60、带预处理的最近向量问题的对偶格攻击

带预处理的最近向量问题的对偶格攻击

1. 带预处理的最近向量问题

1.1 应用场景

研究了两个不同的应用场景：
- 给定大量目标向量，判断它们是来自预设目标分布还是随机分布。
- 只有一个目标向量，要么正确区分其来源，要么找到与之最近的格点。

前者的渐近复杂度较低，因为可以为不同目标重用最短对偶向量。

1.2 多目标区分引理

假设给定任意数量的目标 $t_1, t_2, \cdots$，它们要么都来自随机目标分布，要么都来自半径为 $r \cdot g_d$（$r > 0$）的预设目标分布。设 $w \in L^*$ 是范数 $|w| = g_d(1 + o(1))$ 的最短对偶向量，且 $w$ 已知。则启发式地，我们可以在时间 $T$ 内区分这两种情况：
$T = 2^{r^2(d + o(d))/(e^2 \ln 2)} \approx 2^{0.195r^2(d + o(d))}$

当 $r = 1$ 时，需要 $2^{0.195d + o(d)}$ 个目标向量来区分预设目标和随机目标。此方法仅在使用多个目标时有效，否则对偶向量长度增加，会提高渐近复杂度。需要注意的是，在此时间内并不保证能找到任何目标的最近向量。

即使 $r \gg 1$，也能获得非零的区分优势。这是因为即使在距离 $\lambda_1(L)$ 为 10 倍的位置预设目标，得到的分布与均匀分布（模基本域）仍略有不同。不过，当 $r$ 很大时，该分布几乎与随机分布无法区分。

1.3 单目标区分引理

假设给定一个目标 $t$，它要么来自随机目标分