后量子签名：Hash-and-Sign（上篇）

参考文献：

1. [CT65] Cooley J W, Tukey J W. An algorithm for the machine calculation of complex Fourier series[J]. Mathematics of computation, 1965, 19(90): 297-301
2. [Babai86] Babai L. On Lovász’lattice reduction and the nearest lattice point problem[J]. Combinatorica, 1986, 6: 1-13.
3. [GGH97] Goldreich O, Goldwasser S, Halevi S. Public-key cryptosystems from lattice reduction problems[C]//Advances in Cryptology—CRYPTO’97: 17th Annual International Cryptology Conference Santa Barbara, California, USA August 17–21, 1997 Proceedings 17. Springer Berlin Heidelberg, 1997: 112-131.
4. [HPS98] Hoffstein J, Pipher J, Silverman J H. NTRU: A ring-based public key cryptosystem[C]//International algorithmic number theory symposium. Berlin, Heidelberg: Springer Berlin Heidelberg, 1998: 267-288.
5. [Ajtai99] Ajtai M. Generating hard instances of the short basis problem[C]//Automata, Languages and Programming: 26th International Colloquium, ICALP’99 Prague, Czech Republic, July 11–15, 1999 Proceedings 26. Springer Berlin Heidelberg, 1999: 1-9.
6. [Klein00] Klein P. Finding the closest lattice vector when it’s unusually close[C]//Proceedings of the eleventh annual ACM-SIAM symposium on Discrete algorithms. 2000: 937-941.
7. [GPV08] Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions[C]//Proceedings of the fortieth annual ACM symposium on Theory of computing. 2008: 197-206.
8. [SS11] Stehlé D, Steinfeld R. Making NTRU as secure as worst-case problems over ideal lattices[C]//Advances in Cryptology–EUROCRYPT 2011: 30th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Tallinn, Estonia, May 15-19, 2011. Proceedings 30. Springer Berlin Heidelberg, 2011: 27-47.
9. [BLISS] Ducas L, Durmus A, Lepoint T, et al. Lattice signatures and bimodal Gaussians[C]//Advances in Cryptology–CRYPTO 2013: 33rd Annual Cryptology Conference, Santa Barbara, CA, USA, August 18-22, 2013. Proceedings, Part I. Springer Berlin Heidelberg, 2013: 40-56.
10. [DP16] Ducas L, Prest T. Fast fourier orthogonalization[C]//Proceedings of the ACM on International Symposium on Symbolic and Algebraic Computation. 2016: 191-198.
11. [Falcon] Fouque P A, Hoffstein J, Kirchner P, et al. Falcon: Fast-Fourier lattice-based compact signatures over NTRU[J]. Submission to the NIST’s post-quantum cryptography standardization process, 2018, 36(5).
12. [ZS19] Zhao R K, Steinfeld R, Sakzad A. FACCT: fast, compact, and constant-time discrete Gaussian sampler over integers[J]. IEEE Transactions on Computers, 2019, 69(1): 126-137.
13. [MG02] Micciancio D, Goldwasser S. Complexity of lattice problems: a cryptographic perspective[M]. Springer Science & Business Media, 2002.

简介

Hash-and-Sign 范式：令 $f$ 是一个公开的 trapdoor OWF，签名者持有其陷门 $t$。我么用 $H$ 表示随机神谕（Random Oracle）。给定消息 $m$，签名者访问 RO 获得随机数 $d=H(m)$，令签名值为 $s=f^{-1}(d)$。验证者计算 $d=f(s)$，判断它是否等于 $H(m)$。出于安全归约的需要，有时需要引入随机盐 $r$ 以及随机带 $rd$，签名值的计算变为 $s=f^{-1}(H(m\Vert r);rd)$。

基于格上陷门的签名方案最早是在 [GGH97] 中描述：由满秩矩阵 $A\in {\mathbb{Z}}_q^{n\times m}$（行矢，$m>n$）定义的垂直格 ${\Lambda }_q^{\perp }=\{x\in {\mathbb{Z}}^m:Ax=0(\mathrm{mod}q)\}$，假设 $B\in {\mathbb{Z}}_q^{m\times m}$ 是格 ${\Lambda }_q^{\perp }$ 的一组 “好” 的基底，$B{A}^T=0$。令 $c\in {\mathbb{Z}}_q^m$ 是实向量，通过求解线性方程组 $c{A}^T=H(m)(\mathrm{mod}q)$ 得到。那么根据 [Babai86] 的 Round-off 算法，$v=\lfloor c{B}^{-1}\rceil B$ 就是接近 $c$ 的一个 ${\Lambda }_q^{\perp }$ 上格点，计算短向量 $s=c-v$ 作为签名值，容易验证 $s{A}^T=c{A}^T=H(m)$。由于函数 $f(c):=c{A}^T$ 基于 SIS 问题，它的定义域是短向量 $c$ 的收集，因此验签者首先需要检查 $s$ 的长度。然而 Round-off 算法的输出满足 $v-c\in \mathcal{P}(B)$，因此签名值 $s$ 泄露了 $\mathcal{P}(B)$ 的形状。

[Babai86] 描述的另一个 Nearest Plane 算法，其输出满足 $v-c\in \mathcal{P}(\tilde{B})$，这里 $\tilde{B}$ 是 Gram-Schmidt 正交基，因此它也一样会泄露私钥 $B$ 的信息。[Klein00] 提出了 NP 算法的一个随机化变体，在 [GPV08] 中对这个算法进行了详细分析，指出当高斯参数满足 $s\ge {\eta }_{ϵ}(\mathbb{Z})\cdot \Vert B{\Vert }_{GS}$ 时，Klein 采样算法的输出分布与 $D_{{\Lambda }_q^{\perp },s,c}$ 统计接近，因此在计算困难的意义下它不会泄露私钥的信息。[GPV08] 给出了 PSF（Preimage Sampleable Functions）的定义，并将 Klein 算法作为基于 SIS 问题的 PSF 实例化。[GPV08] 使用 Klein 算法，按照中心 $c$ 的球面高斯分布采样 ${\Lambda }_q^{\perp }$ 上格点 $v\leftarrow D_{{\Lambda }_q^{\perp },s,c}$，那么签名值 $s=c-v$ 是服从离散高斯分布 $D_{c+{\Lambda }_q^{\perp },s,0}$ 的短向量，这不会泄露私钥 $B$ 的信息。这就给出了第一个可证明安全的基于格上陷门的签名算法，其签名算法的复杂度主要依赖于 PSF 中的陷门原像采样算法的复杂度。

Klein 算法的复杂度是 $O(m^2)$，对于实际密码算法中成百上千的维度这个平方量级的复杂度是不可接受的。实用化的格密码算法基本都通过引入代数结构（例如 RSIS, RLWE, MLWE 等等），来追求安全性和计算/通信效率之间的平衡。[DP16] 研究了理想格上的正交分解算法，通过构造一组数域塔上的线性同构，可以预计算基底 $B$ 的稀疏分解树，它提供了 FFT 域下多项式运算与 NP 算法的兼容性，将复杂度降低到了 $O(m\log m)$。[SS11] 基于 [GPV08] 介绍的 PSF，第一次构造出了可证明安全的 NTRU 签名方案。由于 NTRU 问题可以视为特殊的 RSIS 问题，因此它可以使用 [DP16] 的陷门采样器，利用 FFT 来加速签名过程。

陷门采样器中的一个关键组件是离散高斯采样器，更精确地说是整数环 $\mathbb{Z}$ 上的一维离散高斯采样器。[BLISS] 中对于标准差为 ${\sigma }_0=\sqrt{1/(2\ln 2)}$ 的半高斯分布 $D_{{\sigma }_0}^{+}$ 提出了高效的二进制采样算法（观察到 $e^{-t/2{\sigma }_0^2}=2^{-t}$），再通过拒绝采样算法裁剪出离散高斯分布 $D_{k{\sigma }_0},\forall k\in {\mathbb{Z}}^{+}$。在 [ZS20] 中使用卷积定理和超越函数的多项式逼近技术，用多项式来模拟指数函数 $2^{-t},t\in [0,\ln 2]$，获得了更快更紧凑的高斯采样器。

陷门采样技术

原像采样函数

定义参数 $s>0$ 的高斯函数为 ${\rho }_{s,c}(x):=exp(-\pi \Vert x-c{\Vert }^2/s^2)$，格 $\Lambda$ 上以 $c$ 为中心的离散高斯分布为
$$D_{\Lambda ,s,c}(x):=\frac{{\rho }_{s,c}(x)}{{\rho }_{s,c}(\Lambda )}$$
给定 $ϵ>0$，平滑参数 ${\eta }_{ϵ}(\Lambda )$ 定义为满足 ${\rho }_{1/s}({\Lambda }^{\ast }-\{0\})\le ϵ$ 的最小实数。对于任意的 $ϵ\in (0,1)$，$c\in {\mathbb{R}}^n$，如果 $s\ge {\eta }_{ϵ}(\Lambda )$，那么
$$\frac{1-ϵ}{1+ϵ}\cdot {\rho }_s(\Lambda )\le {\rho }_{s,c}(\Lambda )\le {\rho }_s(\Lambda )$$
非齐次 SIS 问题（ISIS）定义为：给定素数 $q$ 和实数 $\beta$，均匀选取矩阵 $A\in {\mathbb{Z}}_q^{n\times m}$（列矢，$m<n$）和校验子 $y\in {\mathbb{Z}}_q^n$，寻找 $x\in {\mathbb{Z}}^m$ 使得 $Ax=y(\mathrm{mod}q)$，并满足 $\Vert x\Vert \le \beta$。它可以被视作格 ${\Lambda }_q^{\perp }(A)$ 上的校验子解码问题（syndrome decoding problem）。

定理 1（[Ajtai99]）给定素数 $q=poly(n)$ 以及 $m\ge 5n\log q$，存在 PPT 算法，输出 $A\in {\mathbb{Z}}_q^{n\times m}$ 以及满秩向量组 $S\subseteq {\Lambda }_q^{\perp }(A)$（不一定是格基），使得 $A$ 是统计均匀的，并且满足 $\Vert S\Vert \le m^{2.5}$。

定理 2（[MG02]）存在确定性多项式时间算法，给定格 $\Lambda$ 的一组基 $B$（列矢）以及满秩向量组 $S\subseteq \Lambda$，输出新的格基 $T$，满足 $\Vert {\tilde{t}}_i\Vert \le \Vert {\tilde{s}}_i\Vert ,\forall i\in [n]$。确切地说，求解 $S=BQ$ 得到 $Q$，找出使得 $UQ$ 是上三角阵的幺正变换 $U$ ，那么 $T=B{U}^{-1}$ 就是满足上述条件的一组格基。

定理 3（[GPV08]）存在一个期望 PPT 的算法（Klein 算法），给定 $n$ 维格 $\Lambda$ 的一组基 $B$，中心 $c\in {\mathbb{R}}^n$，以及满足 $s\ge \Vert B{\Vert }_{GS}\cdot w(\sqrt{\log n})$ 的高斯参数（其中 $w(\sqrt{\log n})\ge {\eta }_{ϵ}(\mathbb{Z})$），它的输出分布与离散高斯分布 $D_{\Lambda ,s,c}$ 的统计距离至多为 $((\frac{1+ϵ}{1-ϵ}{)}^n-1)/2$。

[GPV08] 中提出了原像采样函数（PSFs），它是一组 PPT 算法 $(TrapGen,SampleDom,SamplePre)$：

1. $TrapGen(1^n)$ 输出 $(a,t)$，其中 $a$ 索引一个函数 $f_a:D_n\to R_n$，而 $t$ 是它的陷门信息。
2. $SampleDom(1^n)$ 在域 $D_n$ 上按照某种分布 $\chi$ 采样 $x$，使得 $f_a(x)$ 是值域 $R_n$ 上的均匀分布。
3. $SamplePre(t,y)$ 在域 $D_n$ 上采样 $x$，它服从条件 $f_a(x)=y$ 下的 $\chi$ 分布。

如果对于随机选取的 $a$ 和 $y\in R_n$，任意的 PPT 敌手 $A$ 都无法以显著概率求出原像 $f_a^{-1}(y)\in D_n$，那么我们称它是一族单向 PSFs。如果任意的 $y\in R_n$，使得条件 $f_a(x)=y$ 下 $x$ 的最小熵至少为 $w(\log n)$，且 $f_a$ 是抗碰撞函数，那么我们称它是一族抗碰撞 PSFs。

现在，我们给出 PSF 的一个实例化。根据定理 1 和定理 2，我们可以生成 $A\in {\mathbb{Z}}_q^{n\times m},T\subseteq {\Lambda }_q^{\perp }(A)$，其中 $A$ 是格 ${\Lambda }_q^{\perp }(A)$ 的描述，$T$ 是它的一组短格基，满足 $\Vert T{\Vert }_{GS}\le m^{2.5}$。定义 $f_A(x):=Ax(\mathrm{mod}q)$，选取 $s\ge m^{2.5}\cdot w(\sqrt{\log m})$，它的定义域为 $D_n:=\{x\in {\mathbb{Z}}^m:\Vert x\Vert \le s\sqrt{m}\}$，输入分布为 $D_{{\mathbb{Z}}^m,s}$，值域为 $R_n:={\mathbb{Z}}_q^n$，而 $T$ 是它的陷门。它的陷门采样算法为：给定 $y\in R_n$，首先求解线性方程组 $At=y(\mathrm{mod}q)$ 获得 $t\in {\mathbb{Z}}^m$（不一定属于 $D_n$），然后根据定理 3，我们可以使用陷门 $T$ 按照 $D_{{\Lambda }_q^{\perp }(A),s,t}$ 采样某个格点 $v$，这使得 $x=t-v$ 是服从 $D_{t+{\Lambda }_q^{\perp }(A),s}$ 的原像。

定理4（[GPV08]）如果 $ISI{S}_{q,m,s\sqrt{m}}$ 是困难的，则上述构造是一族单向 PSFs。如果 $ISI{S}_{q,m,2s\sqrt{m}}$ 是困难的，则上述构造是一族抗碰撞 PSFs。

Klein’s algorithm

下面我们描述 [GPV08] 的 PSFs 最关键的部分，[Klein00] 的随机化 NP 算法。如果给定格基 $B$，对于远大于 $\Vert B{\Vert }_{GS}$ 的高斯参数 $s$，直接从连续高斯分布中采样，然后舍入到最近格点上，可以获得较好的近似。然而，对于略大于 $\Vert B{\Vert }_{GS}$ 的那些高斯参数 $s$，上述舍入策略获得的输出分布将与目标离散高斯分布有着显著的统计距离。首先利用拒绝采样技术（rejection sampling），直接在整数格 $\mathbb{Z}$ 上进行离散高斯采样，然后再利用 Babai 的 NP 算法合成出任意格上的离散高斯分布。

定理 5（[GPV08]）对于任意的 $ϵ>0$，$s\ge {\eta }_{ϵ}(\mathbb{Z})$，给定任意的 $t>0$，都有
$$Pr\left[|x-c|\ge t\cdot s:x\leftarrow D_{\mathbb{Z},s,c}\right]\le 2e^{-\pi t^2}\cdot \frac{1+ϵ}{1-ϵ}$$
对于整数格 $\mathbb{Z}$ 上中心 $c\in \mathbb{R}$ 参数 $s>0$ 的离散高斯分布 $D_{\mathbb{Z},s,c}$，选取高斯截尾（tailcut）界 $t(n)=\log n\ge w(\sqrt{\log n})$，采样算法 $Sample\mathbb{Z}(c,s)$ 的执行步骤如下：

1. 在集合 $S:=\mathbb{Z}\cap [c-s\cdot t(n),c+s\cdot t(n)]$ 上均匀采样 $x\in S$
2. 计算 $p={\rho }_s(x-c)\in (0,1]$，按照伯努利分布 ${\mathcal{B}}_p$ 掷硬币 $b$
3. 如果 $b=1$，则输出 $x$。否则拒绝样本，并回到 step 1。

根据定理 5，选取 $t(n)\ge w(\sqrt{\log n})$，这使得高斯尾部的累计密度是可忽略的，因此 $Sample\mathbb{Z}(c,s)$ 的输出分布与 $D_{\mathbb{Z},s,c}$ 的统计距离可忽略。接下来，我们将若干的 $D_{\mathbb{Z},s_i,c_i}$ 组合成任意格 $\Lambda$ 上的离散高斯分布，实际上就是随机化的 NP 算法。

对于任意格 $\Lambda$，给定格基 $B\in {\mathbb{R}}^{n\times n}$，中心 $c\in {\mathbb{R}}^n$ 参数 $s>0$ 的离散高斯分布 $D_{\Lambda ,s,c}$，采样算法 $SampleD(B,c,s)$ 的执行步骤如下：

1. 设置 $v_n=0\in {\mathbb{R}}^n$，$c_n=c\in {\mathbb{R}}^n$
2. 令 $B=\{b_1,\cdots ,b_n\}$，计算 GS 正交基 $\tilde{B}=\{{\tilde{b}}_1,\cdots ,{\tilde{b}}_n\}$
3. 对于 $i=n,\cdots ,1$ 依次执行
   1. 计算中心 $c_i^{\prime }=\frac{⟨c_i,{\tilde{b}}_i⟩}{⟨{\tilde{b}}_i,{\tilde{b}}_i⟩}\in \mathbb{R}$ 和高斯参数 $s_i^{\prime }=\frac{s}{\Vert {\tilde{b}}_i\Vert }$
   2. 利用 $Sample\mathbb{Z}(c_i^{\prime },s_i^{\prime })$ 采样服从 $D_{\mathbb{Z},s_i^{\prime },c_i^{\prime }}$ 的随机变量 $z_i$
   3. 计算 $c_{i-1}=c_i-z_i{b}_i$，计算 $v_{i-1}=v_i+z_i{b}_i$
4. 输出 $v_0\in \Lambda \subseteq {\mathbb{R}}^n$

它与 Babai 的 NP 算法唯一的不同之处，就是组合系数 $z_i$ 是按照离散高斯分布采样得到的，而非直接舍入到最近整数。[GPV08] 对上述的 Klein 随机化 NP 算法进行了细致的分析：给定格 $\Lambda$ 的一组格基 $B$，对于任意的满足 $s\ge \Vert B{\Vert }_{GS}\cdot w(\sqrt{\log n})$ 的高斯参数，$SampleD(B,c,s)$ 的输出分布与离散高斯分布 $D_{\Lambda ,s,c}$ 的统计距离可忽略。

在上一小节的 PSF 实例化中，陷门 $T$ 和高斯参数 $s$ 满足这个不等式，因此陷门采样的输出分布与陪集 $t+{\Lambda }_q^{\perp }(A)$ 上的离散高斯分布计算不可区分，这不会泄露陷门 $T$ 的信息。因此将这个基于 ISIS 问题的 PSF 应用到 Hash-and-Sign 签名算法中，其签名值不会泄露私钥的信息，这就导致了可证明安全的格签名方案。如果高斯参数 $s$ 选择的过小，那么采样算法的输出结果将会泄露陷门的信息（极端地选取 $s=0$，则它退化为 Babai 的确定性 NP 算法）。但是如果 $s$ 选取的过大，那么 $f_A$ 的定义域 $D_n$ 将会有一个较大的范围，则敌手可以计算一个不太短的向量 $x\in {\mathbb{Z}}^m$ 使它满足 $Ax=H(m)(\mathrm{mod}q)$，这导致伪造签名变得容易。因此我们应当选取合适的高斯参数 $s$，使得私钥恢复是困难的，同时使得签名伪造也是困难的。

GPV Framework

现在，我们描述基于 ISIS 问题的 Hash-and-Sign 签名方案。在它的安全归约过程中，要求签名者对于每个像 $y$ 只给出至多一个原像。为了获得无状态的随机化签名方案，我们在签名算法中添加随机盐 $r$，确保对于固定的消息 $m$，每次签名中的哈希值 $H(m\Vert r)$ 不发生碰撞。

• $KeyGen(1^n)$：调用 PSF 陷门生成算法 $TrapGen(1^n)$，获得 $A\in {\mathbb{Z}}_q^{n\times m},T\subseteq {\Lambda }_q^{\perp }(A)$，将 $A$ 作为公钥，将 $T$ 作为私钥
• $Sign(T,m;rd)$：随机采样 $r\leftarrow \{0,1{\}}^k$，计算哈希值 $y=H(m\Vert r)$，求解线性方程组 $At=y(\mathrm{mod}q)$，利用 $SampleD(T,t,s;rd)$ 采样格点 $v\in {\Lambda }_q^{\perp }(A)$，计算 $\sigma =t-v$，输出签名值 $(r,\sigma )$
• $Verify(A,m,(r,\sigma ))$：首先检查 $\Vert \sigma \Vert \le s\cdot \sqrt{m}$，然后验证 $A\sigma =H(m\Vert r)(\mathrm{mod}q)$ 是否成立

假设 $ISI{S}_{q,m,2s\sqrt{m}}$ 是困难的，那么这个 PSF 是抗碰撞的，可证明上述签名方案在 RO 模型下是选择消息攻击下强不可伪造的（SEUF-CMA）。

快速傅里叶正交化

Tower of Rings

然而 Klein 陷门采样算法的复杂度是 $O(m^2)$，这对于实际密码算法中数百维的格来说是不可接受的，我们更期望密码算法的复杂度拟线性级别的。一种常用的优化技术是在格上引入代数结构，例如环结构，那么空间复杂度从 $O(n^2)$ 降低到 $O(n)$，采用 FFT/NTT 技术可以把时间复杂度从 $O(n^2)$ 降低到 $O(n\log n)$。

然而 NP 算法中用到的 Gram-Schmidt 正交化没有考虑代数结构，它与 FFT 算法不兼容。[DP16] 考虑了环的塔结构，定义塔上的线性映射，将高维格上的最近平面问题分解到若干个低维格上的最近平面问题，然后再把这些低维格的解提升到高维格上。[DP16] 中的原始表述令人费解，下面我们采用了不同的记号和描述方式，试图给出更容易理解的介绍。

考虑多项式环 ${\mathcal{R}}_d=\mathbb{R}[x]/(x^d-1)$，假设 $d={\prod }_{i=1}^h{p}_i$，其中 $p_i$ 都是素因子。不失一般性的，我们将 $p_i$ 按照从大到小的顺序排列，令 $d_i={\prod }_{j=1}^i{p}_j$，那么 $1=d_0|d_1|\cdots |d_h=d$，由它可以诱导出一个塔结构：
$$\mathbb{R}=\mathbb{R}[x]/(x^{d_0}-1)\subseteq \mathbb{R}[x]/(x^{d_1}-1)\subseteq \cdots \subseteq \mathbb{R}[x]/(x^{d_h}-1)=\mathcal{R}$$
简记 $k_i={\prod }_{j=i+1}^h{p}_j$，其中 $k_0=d,k_h=1$，这个塔对应的环同构链为：
$${\mathbb{R}}^d={\mathcal{R}}_{d_0}^{k_0}\cong {\mathcal{R}}_{d_1}^{k_1}\cong \cdots \cong {\mathcal{R}}_{d_h}^{k_h}={\mathcal{R}}_d$$
令 $y=x^{p_i}$，我们定义线性映射 $V_{d_i/d_{i-1}}:{\mathcal{R}}_{d_i}\to {\mathcal{R}}_{d_{i-1}}^{p_i}$ 为：
$$V_{d_{i+1}/d_i}\left(\sum _{j=0}^{p_i-1}{x}^j{a}_j(y)\right):=(a_0(y),\cdots ,a_{p_i-1}(y))$$
假如 $p_i=2$ 那么这就是 [CT65] 中的 FFT 算法的一轮递归，按照奇数项和偶数项把数组 $a\in {\mathbb{R}}^d$ 分成 $(a_0,a_1)\in {\mathbb{R}}^2$。对于 $d^{\prime \prime }|d^{\prime }|d$ 的情况，我们递归地定义 $V_{d/d^{\prime \prime }}=V_{d^{\prime }/d^{\prime \prime }}\circ V_{d/d^{\prime }}$，并定义 $V_{1/1}=id$。对于 ${\mathcal{R}}_d^p$ 的情况，我们令 $V_{d/d^{\prime }}$ 分别独立地作用于各个分量。

假定 $f(x)={\sum }_{i=0}^{p-1}{x}^i{f}_i(x^p)$，做线性映射 $V_{d/d^{\prime }}(f)(x)=[f_0(x),\cdots ,f_{p-1}(x)]$。我们考虑 $f(x)$ 的 FFT 域表示：
$$f(w^{k+id/p})=\sum _{j=0}^{p-1}{w}^{(k+id/p)j}{f}_j(w^{kp})$$
其中 $k=0,\cdots ,d/p-1$，$i=0,1,\cdots ,p-1$。由于 $w+w^{1+d/p}+\cdots +w^{1+(p-1)d/p}=0$，求解上述的线性方程组，得到
$$f_j(w^{kp})=\frac{{\sum }_{i=0}^{p-1}[w^{-ijd/p}\cdot f(w^{k+id/p})]}{p\cdot w^{kj}}$$
其中 $w$ 是 $d$ 次本原单位根，$w^p$ 是 $d/p$ 次本原单位根，于是 $f_j(w^{kp})$ 就是 $f_j(x)$ 的 FFT 域表示。如果 $p=2$，那么上述的 FFT 域下的 $V_{d/d^{\prime }}$ 变换恰好是 GS 蝴蝶。也就是说，这个线性映射可以在 FFT 域下快速计算，复杂度为 $O(pd)$。

实际上线性映射 $V_{d/d^{\prime }}:{\mathcal{R}}_d\to {\mathcal{R}}_{d^{\prime }}^p$，它可以视作 ${\mathcal{R}}_d$ 在 ${\mathcal{R}}_{d^{\prime }}$ - 基 $\{1,x,\cdots ,x^{p-1}\}$ 下的坐标表示。容易验证
$$V_{d/d^{\prime }}(c(y)\cdot f(x))=c(y)\cdot V_{d/d^{\prime }}(f(x)),\forall f(x)\in {\mathcal{R}}_d,\forall c(y)\in {\mathcal{R}}_{d^{\prime }}$$
所以 $V_{d/d^{\prime }}$ 是一个 ${\mathcal{R}}_{d^{\prime }}$ - 模同构。对于某固定的 $f\in {\mathcal{R}}_d$，我们考虑自同态（endomorphism）${\varphi }_f:g\in {\mathcal{R}}_d\mapsto gf\in {\mathcal{R}}_d$，如果 $f(x)={\sum }_{i=0}^{p-1}{x}^i{f}_i(y),g(x)={\sum }_{i=0}^{p-1}{x}^i{g}_i(y)$，其中 $x^p=y$，那么
$$\begin{array}{rl}(gf)(x)& =g_0(y)f_0(y)+x{g}_0(y)f_1(y)+\cdots +x^{p-1}{g}_0(y)f_{p-1}(y)\\ & +y{g}_1(y)f_{p-1}(y)+x{g}_1(y)f_0(y)+\cdots +x^{p-1}{g}_1(y)f_{p-2}(y)+\cdots \\ & +y{g}_{p-1}(y)f_1(y)+xy{g}_{p-1}(y)f_2(y)+\cdots +x^{p-1}{g}_{p-1}(y)f_0(y)\end{array}$$
在 $V_{d/d^{\prime }}$ 模同构下，自同态 ${\varphi }_f$ 是一个线性映射，其变换矩阵为
V d / d ′ ( ϕ f ( g ) ) = V d / d ′ ( g ) ⋅ [ f 0 f 1 ⋯ f p − 2 f p − 1 y f p − 1 f 0 ⋯ f p − 3 f p − 2 y f p − 2 y f p − 1 ⋯ f p − 4 f p − 3 ⋮ ⋱ ⋮ y f 1 y f 2 ⋯ y f p − 1 f 0 ] = V d / d ′ ( g ) ⋅ [ V d / d ′ ( f ) V d / d ′ ( x f ) ⋮ V d / d ′ ( x p − 1 f ) ] \begin{aligned} V_{d/d'}(\phi_f(g)) &= V_{d/d'}(g) \cdot \begin{bmatrix} f_0 & f_1 & \cdots & f_{p-2} & f_{p-1}\\ yf_{p-1} & f_0 & \cdots & f_{p-3} & f_{p-2}\\ yf_{p-2} & yf_{p-1} & \cdots & f_{p-4} & f_{p-3}\\ \vdots & & \ddots && \vdots\\ yf_{1} & yf_2 & \cdots & yf_{p-1} & f_{0}\\ \end{bmatrix}\\ &= V_{d/d'}(g) \cdot \begin{bmatrix} V_{d/d'}(f)\\ V_{d/d'}(xf)\\ \vdots\\ V_{d/d'}(x^{p-1}f)\\ \end{bmatrix} \end{aligned} Vd/d′​(ϕf​(g))​=Vd/d′​(g)⋅ ​f0​yfp−1​yfp−2​⋮yf1​​f1​f0​yfp−1​yf2​​⋯⋯⋯⋱⋯​fp−2​fp−3​fp−4​yfp−1​​fp−1​fp−2​fp−3​⋮f0​​ ​=Vd/d′​(g)⋅ ​Vd/d′​(f)Vd/d′​(xf)⋮Vd/d′​(xp−1f)​ ​​
我们将这个变换矩阵记作 $M_{d/d^{\prime }}(f)$，它满足 $V_{d/d^{\prime }}(gf)=V_{d/d^{\prime }}(g)\cdot M_{d/d^{\prime }}(f)$ 以及 $M_{d/d^{\prime }}(gf)=M_{d/d^{\prime }}(g)\cdot M_{d/d^{\prime }}(f)$。对于 $d^{\prime \prime }|d^{\prime }|d$，我们递归定义 $M_{d/d^{\prime \prime }}=M_{d^{\prime }/d^{\prime \prime }}\circ M_{d/d^{\prime }}$，并设置 $M_{1/1}=id$。对于 ${\mathcal{R}}_d^{n\times m}$ 上的某矩阵，线性映射 $M_{d/d^{\prime }}$ 独立作用于它的每个分量。由于 $V_{d/d^{\prime }}$ 可以在 FFT 域下的计算复杂度为 $O(pd)$，因此 $M_{d/d^{\prime }}$ 可以在 FFT 域下的计算复杂度为 $O(p^{2}d)$，也是可以高效计算的。

稀疏的矩阵分解

我们将环 $\mathcal{R}:=\mathbb{R}[x]/(h(x))$ 作为厄米内积空间（Hermitian inner product

space）。对于 $a,b\in \mathcal{R}$，定义 $a^{†}$ 是 $a$ 的厄米，它对于 $h(x)$ 所有的根 $\xi$ 都满足 $a^{†}(\xi )=\overline{a(\xi )}$，这里 $\bar{\cdot }$ 是共轭运算。我们定义环元素的厄米内积为 $⟨a,b⟩:={\sum }_{h(\xi )=0}a(\xi )\overline{b(\xi )}$，范数为 $\Vert a\Vert :=\sqrt{⟨a,a⟩}$。对于向量空间 ${\mathcal{R}}^m$ 中的元素 $u,v$，定义 $⟨u,v⟩:={\sum }_i⟨u_i,v_i⟩$。

对于卷积环 $\mathbb{R}[x]/(x^d-1)$，
$$a^{†}(x)=a_0+\sum _{i=1}^{d-1}{a}_i{x}^{d-i}$$
对于分园环 $\mathbb{R}[x]/(x^d+1)$，其中 $d$ 是 $2$ 的幂次，
$$a^{†}(x)=a_0-\sum _{i=1}^{d-1}{a}_i{x}^{d-i}$$
容易验证，$a^{†}(x)$ 对应的格的 $\{1,x,\cdots ,x^{d-1}\}$ - 基底，就是 $a(x)$ 对应的格基 $B$ 的共轭转置 $B^{†}$。

定义 1（Gram-Schimdt 分解）令 $B\in {\mathcal{R}}^{n\times m}$ 是满秩矩阵，那么存在唯一分解 $B=L\cdot \tilde{B}$，其中 $L$ 是单位下三角阵（对角线元素全为 $1$ 的下三角阵），$\tilde{B}$ 的行矢两两正交。实际上，$\tilde{B}$ 就是矩阵 $B$ 的 GS 正交化。

定义 2（$LD{L}^{†}$ 分解）令 $G\in {\mathcal{R}}^{n\times n}$ 是正定矩阵（$\forall v,v^{†}Gv>0$），那么存在唯一分解 $LD{L}^{†}$，其中 $L$ 是单位下三角阵，$D$ 是对角阵。如果 $G=B{B}^{†}$，那么 $G=(L\tilde{B})(L\tilde{B}{)}^{†}=L(B{B}^{†})L^{†}$，即两种分解的 $L$ 是相同的。

为了方便 FFT 运算，[DP16] 研究了正定矩阵的 $LD{L}^{†}$ 分解，并在 Babai 的最近平面算法中使用 $LD{L}^{†}$ 分解取代了 GS 分解。我们考虑 $f\in {\mathcal{R}}_d$，对应的矩阵 $M_{d/d^{\prime }}(f)\in {\mathcal{R}}_{d^{\prime }}^{p\times p}$ 可以在环 ${\mathcal{R}}_{d^{\prime }}$ 上执行 $LD{L}^{†}$ 分解，简记 $M_{d/d^{\prime }}(f)=LD(L{)}^{†}$。对于 $d^{\prime \prime }|d^{\prime }|d$，我们继续考虑 $M_{d/d^{\prime \prime }}(f)=M_{d^{\prime }/d^{\prime \prime }}\circ M_{d/d^{\prime }}(f)$ 的 $LD{L}^{†}$ 分解，假设 $d/d^{\prime }=p$，则：

M d / d ′ ′ ( f ) = M d ′ / d ′ ′ ( L D L † ) = M d ′ / d ′ ′ ( L ) ⋅ M d ′ / d ′ ′ ( [ D 1 , 1 D 2 , 2 ⋱ p , p ] ) ⋅ M d ′ / d ′ ′ ( L † ) = M d ′ / d ′ ′ ( [ 1 L 2 , 1 1 ⋮ ⋱ L p , 0 ⋯ L p , p − 1 1 ] ) ⋅ [ M d ′ / d ′ ′ ( D 1 , 1 ) M d ′ / d ′ ′ ( D 2 , 2 ) ⋱ M d ′ / d ′ ′ ( D p , p ( 1 ) ) ] ⋅ M d ′ / d ′ ′ ( [ 1 L 2 , 1 1 ⋮ ⋱ L p , 0 ⋯ L p , p − 1 1 ] ) † \begin{aligned} M_{d/d''}(f) &= M_{d'/d''}(LDL^\dagger)\\ &= M_{d'/d''}\left(L\right) \cdot M_{d'/d''}\left(\begin{bmatrix} D_{1,1}\\ & D_{2,2}\\ && \ddots\\ &&& _{p,p} \end{bmatrix}\right) \cdot M_{d'/d''}\left(L^\dagger\right)\\ &= M_{d'/d''}\left(\begin{bmatrix} 1\\ L_{2,1} & 1\\ \vdots && \ddots\\ L_{p,0} & \cdots & L_{p,p-1} & 1 \end{bmatrix}\right) \cdot \begin{bmatrix} M_{d'/d''}(D_{1,1})\\ & M_{d'/d''}(D_{2,2})\\ && \ddots\\ &&& M_{d'/d''}(D^{(1)}_{p,p}) \end{bmatrix} \cdot M_{d'/d''}\left(\begin{bmatrix} 1\\ L_{2,1} & 1\\ \vdots && \ddots\\ L_{p,0} & \cdots & L_{p,p-1} & 1 \end{bmatrix}\right)^\dagger \end{aligned} Md/d′′​(f)​=Md′/d′′​(LDL†)=Md′/d′′​(L)⋅Md′/d′′​ ​ ​D1,1​​D2,2​​⋱​p,p​​ ​ ​⋅Md′/d′′​(L†)=Md′/d′′​ ​ ​1L2,1​⋮Lp,0​​1⋯​⋱Lp,p−1​​1​ ​ ​⋅ ​Md′/d′′​(D1,1​)​Md′/d′′​(D2,2​)​⋱​Md′/d′′​(Dp,p(1)​)​ ​⋅Md′/d′′​ ​ ​1L2,1​⋮Lp,0​​1⋯​⋱Lp,p−1​​1​ ​ ​†​
假设 $d^{\prime }/d^{\prime \prime }=p^{\prime }$，那么矩阵 $M_{d^{\prime }/d^{\prime \prime }}(D)$ 的每个对角元都可以在环 ${\mathcal{R}}_{d^{\prime \prime }}$ 上继续执行 $LD{L}^{†}$ 分解 $M_{d^{\prime }/d^{\prime \prime }}(D_{i,i})=L_{i,i}^{\prime }{D}_{i,i}^{\prime }(L_{i,i}^{\prime }{)}^{†}$，这使得 $M_{d^{\prime }/d^{\prime \prime }}(D)=L^{\prime }{D}^{\prime }(D^{\prime }{)}^{†}$，其中 $L^{\prime }$ 和 $D^{\prime }$ 是由这些对角元的 $LD{L}^{†}$ 分解所组成的分块对角阵：
L ′ = [ L 1 , 1 ′ L 2 , 2 ′ ⋱ L p ′ , p ′ ′ ] , D ′ = [ D 1 , 1 ′ D 2 , 2 ′ ⋱ D p ′ , p ′ ′ ] L' = \begin{bmatrix} L_{1,1}'\\ & L_{2,2}'\\ && \ddots\\ &&& L_{p',p'}' \end{bmatrix}, D' = \begin{bmatrix} D_{1,1}'\\ & D_{2,2}'\\ && \ddots\\ &&& D_{p',p'}' \end{bmatrix} L′= ​L1,1′​​L2,2′​​⋱​Lp′,p′′​​ ​,D′= ​D1,1′​​D2,2′​​⋱​Dp′,p′′​​ ​
假设 $d={\prod }_i{p}_i$，我们令 $d_i={\prod }_{j=1}^i{p}_j$，$k_i={\prod }_{j=i+1}^h{p}_j$，其中 $d_0=1,k_0=d,d_h=d,k_h=1$，那么对应的环同构链为：
$${\mathbb{R}}^d={\mathcal{R}}_{d_0}^{k_0}\cong {\mathcal{R}}_{d_1}^{k_1}\cong \cdots \cong {\mathcal{R}}_{d_h}^{k_h}={\mathcal{R}}_d$$
那么利用线性算子 $M_{d/d^{\prime }}$ 在同构链上游走，得到 $M_{d/1}(f)=LD{L}^{†}$，其中 $D\in {\mathbb{R}}^d$ 是对角阵，
$$L=M_{d_h/1}(L^{(h)})M_{d_{h-1}/1}(L^{(h-1)})\cdots M_{d_1/1}(L^{(1)})$$
这里的 $L^{(i)}$ 是从空间 ${\mathcal{R}}_{d_i}^{k_i\times k_i}$ 分解到空间 ${\mathcal{R}}_{d_{i-1}}^{k_{i-1},k_{i-1}}$ 时所对应的单位下三角阵。我们按照上述的 $M_{d_i/d_{i-1}}(D^{(i)})$ 的对角元的 $LD{L}^{†}$ 的分解次序，将这些 $L^{(i)}$ 和 $D^{(i)}$ 组织成一颗树：根节点存储 $L^{(h)}$，深度为 $i$ 的中间节点存储 $L_{j,j}^{(h-i)}$，它有 $p_{h-i}$ 个子树，每个子树都是对角元 $M_{d^{h-i}/1}(D_{j,j}^{(h-i)})$ 的 $LD{L}^{†}$ 分解的稀疏树状表示。

假如我们对矩阵 $G\in {\mathcal{R}}_d^{n\times n}$ 进行 FFT 版本的 $FFLD{L}^{†}$ 分解，那么我们首先执行矩阵的 $LD{L}^{†}$ 分解，得到 $L^{(h+1)},D^{(h+1)}\in {\mathcal{R}}_d^{n\times n}$。对于每个对角元 $D_{j,j}^{(h+1)}\in {\mathcal{R}}_d$ 做线性映射 $M_{d_h/d_{h-1}}(D_{j,j}^{(h+1)})$，然后递归地进行 $FFLD{L}^{†}$ 分解，以构建矩阵 $G$ 的树状表示。由于 $M_{d/d^{\prime }}$ 可以在 FFT 域上高效计算，并且 $LD{L}^{†}$ 分解中用到所有 ${\mathcal{R}}_d$ 上的**多项式运算（乘法/除法）**可以在 $O(d\log d)$ 的时间内完成。最终 $FFLD{L}^{†}$ 的复杂度是 $O(n^{2}d\log d)$，其中 $n$ 是固定的小常数，而 $d$ 是安全参数。

快速傅里叶 Klein 算法

[DP16] 利用 FFT 域下的 $LD{L}^{†}$ 分解的树状表示，给出了 Babai 的最近平面算法的高效实现。下面我们描述与 FFT 兼容的 Klein 离散高斯采样算法。

简记 ${\mathcal{Z}}_d=\mathbb{Z}[x]/(x^d-1)$ 是实数空间 ${\mathcal{R}}_d=\mathbb{R}[x]/(x^d-1)$ 内的一维整数格。给定空间 ${\mathcal{R}}_d^m$ 中某 $n$ 维格的一组基 $B\in {\mathcal{R}}_d^{n\times m}$，目标向量是 $c=tB\in {\mathcal{R}}_d^m$，其中 $t\in {\mathcal{R}}_d^n$，我们希望按照中心 $t_i$ 参数 $s_i=s/\Vert {\tilde{b}}_i\Vert$ 的离散高斯分布 $D_{{\mathcal{Z}}_d,s_i,t_i}$ 来采样 $z_i\in {\mathcal{Z}}_d$，这使得 $(t-z)B$ 是服从 $D_{c+\Lambda (B),s}$ 的随机变量。

线性变换 $V_{d/d^{\prime }}$ 仅仅是对多项式系数的位置做了置换，容易证明它是保距的（isometry）：$⟨V_{d/d^{\prime }}(a),V_{d/d^{\prime }}(b)⟩=⟨a,b⟩$，因此寻找靠近 $t_i\in {\mathcal{R}}_d$ 的整数 $z_i\in {\mathcal{Z}}_d$，这就等价于寻找靠近向量 $V_{d/d^{\prime }}(t_i)\in {\mathcal{R}}_{d^{\prime }}^p$ 的向量 $z_i^{\prime }\in {\mathcal{Z}}_{d^{\prime }}^p$，然后再计算 $z_i=V_{d/d^{\prime }}^{-1}(z_i^{\prime })$ 将它提升回来。对于塔 $1=d_0|d_1|\cdots |d_h=d$，我们递归地执行上述过程，直到最底层 $t^{\prime }\in {\mathcal{R}}_{d_1}$，这使得 $V_{d_1/1}(t^{\prime })\in {\mathbb{R}}^{p_1}$ 是实向量，那么我们就可以依据 GS 正交基 ${\tilde{b}}_i$ 的长度 $D_{i,i}$，计算高斯参数 $s_i=s/D_{i,i}$，在整数格 $\mathbb{Z}$ 上采样。

算法 $FFSampl{e}_d(t,T,s)$，输入目标向量 $t\in {\mathcal{R}}_d^n$，格基 $B\in {\mathcal{R}}_d^{n\times m}$ 对应的分解树 $T:=(L,\{T_i\})$，以及高斯参数 $s>0$，其输出为 $z\in {\mathcal{Z}}_d^n$，

1. 如果 $d=1$，那么说明 $t\in {\mathbb{R}}^n$，此时 $L=D_{i,i}$ 记录了 ${\tilde{b}}_i$ 的长度。计算归一化的高斯参数 s ′ = s / L s'=s/L <