Gitterproblem

Im Informatik, Gitterprobleme sind eine Klasse von Optimierung Probleme im Zusammenhang mit mathematischen Objekten genannt Gitter. Die mutmaßliche Unverdierbarkeit solcher Probleme ist von zentraler Bedeutung für die Konstruktion von sicherem Kryptosysteme auf Gitterbasis: Gitterprobleme sind ein Beispiel für Np-harte Probleme, die gezeigt wurden Durchschnittlicher Fall hartBereitstellung eines Testfalls für die Sicherheit von kryptografischen Algorithmen. Darüber hinaus können einige Gitterprobleme, die hartnäckig sind, als Grundlage für extrem sichere kryptografische Schemata verwendet werden. Die Verwendung von Härte der schlimmsten Fall in solchen Schemata macht sie zu den wenigen Schemata, die sogar gegeneinander sicher sind Quantencomputer. Für Anwendungen in solchen Kryptosysteme, Gitter über Vektorraum (häufig ) oder Kostenlose Module (häufig ) werden allgemein berücksichtigt.

Nehmen wir für alle nachstehenden Probleme an, dass wir angegeben werden (zusätzlich zu anderen spezifischeren Eingaben) a Basis Für den Vektorraum V und ein Norm N. Die normalerweise berücksichtigte Norm ist die euklidische Norm L2. Andere Normen (wie z. Lp) werden auch in einer Vielzahl von Ergebnissen berücksichtigt und zeigen sich.[1] Lassen bezeichnen die Länge des kürzesten Vektors ungleich Null im Gitter L, das ist,

Kürzestes Vektorproblem (SVP)

Dies ist eine Darstellung des kürzesten Vektorproblems (Basisvektoren im blauen, kürzesten Vektor in Rot).

Im SVP, a Basis von a Vektorraum V und ein Norm N (häufig L2) werden für ein Gitter gegeben L und man muss den kürzesten Vektor ungleich Null finden V, gemessen von N, in L. Mit anderen Worten, der Algorithmus sollte einen Vektor ungleich Null ausgeben v so dass .

In der γ-Anerkennung Version SVPγMan muss höchstens einen Gittervektor ungleich Null finden für gegeben .

Härte Ergebnisse

Die genaue Version des Problems ist nur bekannt als Np-harte für randomisierte Reduktionen.[2][3]

Im Gegensatz dazu das entsprechende Problem in Bezug auf die einheitliche Norm Es ist bekannt, dass es ist Np-harte.[4]

Algorithmen für die euklidische Norm

Um die genaue Version des SVP unter der euklidischen Norm zu lösen, sind verschiedene Ansätze bekannt, die in zwei Klassen aufgeteilt werden können: Algorithmen, die eine Überexponentialzeit erfordern) und Speicher und Algorithmen, die sowohl exponentielle Zeit als auch Platz erfordern (Platz) in der Gitterdimension. Die frühere Klasse von Algorithmen umfasst vor allem die Gitteraufzählung[5][6][7] und zufällige Stichprobenreduktion,[8][9] Während letztere Gittersiebvern beinhaltet,[10][11][12] Berechnung der Voronoi -Zelle des Gitters,[13][14] und diskrete Gaußsche Probenahme.[15] Ein offenes Problem ist, ob Algorithmen zur Lösung von exakten SVP in einzelnen Exponentialzeiten () und das polynomiale Gedächtnis in der Gitterdimension erfordert.[16]

Um die γ-Anerkennung Version SVP zu lösenγ zum Für die euklidische Norm basieren die bekanntesten Ansätze auf der Verwendung Reduzierung der Gitterbasis. Für große , das Lenstra -Genstra -Lovász (LLL) -Algorithmus Kann eine Lösung in der Zeitpolynom in der Gitterdimension finden. Für kleinere Werte , der Blockkorkine-Zolotarev-Algorithmus (BKZ)[17][18][19] wird üblich ) bestimmt die zeitliche Komplexität und die Ausgangsqualität: für große Approximationsfaktoren , eine kleine Blockgröße reicht aus, und der Algorithmus endet schnell. Für kleine , größer sind benötigt, um ausreichend kurze Gittervektoren zu finden, und der Algorithmus dauert länger, um eine Lösung zu finden. Der BKZ -Algorithmus verwendet intern einen exakten SVP ), und seine Gesamtkomplexität hängt eng mit den Kosten dieser SVP -Aufrufe in der Dimension zusammen .

Gapsvp

Das Problem gapsvpβ besteht darin, zwischen den Fällen von SVP zu unterscheiden, in denen die Länge des kürzesten Vektors höchstens ist oder größer als , wo Kann eine feste Funktion der Dimension des Gitters sein . Angesichts einer Grundlage für das Gitter muss der Algorithmus entscheiden, ob oder . Wie andere Probleme versprechenDer Algorithmus darf in allen anderen Fällen irren.

Eine weitere Version des Problems ist GAPSVPζ, γ für einige Funktionen . Der Eingang zum Algorithmus ist eine Basis und eine Nummer . Es ist sicher, dass alle Vektoren in der Gram -Schmidt -Orthogonalisierung sind mindestens 1 von Länge, und das und das wo ist die Dimension. Der Algorithmus muss akzeptieren, wenn , und ablehnen, wenn . Für große (d.h. ) Das Problem entspricht GAPSVPγ Weil[20] eine Vorverarbeitung mit dem mit dem durchgeführten LLL -Algorithmus macht den zweiten Zustand (und damit, ) überflüssig.

Nächstes Vektorproblem (CVP)

Dies ist eine Darstellung des engsten Vektorproblems (Basisvektoren im blauen, externen Vektor in grünem, nächstem Vektor in Rot).

In CVP eine Grundlage eines Vektorraums V und ein metrisch M (häufig L2) werden für ein Gitter gegeben Lsowie ein Vektor v in V aber nicht unbedingt in L. Es ist erwünscht, den Vektor in zu finden L am nächsten v (gemessen von M). In dem -Apploximation Version CVPγMan muss höchstens einen Gittervektor finden .

Beziehung zu SVP

Das nächstgelegene Vektorproblem ist eine Verallgemeinerung des kürzesten Vektorproblems. Es ist leicht zu zeigen, dass eine gegebene Orakel für CVPγ (definiert unten), kann man SVP lösenγ indem Sie einige Fragen zum Orakel machen.[21] Die naive Methode, um den kürzesten Vektor zu finden, indem Sie den CVP aufrufenγ Oracle, um den nächsten Vektor zu 0 zu finden, funktioniert nicht, da 0 selbst ein Gittervektor ist und der Algorithmus möglicherweise 0 ausgeben kann.

Die Reduzierung von SVPγ zu CVPγ ist wie folgt: Angenommen, die Eingabe zum SVPγ ist die Grundlage für Gitter . Betrachten Sie die Grundlage und lass Sei der von CVP zurückgegebene Vektorγ(Bi, bi). Die Behauptung ist, dass der kürzeste Vektor im Satz ist der kürzeste Vektor im gegebenen Gitter.

Härte Ergebnisse

Goldreich et al. zeigten, dass jede Härte von SVP die gleiche Härte für CVP impliziert.[22] Verwendung PCP Werkzeug, Arora et al. zeigten, dass CVP innerhalb des Faktors schwer annähern ist wenn nicht .[23] Dinur et al. verstärkte dies durch ein NP-Hartness-Ergebnis mit zum .[24]

Kugel decodieren

Algorithmen für CVP, insbesondere die Fincke- und Pohst -Variante,[6] wurden für die Datenerkennung in mehreren Eingängen mehrerer Ausgänge verwendet (Mimo) drahtlose Kommunikationssysteme (für codierte und unkodierte Signale).[25][13] In diesem Zusammenhang heißt es Kugel decodieren Aufgrund des Radius, der intern in vielen CVP -Lösungen verwendet wird.[26]

Es wurde im Bereich der Ganzzahl-Unklarheit auf Auflösung von Carrier-Phase-GNSS (GPS) angewendet.[27] Es wird genannt Lambda -Methode in diesem Bereich. Im selben Bereich wird das allgemeine CVP -Problem als bezeichnet als Ganzzahl am wenigsten Quadrate.

Gapcvp

Dieses Problem ähnelt dem GAPSVP -Problem. Für gapsvpβDie Eingabe besteht aus Gitterbasis und einem Vektor und der Algorithmus muss beantworten, ob einer der folgenden Aussagen gilt:

  • Es gibt einen Gittervektor, so dass der Abstand zwischen ihm und ist höchstens 1.
  • Jeder Gittervektor ist in einer Entfernung größer als Weg von .

Die entgegengesetzte Bedingung ist, dass sich der engste Gittervektor in einiger Entfernung befindet , daher der Name LückeCVP.

Bekannte Ergebnisse

Das Problem ist trivial in Np für jeden Annäherungsfaktor.

Schnorr1987 zeigten, dass deterministische Polynomzeitalgorithmen das Problem für lösen können .[28] Ajtai et al. zeigten, dass probabilistische Algorithmen einen etwas besseren Annäherungsfaktor von erreichen können .[10]

1993 zeigte Banaszczyk, dass GAPCVPn ist in .[29] Im Jahr 2000 zeigten Goldreich und Goldschwasser das setzt das Problem sowohl in NP als auch in Backstein.[30] Im Jahr 2005 zeigten Aharonov und Regev das für einige Konstante das Problem mit ist in .[31]

Für Untergrenzen haben Dinur et al. zeigte 1998, dass das Problem np-hard ist .[32]

Kürzester unabhängiges Vektorenproblem (SIVP)

Mit einem Gitter der Dimension nDer Algorithmus muss ausgegeben werden n linear unabhängig so dass wo die rechte Seite alle Basen berücksichtigt des Gitters.

In dem -Nachselbe Version, angesichts eines Gitters L mit Dimension n, finden n linear unabhängig Vektoren von Länge , wo ist der 'T. aufeinanderfolgende Minimum von .

Begrenzte Entfernungsdecodierung

Dieses Problem ähnelt CVP. Bei einem Vektor so, dass sein Abstand vom Gitter höchstens ist Der Algorithmus muss den engsten Gittervektor ausgeben.

Abdeckung des Radius -Problems

Bei einer Grundlage für das Gitter muss der Algorithmus die größte Entfernung (oder in einigen Versionen, seine Annäherung) von jedem Vektor zum Gitter finden.

Kürzeste Basisproblem

Viele Probleme werden einfacher, wenn die Eingabebasis aus kurzen Vektoren besteht. Ein Algorithmus, der das kürzeste Basisproblem (SBP) löst , Ausgabe eine äquivalente Basis so dass die Länge des längsten Vektors in ist so kurz wie möglich.

Die Approximation Version SBPγ Das Problem besteht darin, eine Basis zu finden, deren längster Vektor höchstens ist Zeiten länger als der längste Vektor in kürzester Basis.

Verwendung in Kryptographie

Durchschnittlicher Fall Die Härte von Problemen bildet eine Grundlage für den Beweis für die Sicherheit für die meisten kryptografischen Systeme. Experimentelle Erkenntnisse deuten jedoch darauf hin, dass die meisten NP-HART-Probleme diese Eigenschaft fehlen: Sie sind wahrscheinlich nur am schlimmsten Fall. Viele Gitterprobleme wurden vermutet oder erwiesen sich als durchschnittlicher Fall, was sie zu einer attraktiven Klasse von Problemen machte, um kryptografische Systeme zu stützen. Darüber hinaus wurden schlimmste Härte einiger Gitterprobleme verwendet, um sichere kryptografische Schemata zu schaffen. Die Verwendung von Härte der schlimmsten Fall in solchen Schemata macht sie zu den wenigen Schemata, die sogar gegeneinander sicher sind Quantencomputer.

Die oben genannten Gitterprobleme sind leicht zu lösen, wenn der Algorithmus eine "gute" Grundlage bietet. Gitterreduktion Algorithmen zielen, die eine Grundlage für ein Gitter gegeben haben, um eine neue Basis aus relativ kurzer Zeit auszugeben, fast senkrecht Vektoren. Das Lenstra -Genstra -Lovász -Gitterbasis -Reduktionalgorithmus (LLL) war ein früh effizienter Algorithmus für dieses Problem, das in der Polynomzeit eine fast reduzierte Gitterbasis ausführen könnte.[33] Dieser Algorithmus und seine weiteren Verfeinerungen wurden verwendet, um mehrere kryptografische Systeme zu brechen und seinen Status als sehr wichtiges Instrument in der Kryptanalyse festzustellen. Der Erfolg von LLL bei experimentellen Daten führte zu der Überzeugung, dass die Gitterreduktion in der Praxis ein leichtes Problem darstellen könnte. Dieser Glaube wurde jedoch in den späten neunziger Jahren in Frage gestellt, wobei mehrere neue Ergebnisse zur Härte von Gitterproblemen erzielt wurden Ajtai.[2]

In seinen Samenpapieren zeigte Ajtai, dass das SVP-Problem NP-HART war und einige Verbindungen zwischen der schlimmsten Komplexität und entdeckte Durchschnittsfallkomplexität von einigen Gitterproblemen.[2][3] Auf diesen Ergebnissen aufbauen, ajtai und Dwork erschuf ein öffentlicher Kryptosystem deren Sicherheit nachgewiesen werden könnte, nur die schlimmste Fallhärte einer bestimmten Version von SVP,[34] Daher ist es das erste Ergebnis, das die Härte der Worst-Case-Härte verwendet hat, um sichere Systeme zu erstellen.[35]

Siehe auch

Verweise

  1. ^ Khot, Subhash (2005). "Härte der Annäherung an das kürzeste Vektorproblem in Gitter". J. ACM. 52 (5): 789–808. doi:10.1145/1089023.1089027. S2CID 13438130.
  2. ^ a b c Ajtai, M. (1996). "Harte Instanzen von Gitterproblemen generieren". Verfahren des achtundzwanzigsten jährlichen ACM-Symposiums zur Theorie des Computers. Philadelphia, Pennsylvania, USA: ACM. S. 99–108. doi:10.1145/237814.237838. ISBN 9780897917858. S2CID 6864824.
  3. ^ a b Ajtai, Miklós (1998). "Das kürzeste Vektorproblem in L2 ist Np-Hard für randomisierte Reduktionen ". Proceedings of the Thirtieth Annual ACM -Symposium über die Theorie des Computers. Dallas, Texas, USA: ACM. S. 10–19. doi:10.1145/276698.276705. ISBN 9780897919623. S2CID 4503998.
  4. ^ Van Emde Boas, Peter (1981). "Ein weiteres Problem mit NP-Complete und die Komplexität des Berechnens kurzer Vektoren in einem Gitter". Technischer Bericht 8104. Universität Amsterdam, Abteilung für Mathematik, Niederlande.
  5. ^ Kannan, Ravi (1983). "Verbesserte Algorithmen für Ganzzahlprogramme und verwandte Gitterprobleme". Verfahren des fünfzehnten jährlichen ACM -Symposiums über die Theorie des Computers - STOC '83. Verfahren des fünfzehnten jährlichen ACM -Symposiums über die Theorie des Computers. STOC '83. New York, NY, USA: ACM. S. 193–206. doi:10.1145/800061.808749. ISBN 978-0897910996. S2CID 18181112.
  6. ^ a b Fincke, U.; Pohst, M. (1985). "Verbesserte Methoden zur Berechnung von Vektoren mit kurzer Länge in einem Gitter, einschließlich einer Komplexitätsanalyse". Mathematik. Comp. 44 (170): 463–471. doi:10.1090/s0025-5718-1985-0777278-8.
  7. ^ Gama, Nicolas; Nguyen, Phong Q.; Regev, ODED (2010-05-30). Gitteraufzählung mit extremem Beschneidung. Fortschritte in der Kryptologie - Eurocrypt 2010. Vorlesungsnotizen in Informatik. Vol. 6110. Springer, Berlin, Heidelberg. S. 257–278. doi:10.1007/978-3-642-13190-5_13. ISBN 978-3-642-13189-9.
  8. ^ Schnorr, Claus Peter (2003-02-27). "Gitterreduktion durch zufällige Stichproben- und Geburtstagsmethoden". STACS 2003. Vorlesungsnotizen in Informatik. Vol. 2607. Springer, Berlin, Heidelberg. S. 145–156. Citeseerx 10.1.1.137.4293. doi:10.1007/3-540-36494-3_14. ISBN 978-3540364948. {{}}: Fehlen oder leer |title= (Hilfe)
  9. ^ Aono, Yoshinori; Nguyen, Phong Q. (2017-04-30). Zufällige Stichprobenerahme Revisited: Gitteraufzählung mit diskreter Beschneidung (PDF). Fortschritte in der Kryptologie - Eurocrypt 2017. Vorlesungsnotizen in Informatik. Vol. 10211. Springer, Cham. S. 65–102. doi:10.1007/978-3-319-56614-6_3. ISBN 978-3-319-56613-9.
  10. ^ a b Ajtai, Miklós; Kumar, Ravi; Sivakumar, D. (2001). "Ein Siebalgorithmus für das kürzeste Gittervektorproblem". Verfahren des dreiunddreißigsten jährlichen ACM-Symposiums zur Theorie des Computers. Hersonissos, Griechenland: ACM. S. 601–610. doi:10.1145/380752.380857. ISBN 1581133499. S2CID 14982298.
  11. ^ Micciancio, Daniele; Voulgaris, Panagiotis (2010). Schnellere exponentielle Zeitalgorithmen für das kürzeste Vektorproblem. Verfahren des einundzwanzigsten jährlichen ACM-SIAM-Symposiums über diskrete Algorithmen. Soda '10. Philadelphia, PA, USA: Gesellschaft für industrielle und angewandte Mathematik. S. 1468–1480. doi:10.1137/1.9781611973075.119. ISBN 9780898716986. S2CID 90084.
  12. ^ Becker, A.; Ducas, L.; Gama, N.; Laurhoven, T. (2015-12-21). "Neue Richtungen in der nächsten Nachbarn, die mit Anwendungen für Gittersiedchen suchen". Verfahren des siebenundzwanzigsten jährlichen ACM-SIAM-Symposiums über diskrete Algorithmen. Verfahren. Gesellschaft für industrielle und angewandte Mathematik. S. 10–24. doi:10.1137/1.9781611974331.ch2. ISBN 978-1-61197-433-1.
  13. ^ a b Agrell, E.; Eriksson, T.; Vardy, A.; Zeger, K. (2002). "Nächste Punktsuche in Gitter". IEEE trans. Inf. Theorie. 48 (8): 2201–2214. doi:10.1109/tit.2002.800499.
  14. ^ Micciancio, Daniele; Voulgaris, Panagiotis (2010). Ein deterministischer einzelner Exponentialzeitalgorithmus für die meisten Gitterprobleme basierend auf Voronoi -Zellberechnungen. Verfahren des zweiundvierzigsten ACM-Symposiums zur Theorie des Computers. STOC '10. New York, NY, USA: ACM. S. 351–358. Citeseerx 10.1.1.705.3304. doi:10.1145/1806689.1806739. ISBN 9781450300506. S2CID 2449948.
  15. ^ Aggarwal, Divesh; Dadush, Daniel; Regev, oded; Stephens-Davidowitz, Noah (2015). Lösen des kürzesten Vektorproblems in der 2. Zeit mit diskreter Gaußscher Probenahme: Erweitertes Zusammenfassung. Verfahren des siebenundvierzigjährigen jährlichen ACM-Symposiums zur Theorie des Computers. STOC '15. New York, NY, USA: ACM. S. 733–742. doi:10.1145/2746539.2746606. ISBN 9781450335362. S2CID 10214330.
  16. ^ Micciancio, Daniele (2017-07-01). "Gitterkryptographie - kürzestes Vektorproblem".
  17. ^ Schnorr, C. P. (1987-01-01). "Eine Hierarchie der Polynomzeitgitterbasis -Reduktionalgorithmen". Theoretische Informatik. 53 (2): 201–224. doi:10.1016/0304-3975 (87) 90064-8.
  18. ^ Schnorr, C. P.; Euchner, M. (1994-08-01). "Reduzierung der Gitterbasis: Verbesserte praktische Algorithmen und Lösung von Summenproblemen der Untergruppe" (PDF). Mathematische Programmierung. 66 (1–3): 181–199. doi:10.1007/bf01581144. ISSN 0025-5610. S2CID 15386054.
  19. ^ Chen, Yuanmi; Nguyen, Phong Q. (2011-12-04). BKZ 2.0: Bessere Schätzungen der Gittersicherheit. Fortschritte in der Kryptologie - Asiacrypt 2011. Vorlesungsnotizen in Informatik. Vol. 7073. Springer, Berlin, Heidelberg. S. 1–20. doi:10.1007/978-3-642-25385-0_1. ISBN 978-3-642-25384-3.
  20. ^ Peikert, Chris (2009). "Public-Key-Kryptosysteme aus dem kürzesten Vektorproblem der schlimmsten Fall: Extended Abstract". Verfahren des 41. jährlichen ACM -Symposiums über die Theorie des Computers. Bethesda, MD, USA: ACM. S. 333–342. doi:10.1145/1536414.1536461. ISBN 9781605585062. S2CID 1864880.
  21. ^ Micciancio, Daniele; Goldwasser, Shafi (2002). Komplexität von Gitterproblemen. Springer.
  22. ^ Goldreich, O.; et al. (1999). "Das ungefähre kürzeste Gittervektoren ist nicht schwieriger als die ungefähren Gittervektoren zu nähern." Inf. Verfahren. Lette. 71 (2): 55–61. doi:10.1016/s0020-0190 (99) 00083-6.
  23. ^ Arora, Sanjeev; et al. (1997). "Die Härte der ungefähren Optima in Gitter, Codes und Systemen linearer Gleichungen". Proceedings of 1993 IEEE 34. jährliche Grundlagen der Informatik. J. Comput. System. Sci. Vol. 54. S. 317–331. doi:10.1109/sfcs.1993.366815. ISBN 978-0-8186-4370-5. S2CID 44988406.
  24. ^ Dinur, ich.; et al. (2003). "Die Annäherung an CVP zu fast polynomialen Faktoren ist np-hard". Combinatorica. 23 (2): 205–243. doi:10.1007/s00493-003-0019-y. S2CID 45754954.
  25. ^ Biglieri, e.; Calderbank, R.; Konstantinides, Anthony G.; Goldschmied, a.; Paulraj, a.; Poor, H. V. (2007). MIMO Wireless Communications.Cambridge: Cambridge U. P.
  26. ^ Wang, Ping; Le-Ngoc, Tho (2011). "Ein Listenkugel -Dekodierungsalgorithmus mit verbesserten Radius -Einstellungsstrategien". Drahtlose persönliche Kommunikation. 61 (1): 189–200. doi:10.1007/s11277-010-0018-4. S2CID 30919872.
  27. ^ Hassibi, a.; Boyd, S. (1998). "Ganzzahlparameterschätzung in linearen Modellen mit Anwendungen für GPS". IEEE trans. Sig. Proc. 46 (11): 2938–2952. Bibcode:1998itsp ... 46.2938H. Citeseerx 10.1.1.114.7246. doi:10.1109/78.726808.
  28. ^ Schnorr, C. P. "Factoring Ganzzahlen und Computing Diskrete Logarithmen über diophantinische Annäherung ". Fortschritte in der Kryptologie: Proceedings of Eurocrypt '91.
  29. ^ Banaszczyk, W. (1993). "Neue Grenzen in einigen Übertragungssätzen in der Geometrie der Zahlen". Mathematik. Ann. 296 (1): 625–635. doi:10.1007/bf01445125. S2CID 13921988.
  30. ^ Goldreich, ODED; Goldwasser, Shafi (1998). "Über die Grenzen der Nicht-Anerkennung von Gitterproblemen". Proceedings of the Thirtieth Annual ACM -Symposium über die Theorie des Computers. Dallas, Texas, USA: ACM. S. 1–9. doi:10.1145/276698.276704. ISBN 0897919629. S2CID 3051993.
  31. ^ Aharonov, Dorit; ODED Regev (2005). "Gitterprobleme in NP Conp ". J. ACM. 52 (5): 749–765. Citeseerx 10.1.1.205.3730. doi:10.1145/1089023.1089025. S2CID 1669286.
  32. ^ Dinur, ich.; Kindler, G.; Safra, S. (1998). "Die Annäherung an CVP zu fast polynomialen Faktoren ist np-hard". Verfahren des 39. jährlichen Symposiums für Fundamente der Informatik. IEEE Computer Society. p. 99. ISBN 978-0-8186-9172-0.
  33. ^ Lenstra, A. K.; Lenstra, H. W., Jr.; Lovász, L. (1982). "Faktorpolynome mit rationalen Koeffizienten" (PDF). Mathematik. Ann. 261 (4): 515–534. doi:10.1007/bf01457454. S2CID 5701340. Archiviert von das Original (PDF) Am 2011-07-17.
  34. ^ Ajtai, Miklós; Dwork, Cynthia (1997). "Ein öffentliches Kryptosystem mit Worst-Case/Average-Case-Äquivalenz". Verfahren des neunundzwanzigsten jährlichen ACM-Symposiums zur Theorie des Computers. El Paso, Texas, USA: ACM. S. 284–293. doi:10.1145/258533.258604. ISBN 0897918886. S2CID 9918417.
  35. ^ Cai, Jin-yi (2000). "Die Komplexität einiger Gitterprobleme". Algorithmische Zahlentheorie. Vorlesungsnotizen in Informatik. Vol. 1838. S. 1–32. doi:10.1007/10722028_1. ISBN 978-3-540-67695-9.

Weitere Lektüre