Як отримати невідомі значення

Чи може мені хтось допомогти з наступною проблемою?

Я хочу знайти деякі значення $a_i,b_j$ (mod $N$ ), де $i=1,2,…,K, j=1,2,…,K$ (наприклад, $K=6$ ), задавши список значень $K^2$ які відповідають різниці $a_i-b_j\pmod N$ (наприклад $N=251$ ), не знаючи конкретного відповідного відношення. Оскільки значення $a_i,b_j\pmod N$ не визначені однозначно, враховуючи відмінності $a_i-b_j\pmod N$ , ми шукаємо будь-яке дійсне призначення значень.

Безумовно, спробувати кожну перестановку чисел $K^2$ у списку (цілком $K^2!$ Можливі випадки), а потім вирішити модульні рівняння з $a_i,b_j$ як змінні нездійсненно.

Насправді ця проблема виникає у статті про криптоаналіз до ранньої версії схеми підпису NTRU ( http://eprint.iacr.org/2001/005 ). Однак автор написав лише одне речення «Простий алгоритм зворотного відстеження знаходить одне рішення ...» (у Розділі 3.3), і тому хто-небудь може дати більше пояснень? Крім того, автор також зазначив, що «кожен круговий зсув $\{((a_i+M)\mod N,(b_i+M)\mod N\}_{i=1}^K$ або swap $(\{(N-1-b_i,N-1-a_i)\}_{i=1}^K)$ призводить до того ж шаблону $a_i-b_j\mod N$ ”і чи корисне це твердження?

Ось пропозиція, для K = 6 і N = 251 . Нам дається список a i - b $K = 6$$N = 251$( модN ) . Почніть з одного з них, не втрачаючи загальності a 1 - b 1 . Без втрати загальності b 1 = 0 , і отримуємо значення a 1 . Тепер візьміть ще один, і сподіватисящо вона має вигляд 2 - б 1 (це відбувається з ймовірністю +5 / +35 = 1 / 7 ), і вивести на 2 .$a_i - b_j \pmod{N}$$a_1-b_1$$b_1=0$$a_1$$a_2-b_1$$5/35 = 1/7$$a_2$

На даному етапі, ми знаємо , з 1 , а 2 , б 1 . Наша наступна мета полягає в тому, щоб шукати в 1 - б J для J ≠ 1 . Для кожного кандидата a i - b j , якщо i = 1, тоді ( a i - b j ) + ( a 2 - a 1 ) = a 2 - b j також має бути у списку. Якщо $a_1,a_2,b_1$$a_1-b_j$$j \neq 1$$a_i-b_j$$i=1$$(a_i-b_j)+(a_2-a_1)=a_2-b_j$≠ 1 , то ймовірністьщо ( я - Ь J ) + ( 2 - 1 ) також в списку приблизно 33 / 251 . Отже, якщо ми знайдемо якогось кандидата a i - b j, для якого ( a i - b j ) + ( a 2 - a 1 ) також є у списку, то, ймовірно, i = 1 . Таким чином ми можемо відновитись$i \neq 1$$(a_i-b_j)+(a_2-a_1)$$33/251$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$$i=1$b 2 з певною визначеністю.$b_2$

На цьому етапі ми знаємо a 1 , a 2 , b 1 , b 2 . Таким же чином , що ми витягнутого б 2 , можна відновити в 3 з достатньою ступенем впевненості. Потім ми можемо відновити b 3 , шукаючи кандидата a i - b j, для якого ( a i - b j ) + ( a 2 - a 1 ) і ( a i - $a_1,a_2,b_1,b_2$$b_2$$a_3$$b_3$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$j ) + ( a 3 - a 1 ) обидва в списку. Тому щонас є щес, наша ймовірність відмови йде значно вниз. Продовжуємо і знаходимо b 3 , a 4 , b 4 , a 5 , b 6 , a 6 , b 6 .$(a_i-b_j)+(a_3-a_1)$$a$$b_3,a_4,b_4,a_5,b_6,a_6,b_6$

У будь-який момент в цьому алгоритмі, ми могли б здогадатися що - то не так, і це в кінцевому рахунку призведе до протиріччя (скажімо , в якій - то момент, що не хороший кандидат я - б J ). Потім ми повертаємось назад і спробуємо іншу можливість; якщо ми вичерпаємо всі можливості, ми знову відступимо і спробуємо іншу можливість (для іншого етапу алгоритму); і так далі.$a_i-b_j$

Це дійсно добре програмувати цей алгоритм - це, мабуть, єдиний спосіб зрозуміти, як правильно реалізувати зворотний трек. Це також єдиний спосіб сказати, чи працює цей алгоритм на практиці.

Оновлення : Опис, наведений нижче, стосується іншої проблеми (у якій у вас все парні відстані в наборі, а не попарні відстані між двома різними наборами). Я все одно залишу це, оскільки це тісно пов'язане.

Ця проблема називається проблемою колії , і це окремий випадок загальної проблеми вбудовування d -torus. Вона також тісно пов’язана з проблемою "під ключ", в якій різниці відстаней є абсолютними (не по модулю деяка кількість).$d$

Невідомо, чи допускає проблема прохідної колії полігональний алгоритм. Існують різні алгоритми псевдо-полі часу для відповідних питань. Найкраща довідка (на жаль, стара) - робота Лемке, Скіени та Сміта .

Ось зауваження, яке, на мою думку, дає тобі місце, можливо, достатньо одного, щоб вирішити проблему.

Припустимо, у нас є чотири відмінності a 1 - b 1 , a 1 - b 2 , a 2 - b 1 , a 2 - b 2, які виникають у вигляді попарних різниць між двома a 's та 2 b ' s. Назвіть це квартетом відмінностей. Зауважте, що у нас нетривіальні стосунки:$a_1-b_1$$a_1-b_2$$a_2-b_1$$a_2-b_2$$a$$b$

Ви можете спробувати використати це відношення для визначення потенційних квартетів із списку K 2 . Наприклад, виберіть зі списку чотири відмінності; якщо вони не задовольняють вищевказаним відносинам, то вони точно не виникають із структури квартету; якщо вони задовольняють стосунки, вони можуть виникнути з квартету.$K^2$

Є багато способів взяти речі звідси, але я підозрюю, що цього буде достатньо.

Я особливо підозрюю, що для ваших прикладних параметрів, проблема буде досить простою, тому що вищевказаний тест на розпізнавання квартету, ймовірно, не буде мати занадто багато помилкових позитивних результатів. Наше з усіх ( К 24 ) способів вибору 4 відмінностей зі списку, буде (${K^2 \choose 4}$2 ) 2квартети (які всі задовольнятимуть відносини), а решта - це неквартети (які задовольняють відношення з вірогідністю1/N, евристично). Тому ми очікуємо побачити про((K${K \choose 2}^2$$1/N$4 ) - ( К2 ) 2)/Nхибних позитивних результатів, тобто 4-кортезів, які проходять тест, навіть якщо вони не є квартетами. Для ваших параметрів це означає, що у нас є 225 квартетів та(58905-225)/251≈234інших помилкових позитивних результатів; тому приблизно половина 4-х кортежів, які проходять тест, насправді є квартетами. Це означає, що вищевказаний тест є досить хорошим способом розпізнавання квартетів. Після того, як ви зможете розпізнати квартети, ви зможете реально поїхати в місто, відновивши структуру списку відмінностей.$({K^2 \choose 4}-{K \choose 2}^2)/N$$(58905-225)/251 \approx 234$

Ось інший підхід, заснований на итеративно знайти номери , які не можуть з'являтися серед { 1 , ... , 6 } . Назвемо безліч А більш-аппроксимацией а «S , якщо ми знаємо , що { 1 , ... , а 6 } ⊆ A . Точно так же, B є overapproximation з Ь «и , якщо ми знаємо , що { Ь 1 , ... , б 6 } ⊆ B . Очевидно, що менший $\{a_1,\dots,a_6\}$$A$$a$$\{a_1,\dots,a_6\} \subseteq A$$B$$b$$\{b_1,\dots,b_6\} \subseteq B$$A$, Тим більше корисно це по-наближення, і те ж саме відноситься і до B . Мій підхід ґрунтується на ітераційному уточненні цих надмірних наближень, тобто ітеративному зменшенні розміру цих наборів (оскільки ми виключаємо все більше і більше значень як неможливих).$B$

Основою цього підходу є метод доопрацювання : задавши перевищення апроксимації A для a та надмірне наближення B для b , знайдіть нове перевищення A ∗ для такого a , що A * ⊊ . Зокрема, як правило , * буде менше , ніж А , так що це дозволяє нам уточнити Надмірна наближення для через «с.$A$$a$$B$$b$$A^*$$a$$A^* \subsetneq A$$A^*$$A$$a$

За допомогою симетрії, по суті, той самий трюк дозволить нам уточнити наше надмірне наближення для b : з огляду на перевищення наближення A для a та надмірне наближення B для b , воно призведе до нового -приближення B ∗ для b 's.$b$$A$$a$$B$$b$$B^*$$b$

Отже, дозвольте мені розповісти, як зробити уточнення, тоді я зберу все, щоб отримати повний алгоритм цієї проблеми. Далі, нехай D позначає множину різниць, тобто D = { a i - b j : 1 ≤ i , j ≤ 6 } ; ми зосередимося на пошуку доопрацьовуватися наближення А * , враховуючи , B .$D$$D=\{a_i-b_j:1 \le i,j \le 6\}$$A^*$$A,B$

How to compute a refinement. Consider a single difference $d \in D$. Consider the set $d+B=\{d+y : y \in B\}$. Based on our knowledge that $B$ is an over-approximation of the $b$'s, we know that at least one element of $d+B$ must be an element of $\{a_1,\dots,a_6\}$. Therefore, we can treat each of the elements in $d+B$ as a "suggestion" for a number to possibly include in $A$. So, let's sweep over all differences $d \in D$ and, for each, identify which numbers are "suggested" by $d$.

Now I'm going to observe that the number $a_1$ is sure to be suggested at least 6 times during this process. Why? Because the difference $a_1-b_1$ is in $D$, and when we process it, $a_1$ will be one of the numbers it suggests (since we're guaranteed that $b_1 \in B$, $(a_1-b_1)+B$ will surely include $a_1$). Similarly, the difference $a_1-b_2$ appears somewhere in $D$, and it'll cause $a_1$ to be suggested again. In this way, we see that the correct value of $a_1$ will be suggested at least 6 times. The same holds for $a_2$, and $a_3$, and so on.

So, let $A^*$ be the set of numbers $a^*$ that have been suggested at least 6 times. This is sure to be an over-approximation of the $a$'s, by the above comments.

As an optimization, we can filter out all suggestions that are not present in $A$ immediately: in other words, we can treat the difference $d$ as suggesting all of the values $(d+B)\cap A$. This ensures that we will have $A^* \subseteq A$. We are hoping that $A^*$ is strictly smaller than $A$; no guarantees, but if all goes well, maybe it will be.

Putting this together, the algorithm to refine $A,B$ to yield $A^*$ is as follows:

1. Let $S = \cup_{d \in D} (d+B)\cap A$. This is the multi-set of suggestions.

2. Count how many times each value appears in $S$. Let $A^*$ be the set of values that appear at least 6 times in $S$. (This can be implemented efficiently by building an array $a$ of 251 initially, initially all zero, and each time the number $s$ is suggested, you increment $a[s]$; at the end you sweep through $a$ looking for elements whose value is 6 or larger)

A similar method can be built to refine $A,B$ to get $B^*$. You basically reverse things above and flip some signs: e.g., instead of $d+B$, you look at $-d+A$.

How to compute an initial over-approximation. To get our initial over-approximation, one idea is to assume (wlog) that $b_1=0$. It follows that each value $a_i$ must appear somewhere among $D$, thus the list of differences $D$ can be used as our initial over-approximation for the $a$'s. Unfortunately, this doesn't give us a very useful over-approximation for the $b$'s.

A better approach is to additionally guess the value of one of the $a$'s. In other words, we assume (wlog) that $b_1=0$, and use $A=D$ as our initial over-approximation of the $a$'s. Then, we guess which one of these 36 values is indeed one of the $a$'s, say $a_1$. That then gives us an over-approximation $B=a_1-D$ for the $b$'s. We use this initial over-approximation $A,B$, then iteratively refine it until convergence, and test whether the result is correct. We repeat up to 36 times, with 36 different guesses at $a_1$ (on average 6 guesses should be enough) till we find one that works.

A full algorithm. Now we can have a full algorithm to compute $a_1,\dots,a_6,b_1,\dots,b_6$. Basically, we derive an initial over-approximation for $A$ and $B$, then iteratively refine.

1. Make a guess: For each $z \in D$, guess that $a_1=z$. Do the following:

   1. Initial over-approximation: Define $A=D$ and $B=z-D$.

   2. Iterative refinement: Repeatedly apply the following until convergence:

      • Refine $A,B$ to get a new over-approximation $B^*$ of the $b$'s.
      • Refine $A,B^*$ to get a new over-approximation $A^*$ of the $a$'s.
      • Let $A:= A^*$ and $B:= B^*$.

   3. Check for success: If the resulting sets $A,B$ each have size 6, test whether they are a valid solution to the problem. If they are, stop. If not, continue with the loop over candidate values of $z$.

Analysis. Will this work? Will it eventually converge on $A=\{a_1,\dots,a_6\}$ and $B=\{b_1,\dots,b_6\}$, or will it get stuck without completely solving the problem? The best way to find out is probably to test it. However, for your parameters, yes, I expect it will be effective.

If we use method #1, as long as $|A|,|B|$ are not too large, heuristically I expect the sizes of the sets to monotonically shrink. Consider deriving $A^*$ from $A,B$. Each difference $d$ suggests $|B|$ values; one of them correct, and the other $|B|-1$ can be treated (heuristically) as random numbers. If $x$ is a number that does not appear among the $a$'s, what is the probability that it survives the filtering and is added to $A^*$? Well, we expect $a$ to be suggested about $(|B|-1) \times 36/251$ times in total (on average, with standard deviation about the square root of that). If $|B|\le 36$, the probability that a wrong $x$ survives the filtering should be about $p=0.4$ or so (using the normal approximation for the binomial, with continuity correction). (The probability is smaller if $|B|$ is smaller; e.g., for $|B|=30$, I expect $p\approx 0.25$.) I expect the size of $A^*$ to be about $p (|A|-6) + 6$, which will strictly improve the over-approximation since it is strictly smaller than $|A|$. For instance, if $|A|=|B|=36$, then based upon these heuristics I expect $|A^*|\approx 18$, which is a big improvement over $|A|$.

Therefore, I predict that the running time will be very fast. I expect about 3-5 iterations of refinement to be enough for convergence, typically, and about 6 guesses at $z$ should probably be enough. Each refinement operation involves maybe a few thousand memory reads/writes, and we do that maybe 20-30 times. So, I expect this to be very fast, for the parameters you specified. However, the only way to find out for sure is to try it and see if it works well or not.