LLL-Algorithmus

Der LLL-Algorithmus i​st ein n​ach Arjen Lenstra, Hendrik Lenstra u​nd László Lovász benannter Algorithmus, d​er für e​in Gitter e​ine Basis a​us möglichst kurzen Vektoren berechnet. Diese Vektoren s​ind Approximationen für d​ie kürzesten voneinander linear unabhängigen Vektoren d​es Gitters. Bei seiner Entdeckung w​ar der LLL-Algorithmus d​er erste effiziente Gitterreduktionsalgorithmus.

Kurze Gittervektoren

Eine Gitterbasis lässt sich als Matrix ${\displaystyle B=[b_{1},\dots ,b_{n}]\in \mathbb {R} ^{m}}$ angeben. Der kürzeste Gittervektor minimiert die Norm des Vektors ${\displaystyle \textstyle \sum _{i=1}^{n}t_{i}b_{i}}$, wobei ${\displaystyle t_{1},\dots ,t_{n}\in \mathbb {Z} }$ nicht alle gleich 0 sind. Der LLL-Algorithmus führt diese Minimierung bezüglich der euklidischen Norm durch.

LLL-Basen

Definition

Üblicherweise werden LLL-Basen über ihre QR-Zerlegung ${\displaystyle B=QR}$ definiert. Eine LLL-Basis ${\displaystyle B=QR}$ zum Reduktionsfaktor ${\displaystyle \delta \in \left[{\frac {1}{4}},1\right]}$ wird über folgende zwei Eigenschaften definiert:

1. ${\displaystyle 2|r_{i,j}|\leq r_{j,j},1\leq j<i\leq n}$ (Längenreduktion),
2. ${\displaystyle \delta r_{i,i}^{2}\leq r_{i+1,i}^{2}+r_{i+1,i+1}^{2},1\leq i<n}$ (LLL-Eigenschaft)

Dabei sind ${\displaystyle r_{i,j}}$ die Einträge der Matrix ${\displaystyle R}$. Es wird angenommen, dass die QR-Zerlegung von ${\displaystyle B}$ so durchgeführt wird, dass die Hauptdiagonale von ${\displaystyle R}$ keine negativen Elemente enthält.

Der Reduktionsfaktor ${\displaystyle \delta }$ gibt die Stärke der Reduktion an: Je näher er an 1 liegt, desto kürzer sind die Vektoren der reduzierten Basis. Für ${\displaystyle \delta =1}$ ist nicht bekannt, ob es einen effizienten Algorithmus gibt.

Eigenschaften

LLL-reduzierte Basen approximieren die kürzesten Vektoren mit einem Approximationsfaktor, der exponentiell in der Anzahl der Vektoren ist. Im Folgenden sei ${\displaystyle \alpha$ :={\tfrac {1}{\delta -{\frac {1}{4}}}}} . Offensichtlich ist ${\displaystyle \alpha \geq {\tfrac {4}{3}}}$. Der ${\displaystyle i}$-te LLL-reduzierte Vektor ${\displaystyle b_{i}}$ approximiert das ${\displaystyle i}$-te sukzessive Minimum ${\displaystyle \lambda _{i}}$ auf folgende Weise: ${\displaystyle {\tfrac {||b_{i}||^{2}}{\lambda _{i}^{2}}}\leq \alpha ^{n-1}}$, wobei das ${\displaystyle i}$-te sukzessive Minimum die Länge des ${\displaystyle i}$-ten kürzesten Vektors ist, der von keiner Menge kürzerer Vektoren linear abhängig ist.

Algorithmus

1. Berechne die erste Spalte von ${\displaystyle R}$.
2. Setze ${\displaystyle k:=2}$ (${\displaystyle k}$ ist die Spalte, die gerade bearbeitet werden soll; die ersten ${\displaystyle k-1}$ Spalten sind immer LLL-reduziert)
3. Solange ${\displaystyle k\leq n}$ wiederhole: Berechne die ${\displaystyle k}$-te Spalte von ${\displaystyle R}$, längenreduziere sie (Algorithmus siehe unten). Prüfe, ob die LLL-Eigenschaft für die Spalten ${\displaystyle k-1}$ und ${\displaystyle k}$ erfüllt ist.
4. Falls ja: Setze ${\displaystyle k:=k+1}$
5. Falls nein: Vertausche Spalten ${\displaystyle k-1}$ und ${\displaystyle k}$, setze ${\displaystyle k:=\max(k-1,2)}$.

Der Algorithmus folgt unmittelbar aus der Definition: Erzwinge Spalte für Spalte, dass ${\displaystyle B}$ eine LLL-Basis ist. Längenreduktion lässt sich leicht herbeiführen. Lediglich die LLL-Eigenschaft ist kompliziert, weil sie indirekt weit voneinander entfernte Spalten in Beziehung bringt. Darum ist es nötig, Spalten zu vertauschen und wieder einen Schritt zurückzugehen.

Längenreduktion

Die Matrix ${\displaystyle R}$ ist eine obere Dreiecksmatrix mit positiver Diagonale. Ziel der Längenreduktion ist es, alle Nicht-Diagonalelemente möglichst (betragsmäßig) klein zu machen, ohne das Gitter zu verändern. Jede Zeile von ${\displaystyle R}$ hat folgenden Aufbau: null oder mehr Nullen, das Diagonalelement, null oder mehr weitere Elemente. Dabei besitzen die Nullen schon den kleinstmöglichen Betrag. Die LLL-Eigenschaft sorgt dafür, dass das Diagonalelement nicht allzu groß sein kann. Die Längenreduktion bewirkt nun für alle folgenden Elemente, dass sie betragsmäßig höchstens halb so groß wie das Diagonalelement sind. Das lässt sich dadurch herbeiführen, dass für jedes zu große Nicht-Diagonalelement die Spalte, die das entsprechende Diagonalelement enthält, so oft addiert oder subtrahiert wird, bis das zu große Element betragsmäßig minimal ist. Der folgende Algorithmus längenreduziert die ${\displaystyle k}$-te Spalte von ${\displaystyle R}$:

1. Für ${\displaystyle i=k-1,\dots ,1}$ wiederhole:
2. ${\displaystyle R_{i}:=R_{i}-\left[{\frac {r_{i,k}}{r_{k,k}}}\right]R_{k}}$

Dabei ist ${\displaystyle R_{i}}$ der ${\displaystyle i}$-te Spaltenvektor von ${\displaystyle R}$ und ${\displaystyle [\cdot ]}$ die Rundungsfunktion, die auf die nächste ganze Zahl rundet. Es ist wichtig, dass Schritt 2. mit fallendem und nicht mit steigendem ${\displaystyle i}$ ausgeführt wird.

Anwendungen

Eine erste hervorragende Anwendung erhielt der LLL-Algorithmus 1984 bei der Widerlegung der mit der Riemannschen Vermutung zusammenhängenden Mertensschen Vermutung durch Andrew Odlyzko und Herman te Riele.[1] Dabei wurde ein Gitter der Dimension 70 konstruiert und seine Basis reduziert, das es erlaubte, ein Problem der mehrdimensionalen inhomogenen diophantischen Approximation mit ausgewählten nichttrivialen Nullstellen der Riemannschen Zetafunktion näherungsweise zu lösen. 2006 wurde die Berechnung an Gittern der Dimension um 100 wiederholt und die Ergebnisse verbessert.[2]

Der Algorithmus findet Anwendung in vielen Bereichen, teilweise in modifizierter Version. Er lässt sich auch auf zum ${\displaystyle \mathbb {Z} ^{n}}$ isometrisch isomorphen Gittern anwenden, wobei die Reduktion dann bezüglich des dortigen Skalarprodukts durchgeführt wird. Ein eher unerwartetes Beispiel hierfür ist der Algorithmus von Unger[3] aus der Gruppentheorie, der zum Finden von irreduziblen Charakteren einer Gruppe verwendet wird.

Da i​n bestimmten Anwendungen d​es Algorithmus d​ie anfangs vorliegenden Basisvektoren e​ine außerordentliche Länge aufweisen können, w​urde angestrebt, s​eine Laufzeit i​n Abhängigkeit v​on dieser Länge z​u verringern. Es wurden Varianten entwickelt, d​ie eine quadratische Zeitkomplexität bezüglich d​er Bitlänge d​er Ausgangsdaten[4] o​der sogar nahezu lineare Komplexität[5] besitzen.

Literatur

• A. K. Lenstra, H. W. Lenstra, Jr., L. Lovász: Factoring polynomials with rational coefficients. In: Mathematische Annalen. Band 261, Nr. 4, 1982, S. 515–534, doi:10.1007/BF01457454.
• Phong Q. Nguyen, Brigitte Valée (Hrsg.): The LLL algorithm. Survey and applications. Springer 2010, ISBN 978-3-642-02294-4.
• Murray R. Bremner: Lattice basis reduction: An introduction to the LLL algorithm and its applications. CRC Press 2011, ISBN 978-1-439-80702-6.

Einzelnachweise

1. A. M. Odlyzko, H. J. J. te Riele: Disproof of the Mertens conjecture. (Memento des Originals vom 16. Februar 2013 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. J. reine angew. Math. 357 (1985), S. 138–160
2. T. Kotnik, H. J. J. te Riele: Mertens conjecture revisited. ANTS 7 (Lecture Notes Computer Science 4076) (2006), S. 156–167
3. William R. Unger: Computing the character table of a finite group, Journal of Symbolic Computation 41 (2006) No. 8, 847–862
4. Phong Q. Nguyen, Damien Stehlé: An LLL algorithm with quadratic complexity. SIAM J. Comput. 39 (2009) Nr. 3, S. 874–903
5. Andrew Novocin, Damien Stehlé, Gilles Villard: An LLL-reduction algorithm with quasi-linear time complexity. STOC 2011 (Symposium on Theory of Computing), S. 403–412

Weblinks

• Gitter und Kryptographie (PDF; 1015 kB). Johann Wolfgang Goethe-Universität Frankfurt am Main, 17. Oktober 2011 (Skript für die Vorlesungen von Prof. C. P. Schnorr, Wintersemester 2010).
• Phong Q. Nguyen: Lattice reduction algorithms: Theory and practice. eingeladener Powerpoint-Vortrag zur EUROCRYPT'11-Konferenz