向量 $\mathbf{t} \in \mathbb{R}^n$ (通常 $\mathbf{t}$ 不在格 $\mathcal{L}$ 中)，找到一个格向量 $\mathbf{v} \in \mathcal{L}$，使得对于所有其他格向量 $\mathbf{w} \in \mathcal{L}$，都有 $||\mathbf{t} - \mathbf{v}|| \le ||\mathbf{t} - \mathbf{w}||$。 这个最小距离 $\min_{\mathbf{w} \in \mathcal{L}} ||\mathbf{t} - \mathbf{w}||$ 称为 $\mathbf{t}$ 到格 $\mathcal{L}$ 的距离，记作 $\text{dist}(\mathbf{t}, \mathcal{L})$。

几何直观： 在空间中给定一个点 $\mathbf{t}$，在由格点构成的离散点阵中，找到离 $\mathbf{t}$ 最近的那个格点。

计算复杂性：

• NP-hard: CVP 被证明是 NP-hard 的 [vanEmdeBoas81]。事实上，CVP 被认为是比 SVP 更难的问题。许多 SVP 的困难性结果都是通过归约到 CVP 来证明的。
• 近似版本 (Approximate CVP, $\gamma$-CVP):

定义 2.4 ($\gamma$-CVP)#

给定格 $\mathcal{L}$ 的基 $\mathbf{B}$，目标向量 $\mathbf{t}$，以及近似因子 $\gamma \ge 1$，找到一个格向量 $\mathbf{v} \in \mathcal{L}$ 使得： $||\mathbf{t} - \mathbf{v}|| \le \gamma \cdot \text{dist}(\mathbf{t}, \mathcal{L})$ 其中 $\text{dist}(\mathbf{t}, \mathcal{L}) = \min_{\mathbf{w} \in \mathcal{L}} ||\mathbf{t} - \mathbf{w}||$ 是 $\mathbf{t}$ 到格 $\mathcal{L}$ 的真实最小距离。

• 近似 CVP 的复杂性:
  • NP-hard for any constant $\gamma$: $\gamma$-CVP 对于任何常数 $\gamma \ge 1$ 都是 NP-hard 的 [AroraEtAl97]。
  • Hardness for polynomial $\gamma$: Dinur et al. (1998) 证明了除非 P = NP，否则 CVP 不能在多项式时间内以 $n^{c/\log\log n}$ 的因子近似 (对于某个常数 $c>0$)。这表明即使是多项式因子的近似 CVP 也非常困难。
  • 多项式时间可解 for large $\gamma$: 类似于 SVP，当近似因子 $\gamma$ 足够大时（例如指数级 $\gamma = 2^{O(n)}$），$\gamma$-CVP 问题可以在多项式时间内解决。Babai 的最近顶点算法 (Nearest Plane algorithm) [Babai86] 就是一个例子，它利用 LLL 约化基可以在多项式时间内找到一个近似解。

SVP 与 CVP 的关系：

• CVP 至少和 SVP 一样难: Kannan (1987) 展示了如何通过一个 CVP 预言机 (oracle) 来解决 SVP。这意味着如果 CVP 能被高效解决，SVP 也能。其基本思想是，对于一个格 $\mathcal{L}$，考虑目标向量 $\mathbf{t} = \mathbf{v}/2$，其中 $\mathbf{v}$ 是 $\mathcal{L}$ 中的一个非零向量。如果能找到离 $\mathbf{t}$ 最近的格向量 $\mathbf{w}$，那么 $\mathbf{w}$ 可能是 $\mathbf{0}$ 或 $\mathbf{v}$。通过对格中足够多的向量重复这个过程，可以找到最短向量。
• 嵌入技术: 另一种常见的联系是将 SVP 归约为 CVP。可以在 $n+1$ 维空间中构造一个新格 $\mathcal{L}'$，使得 $\mathcal{L}'$ 上的 CVP 解能够给出原格 $\mathcal{L}$ 的 SVP 解。例如，Goldreich et al. [GGH97] 展示了这种归约。

CVP 的应用： CVP 在许多领域都有应用，包括：

• 编码理论: 寻找给定接收信号最接近的码字（最大似然解码）。
• 整数规划: 某些整数规划问题可以转化为 CVP。
• 密码学:
  • 分析某些密码系统，例如 GGH 公钥密码系统直接基于 CVP 的困难性（尽管该系统已被证明不安全）。
  • 在 LWE 问题的解决中，如果知道错误向量足够小，LWE 可以看作是一个 CVP 问题（寻找离带噪测量值最近的格点）。

定义 2.5 (最短独立向量问题 SIVP)#

给定格 $\mathcal{L}$ 的一组基 $\mathbf{B}$ (维度为 $n$)，找到 $n$ 个线性无关的格向量 $\mathbf{v}_1, \dots, \mathbf{v}_n \in \mathcal{L}$，使得它们的最大长度 $\max_{i=1}^n ||\mathbf{v}_i||$ 尽可能小。这个最小值等于第 $n$ 逐次最小 $\lambda_n(\mathcal{L})$。

近似版本 ($\gamma$-SIVP): 找到 $n$ 个线性无关的格向量 $\mathbf{v}_1, \dots, \mathbf{v}_n$，使得 $\max_i ||\mathbf{v}_i|| \le \gamma \cdot \lambda_n(\mathcal{L})$。

复杂性：

• SIVP 至少和 SVP 一样难，因为最短向量 $\mathbf{v}_1$ (对应 $\lambda_1$) 是 $n$ 个最短独立向量中的一个（或者可以替换其中一个而不增加最大长度，因为 $\lambda_1 \le \lambda_n$)。
• 精确 SIVP 也是 NP-hard 的。
• 近似 SIVP 的困难性与 SVP 类似，但有时安全证明更倾向于基于 SIVP 假设，因为它考虑了整个格的几何结构（由 $n$ 个独立方向决定），而不仅仅是最短的那个方向。基于 SIS (Short Integer Solution) 问题的密码系统安全性通常与 SIVP 相关。

与 SVP 的关系： 由 Minkowski 第二定理，我们知道 $\lambda_1 \le \lambda_n$。Blichfeldt 和 van der Waerden 证明了 $\lambda_n / \lambda_1 \le n$。这表明 $\lambda_n$ 最多比 $\lambda_1$ 大 $n$ 倍。因此，SVP 和 SIVP 的近似因子在多项式级别上是相关的。然而，在精确或小因子近似的情况下，它们可能有不同的难度。

定义 2.6 (有界距离解码问题 BDD$_{d}$)#

给定格 $\mathcal{L}$ 的基 $\mathbf{B}$，一个目标向量 $\mathbf{t} \in \mathbb{R}^n$，以及一个距离界限 $d$。如果 保证 $\text{dist}(\mathbf{t}, \mathcal{L}) \le d$，则找到唯一的格向量 $\mathbf{v} \in \mathcal{L}$ 使得 $||\mathbf{t} - \mathbf{v}|| \le d$。

通常，这个距离界限 $d$ 会取得比较小，例如 $d < \lambda_1(\mathcal{L}) / 2$。在这种情况下，如果存在一个格点 $\mathbf{v}$ 使得 $||\mathbf{t} - \mathbf{v}|| \le d$，那么这个格点是唯一的。因为如果存在另一个格点 $\mathbf{w} \neq \mathbf{v}$ 也满足 $||\mathbf{t} - \mathbf{w}|| \le d$，则根据三角不等式： $||\mathbf{v} - \mathbf{w}|| = ||(\mathbf{v} - \mathbf{t}) + (\mathbf{t} - \mathbf{w})|| \le ||\mathbf{v} - \mathbf{t}|| + ||\mathbf{t} - \mathbf{w}|| \le d + d = 2d$ 由于 $\mathbf{v}, \mathbf{w} \in \mathcal{L}$ 且 $\mathbf{v} \neq \mathbf{w}$，所以 $\mathbf{v} - \mathbf{w}$ 是一个非零格向量。因此 $||\mathbf{v} - \mathbf{w}|| \ge \lambda_1(\mathcal{L})$。 结合起来，我们得到 $\lambda_1(\mathcal{L}) \le 2d$。这与我们选择的 $d < \lambda_1(\mathcal{L}) / 2$ 矛盾。因此，满足条件的格点 $\mathbf{v}$ 是唯一的。

复杂性：

• BDD 通常被认为比一般 CVP 简单，但也依赖于距离界限 $d$ 的大小。
• 如果 $d$ 非常小（例如 $d$ 是关于 $n$ 的某个负指数函数），BDD 可能相对容易。Babai 的最近顶点算法可以在多项式时间内解决 BDD 问题，只要 $d$ 相对于 LLL 算法能找到的向量长度足够小。
• BDD 问题与 LWE (Learning With Errors) 问题密切相关。在 LWE 中，目标是找到一个秘密向量 $\mathbf{s}$，给定形如 $\mathbf{a}_i^T \mathbf{s} + e_i \approx b_i \pmod q$ 的样本。这可以转化为一个格上的 CVP/BDD 问题，其中错误项 $e_i$ 构成的向量 $\mathbf{e}$ 使得目标向量 $(\mathbf{b} - \mathbf{A}\mathbf{s})$ （在某个格中）非常接近零向量，或者说 $\mathbf{b}$ 接近格点 $\mathbf{A}\mathbf{s}$，且距离（由 $\mathbf{e}$ 决定）有界。如果错误分布足够集中（即距离界限 $d$ 足够小），则可能通过解决 BDD 来恢复秘密 $\mathbf{s}$。

格基约化 (Lattice Basis Reduction) 的目标#

回顾第一章，我们知道同一个格可以由无穷多组不同的基来表示。然而，不同的基在计算上可能有天壤之别。考虑一个二维格，由以下两个基生成：

• 基 1: $\mathbf{b}_1 = (1, 0)^T, \mathbf{b}_2 = (0, 1)^T$。这是 $\mathbb{Z}^2$ 格的标准基。基向量短，且相互正交。
• 基 2: $\mathbf{b}'_1 = (1, 0)^T, \mathbf{b}'_2 = (N, 1)^T$，其中 $N$ 是一个非常大的整数。这个基生成的格与基 1 相同（因为 $\begin{pmatrix} 1 & N \\ 0 & 1 \end{pmatrix} = \begin{pmatrix} 1 & 0 \\ 0 & 1 \end{pmatrix} \begin{pmatrix} 1 & N \\ 0 & 1 \end{pmatrix}$，且变换矩阵 $\begin{pmatrix} 1 & N \\ 0 & 1 \end{pmatrix}$ 是幺模矩阵，行列式为 1）。但是，基 2 中的向量 $\mathbf{b}'_2$ 非常长，而且 $\mathbf{b}'_1$ 和 $\mathbf{b}'_2$ 之间的夹角非常小（接近线性相关）。

使用像基 2 这样的“坏”基，可能会给计算带来麻烦：

• 基向量本身可能非常长，难以处理。
• 基向量之间近似线性相关，使得数值计算不稳定。
• 基于这样的基进行搜索（例如搜索短向量或最近向量）可能会非常低效。

格基约化的目标 就是要找到一个给定格 $\mathcal{L}$ 的“好”的基 $\mathbf{B}' = \{\mathbf{b}'_1, \dots, \mathbf{b}'_n\}$。什么样的基算是“好”的呢？通常我们希望基满足以下性质：

1. 向量长度较短 (Shortness): 基向量本身的长度 $||\mathbf{b}'_i||$ 应该相对较小。特别是，第一个基向量 $\mathbf{b}'_1$ 应该接近格中最短的非零向量。
2. 近似正交 (Near Orthogonality): 基向量之间应该尽可能地接近正交。完全正交的基只在某些特殊格中存在，但我们希望基向量之间的“倾斜程度”不要太大。

一个满足这些条件的基称为 约化基 (Reduced Basis)。LLL 算法就是一种寻找约化基的算法，它定义的“好”基具有明确的数学性质（即 LLL 约化条件），并且该算法能在多项式时间内完成。

在 LLL 算法之前，也存在其他的格基约化方法，例如 Lagrange 算法（二维）和 Hermite-Korkine-Zolotarev (HKZ) 约化，但它们要么只适用于低维，要么计算复杂度很高（指数级）。LLL 算法的突破在于它在 任意维度 上实现了 多项式时间 的约化，尽管其输出的基的质量（向量长度和正交性）可能不如 HKZ 约化。

1. 尺寸约化条件 (Size Reduction Condition):#

对于所有的 $1 \le j < i \le n$，要求 GSO 系数满足： $|\mu_{ij}| = \left| \frac{\langle \mathbf{b}_i, \mathbf{b}^*_j \rangle}{||\mathbf{b}^*_j||^2} \right| \le \frac{1}{2}$ 几何意义： 回忆 $\mathbf{b}_i = \mathbf{b}^*_i + \sum_{j=1}^{i-1} \mu_{ij} \mathbf{b}^*_j$。这个条件要求 $\mathbf{b}_i$ 在每个 $\mathbf{b}^*_j$ ($j<i$) 方向上的投影系数绝对值不超过 1/2。这意味着 $\mathbf{b}_i$ 相对其 GSO 分量 $\mathbf{b}^*_i$ 而言，在与 $\text{span}(\mathbf{b}_1, \dots, \mathbf{b}_{i-1})$ 平行的方向上没有“过长”的分量。如果某个 $|\mu_{ij}| > 1/2$，我们可以通过从 $\mathbf{b}_i$ 中减去 $\mathbf{b}_j$ 的整数倍来减小这个系数，而不改变格本身。具体操作是：令 $r = \text{round}(\mu_{ij})$（取最接近 $\mu_{ij}$ 的整数），然后更新 $\mathbf{b}_i \leftarrow \mathbf{b}_i - r \mathbf{b}_j$。这个操作会改变 $\mu_{ik}$ (其中 $k<j$) 的值，但会使得新的 $\mu_{ij}$ 满足 $|\mu_{ij}| \le 1/2$，并且不影响 $\mathbf{b}^*_1, \dots, \mathbf{b}^*_i$（因为 $\mathbf{b}_j$ 在 $\text{span}(\mathbf{b}^*_1, \dots, \mathbf{b}^*_{j})$ 内，而 $\mathbf{b}^*_i$ 与这个子空间正交）。

2. Lovász 条件 (Lovász Condition):#

引入一个参数 $\delta$，通常取 $1/4 < \delta \le 1$。最常用的值是 $\delta = 3/4$。Lovász 条件要求对于所有的 $i = 2, \dots, n$： $||\mathbf{b}^*_i||^2 \ge \left(\delta - \mu_{i, i-1}^2\right) ||\mathbf{b}^*_{i-1}||^2$ 几何意义： 这个条件限制了相邻 GSO 向量长度的下降速度。考虑 $\mathbf{b}_i$ 在 $\text{span}(\mathbf{b}_1, \dots, \mathbf{b}_{i-1})$ 上的投影。它的主要分量是 $\mu_{i, i-1} \mathbf{b}^*_{i-1}$（如果尺寸约化已完成，其他 $\mu_{ij}$ 较小）。$\mathbf{b}_i$ 可以近似看作 $\mathbf{b}^*_i + \mu_{i, i-1} \mathbf{b}^*_{i-1}$（加上其他方向的小分量）。Lovász 条件实际上是在比较 $\mathbf{b}_i$ 投影到 $\text{span}(\mathbf{b}^*_1, \dots, \mathbf{b}^*_i)$ 后与 $\mathbf{b}_{i-1}$ 投影到 $\text{span}(\mathbf{b}^*_1, \dots, \mathbf{b}^*_{i-1})$ 后的长度关系。 将 $\mathbf{b}_i$ 在 $\text{span}(\mathbf{b}_{i-1}, \mathbf{b}^*_i)$ 子空间中的投影记为 $\text{proj}_{i-1}(\mathbf{b}_i) = \mu_{i,i-1}\mathbf{b}^*_{i-1} + \mathbf{b}^*_i$。它的长度平方是 $||\mu_{i,i-1}\mathbf{b}^*_{i-1} + \mathbf{b}^*_i||^2 = \mu_{i,i-1}^2 ||\mathbf{b}^*_{i-1}||^2 + ||\mathbf{b}^*_i||^2$ (因为 $\mathbf{b}^*_{i-1}$ 和 $\mathbf{b}^*_i$ 正交)。 Lovász 条件 $\delta ||\mathbf{b}^*_{i-1}||^2 \le \mu_{i, i-1}^2 ||\mathbf{b}^*_{i-1}||^2 + ||\mathbf{b}^*_i||^2$ (使用书中原始形式 $\delta ||\mathbf{b}^*_{i-1}||^2 \le ||\mathbf{b}^*_i + \mu_{i,i-1} \mathbf{b}^*_{i-1}||^2$) 可以重新写作： $||\mathbf{b}^*_i||^2 \ge (\delta - \mu_{i, i-1}^2) ||\mathbf{b}^*_{i-1}||^2$ 如果这个条件 不满足，意味着 $\mathbf{b}^*_i$ 相对于 $\mathbf{b}^*_{i-1}$ 来说“太短”了。直观上，这意味着 $\mathbf{b}_i$ 比 $\mathbf{b}_{i-1}$ 更能提供一个“更短”的正交方向。在这种情况下，LLL 算法会 交换 (swap) $\mathbf{b}_{i-1}$ 和 $\mathbf{b}_i$。这个交换操作会改变 GSO 向量 $\mathbf{b}^*_{i-1}$ 和 $\mathbf{b}^*_i$ 以及相关的 $\mu$ 系数，但目的是让 GSO 向量的长度更平稳地下降（或不下降）。 当 $\delta=3/4$ 且尺寸约化条件满足 ($|\mu_{i,i-1}| \le 1/2$) 时，$\delta - \mu_{i,i-1}^2 \ge 3/4 - (1/2)^2 = 3/4 - 1/4 = 1/2$。所以 Lovász 条件隐含了 $||\mathbf{b}^*_i||^2 \ge \frac{1}{2} ||\mathbf{b}^*_{i-1}||^2$。这防止了 GSO 向量长度的急剧下降。