Fugu-MT 論文翻訳(概要): Wagner's Algorithm Provably Runs in Subexponential Time for SIS$^\infty$

論文の概要: Wagner's Algorithm Provably Runs in Subexponential Time for SIS$^\infty$

arxiv url: http://arxiv.org/abs/2503.23238v1
Date: Sat, 29 Mar 2025 22:32:59 GMT
ステータス: 翻訳完了
システム内更新日: 2025-04-01 14:32:13.437641
Title: Wagner's Algorithm Provably Runs in Subexponential Time for SIS$^\infty$
Title（参考訳）: WagnerのアルゴリズムはSIS$^\infty$の指数時間で実行可能である
Authors: Léo Ducas, Lynn Engelberts, Johanna Loyer,
Abstract要約: Avariant of the Blum-Kalai-Wasserman (B) algorithm should solve the Learning with Errors problem (LWE) 我々は、このワグナーステップを、投影された格子の連鎖を後方に歩き、補助的な超格子をジグザグするものとして再解釈する。このアプローチはサンプル増幅を回避し、ワグナーのアルゴリズムを$q$ary格子に対して近似した離散ガウス標本化器に変換する。
参考スコア（独自算出の注目度）: 4.908917260079968
License:
Abstract: At CRYPTO 2015, Kirchner and Fouque claimed that a carefully tuned variant of the Blum-Kalai-Wasserman (BKW) algorithm (JACM 2003) should solve the Learning with Errors problem (LWE) in slightly subexponential time for modulus $q=\mathrm{poly}(n)$ and narrow error distribution, when given enough LWE samples. Taking a modular view, one may regard BKW as a combination of Wagner's algorithm (CRYPTO 2002), run over the corresponding dual problem, and the Aharonov-Regev distinguisher (JACM 2005). Hence the subexponential Wagner step alone should be of interest for solving this dual problem - namely, the Short Integer Solution problem (SIS) - but this appears to be undocumented so far. We re-interpret this Wagner step as walking backward through a chain of projected lattices, zigzagging through some auxiliary superlattices. We further randomize the bucketing step using Gaussian randomized rounding to exploit the powerful discrete Gaussian machinery. This approach avoids sample amplification and turns Wagner's algorithm into an approximate discrete Gaussian sampler for $q$-ary lattices. For an SIS lattice with $n$ equations modulo $q$, this algorithm runs in subexponential time $\exp(O(n/\log \log n))$ to reach a Gaussian width parameter $s = q/\mathrm{polylog}(n)$ only requiring $m = n + \omega(n/\log \log n)$ many SIS variables. This directly provides a provable algorithm for solving the Short Integer Solution problem in the infinity norm ($\mathrm{SIS}^\infty$) for norm bounds $\beta = q/\mathrm{polylog}(n)$. This variant of SIS underlies the security of the NIST post-quantum cryptography standard Dilithium. Despite its subexponential complexity, Wagner's algorithm does not appear to threaten Dilithium's concrete security.
Abstract（参考訳）: CRYPTO 2015において、Kirchner と Fouque は Blum-Kalai-Wasserman (BKW) アルゴリズムの注意深く調整された変種 (JACM 2003) は、十分な LWE サンプルが与えられたとき、 modulus $q=\mathrm{poly}(n)$ に対してわずかに指数関数時間でLWE(Learning with Errors problem) を解くべきであると主張した。モジュラービューをみると、BKWはワグナーのアルゴリズム(CRYPTO 2002)とアハロノフ=レーゲフ微分器(JACM 2005)の組み合わせと見なすことができる。したがって、ワーグナーのステップだけでは、この二重問題(すなわち、ショート・インテガー・ソリューション問題(SIS))を解決することには興味があるはずだが、これまでのところ文書化されていないようだ。我々は、このワグナーステップを、投影された格子の連鎖を後方に歩き、補助的な超格子をジグザグするものとして再解釈する。さらに、ガウスのランダム化ラウンドリングを用いてバケットのランダム化を行い、ガウスの強力な離散機械を利用する。このアプローチはサンプル増幅を回避し、ワグナーのアルゴリズムを$q$ary格子に対して近似した離散ガウス標本化器に変換する。 n$ 方程式を modulo $q$ とする SIS 格子に対して、このアルゴリズムは部分指数時間 $\exp(O(n/\log \log n))$ をガウス幅パラメータ $s = q/\mathrm{polylog}(n)$ に到達するために動作し、$m = n + \omega(n/\log \log n)$ 多くの SIS 変数を必要とする。これは、ノルム境界$\beta = q/\mathrm{polylog}(n)$に対して、infinity norm$\mathrm{SIS}^\infty$)で短整数解を解くための証明可能なアルゴリズムを直接提供する。このSISの派生型は、NISTのポスト量子暗号標準であるディリシウムのセキュリティの根底にある。余分な複雑さにもかかわらず、ワグナーのアルゴリズムはディリシウムの具体的なセキュリティを脅かしていないように見える。

論文の概要: Wagner's Algorithm Provably Runs in Subexponential Time for SIS$^\infty$

関連論文リスト