정렬되지 않은

다음 문제를 도와 줄 사람이 있습니까?

K ^ 2 값 의 목록이 주어진 경우 , i = 1,2,…, K, j = 1,2,…, K (예 : K = 6 ) 인 $a_i,b_j$ (mod $N$ ) 값을 찾고 싶습니다 . 구체적 대응 관계를 알지 못하는 차이 a_i-b_j \ pmod N (예를 들어 N = 251 )에 대응한다. 값이 때문에 A_I, b_j \ pmod에 N이 유일하게 주어진 정의되지 않은 차이가 A_I-b_j \ pmod에 N , 우리가 찾는 모든 값의 유효 할당.$i=1,2,…,K, j=1,2,…,K$$K=6$$K^2$$a_i-b_j\pmod N$$N=251$$a_i,b_j\pmod N$$a_i-b_j\pmod N$

확실히, 목록에서 $K^2$ 숫자 의 각 순열을 시도하고 (총 $K^2!$ 가능한 경우) 변수가 실행 불가능한 상태에서 $a_i,b_j$ 를 사용하여 모듈러 방정식을 푸십시오 .

실제로,이 문제는 초기 버전의 NTRU 서명 체계 ( http://eprint.iacr.org/2001/005 ) 에 대한 암호화 분석에 관한 논문에서 발생합니다 . 그러나 저자는“단순한 역 추적 알고리즘이 하나의 솔루션을 찾는다…”(3.3 절) 한 문장 만 썼으므로 누구든지 더 많은 설명을 할 수 있을까? 더구나 저자는“모든 순환 시프트 $\{((a_i+M)\mod N,(b_i+M)\mod N\}_{i=1}^K$ 또는 스왑 $(\{(N-1-b_i,N-1-a_i)\}_{i=1}^K)$ 같은 패턴의 $a_i-b_j\mod N$ ”이 결과가 도움이됩니까?

다음은 $K = 6$ 및 N = 251에 대한 제안 $N = 251$입니다. 우리는 목록이 제공됩니다 전 - B의 J$a_i - b_j \pmod{N}$ . 일반성을 잃지 않고 그들 중 하나를 복용하여 시작$a_1-b_1$ . 일반성의 손실없이 $b_1=0$ , 우리의 값을 구하는 1 . 이제 또 다른 하나를 가지고, 소망는 형태임을 A가 2 - B (1) (이 일어날 확률이 5 / 35 = 1 / 7 )과 deduce 2 .$a_1$$a_2-b_1$$5/35 = 1/7$$a_2$

이 단계에서 우리는 a 1 , a 2 , b 1을 알고 $a_1,a_2,b_1$있습니다. 우리의 다음 목표는 찾는 것입니다 1 - ㄴ J 에 대한 J ≠ 1 . 각 후보 a i - b j 에 대해 i = 1 이면 ( a i - b j ) + ( a 2 - a 1 ) = a 2 - b j 도 목록에 있어야합니다. 만약 내가$a_1-b_j$$j \neq 1$$a_i-b_j$$i=1$$(a_i-b_j)+(a_2-a_1)=a_2-b_j$$i \neq 1$ 것을 그 확률$(a_i-b_j)+(a_2-a_1)$ 리스트에 또한 대략 인$33/251$ . 따라서 ( a i - b j ) + ( a 2 - a 1 ) 도 목록에있는후보$a_i-b_j$ 를찾으면아마도 i = 1 일 것 입니다. 이런 식으로, 우리는 복구 할 수 있습니다$(a_i-b_j)+(a_2-a_1)$$i=1$$b_2$ 확실성.

이 단계에서 우리는 a 1 , a 2 , b 1 , b 2를 알고 있습니다. 우리가 b 2를 회복 한 것과 같은 방식으로 , 우리는 합리적인 확실성 으로 3 을 회복 할 수 있습니다 . 그런 다음 ( a i - b j ) + ( a 2 − a 1 ) 및 ( a i - b ) 후보 a i - b j 를 찾아 b 3 을 복구 할 수 있습니다$a_1,a_2,b_1,b_2$$b_2$$a_3$$b_3$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$j ) + ( a 3 − a 1 ) 이 모두 목록에 있습니다. 우리는 더 가지고 있기 때문에들, 우리의 실패 확률이 상당히 내려갑니다. 우리는 계속해서 b 3 , a 4 , b 4 , a 5 , b 6 , a 6 , b 6을 찾습니다.$(a_i-b_j)+(a_3-a_1)$$a$$b_3,a_4,b_4,a_5,b_6,a_6,b_6$

이 알고리즘의 어느 시점에서든, 우리는 무언가 잘못된 것을 추측했을 수 있으며, 결국 모순을 초래할 것입니다 (예를 들어, 좋은 후보 a i - b j 는 없습니다 ). 그런 다음 역 추적하고 또 다른 가능성을 시도합니다. 모든 가능성을 다 써 버리면 다시 역 추적하고 다른 가능성이있는 알고리즘의 다른 단계를 시도합니다. 등등.$a_i-b_j$

실제로이 알고리즘을 프로그래밍하는 것이 좋습니다. 역 추적을 올바르게 구현하는 방법을 이해하는 유일한 방법 일 것입니다. 이 알고리즘이 실제로 작동하는지 여부를 알 수있는 유일한 방법이기도합니다.

업데이트 : 아래 설명은 다른 문제에 대한 것입니다 (두 별개의 세트 사이의 페어 단위 거리가 아닌 세트의 모든 페어 단위 거리가 있음). 밀접하게 관련되어 있기 때문에 어쨌든 남겨 두겠습니다.

이 문제를 벨트 웨이 문제라고하며 일반적인 d- torus 임베딩 문제 의 특수한 경우입니다 . 또한 거리 차이가 절대적 (모듈로가 아닌 숫자) 인 회전익 문제와 밀접한 관련이 있습니다.$d$

벨트 웨이 문제가 다중 시간 알고리즘을 허용하는지 여부는 알려져 있지 않습니다. 관련 질문에 대한 다양한 의사 폴리 시간 알고리즘이 있습니다. 가장 좋은 참고 자료는 (Lala an Old One) Lemke, Skiena 및 Smith 의 논문 입니다.

여기에 문제를 해결하기에 충분한 발판이 될 것입니다.

두 개의 쌍별 차이로 발생 하는 a 1 - b 1 , a 1 - b 2 , a 2 - b 1 , a 2 - b 2의 네 가지 차이점이 있다고 가정합니다.$a_1-b_1$$a_1-b_2$$a_2-b_1$$a_2-b_2$의 두 개의 B '들. 이것을사중의사분면이라고합니다. 우리는 사소한 관계가 없습니다.$a$$b$

이 관계를 사용하여 K 2 목록에서 잠재적 인 4 중주를 식별 할 수 있습니다 . 예를 들어, 목록에서 4 가지 차이점을 선택하십시오. 만약 그들이 위의 관계를 만족시키지 않는다면, 사중주 구조에서 분명히 일어나지 않습니다. 그들이 관계를 만족 시키면 사중주에서 생길 수 있습니다.$K^2$

여기에서 여러 가지 방법을 취할 수 있지만 이것으로 충분하다고 생각합니다.

특히 매개 변수 설정 예제의 경우 4 중주 인식에 대한 위의 테스트에서 오 탐지가 너무 많지 않기 때문에 문제가 매우 쉽다고 생각합니다. 우리 모두의 ( K 24 ) 목록에서 4 가지 차이점을 선택하는 방법에는 (${K^2 \choose 4}$2 ) 2모두 관계를 만족 중주 ()와 나머지 확률의 관계를 만족하는 비 중주 (있는1/N을경험적). 그러므로 우리는에 대해 볼 것으로 예상((K${K \choose 2}^2$$1/N$4 ) − ( K2 ) 2)/N오 탐지, 즉 사중이 아니더라도 테스트를 통과하는 4 튜플. 귀하의 매개 변수의 경우 이는 225 사중주 및(58905−225)/251≈234기타 오 탐지가 있음을 의미합니다. 따라서 테스트를 통과 한 4 개의 튜플 중 약 절반이 실제로 4 중주입니다. 이것은 위의 테스트가 4 중주를 인식하는 아주 좋은 방법임을 의미합니다. 사중주를 인식 할 수있게되면 실제로 차이 목록의 구조를 복구하기 위해 마을로 갈 수 있습니다.$({K^2 \choose 4}-{K \choose 2}^2)/N$$(58905-225)/251 \approx 234$

{ a 1 , … , a 6 } 사이에 나타날 수없는 숫자를 반복적으로 찾는 것에 따라 다른 접근 방식이 있습니다 . 설정된 전화 의 오버 근사 A는 우리가 알고있는 경우의를 { 1 , ... , 6 } ⊆ 을 . 마찬가지로, 우리가 { b 1 , … , b 6 } ⊆ B 라는 것을 알고 있다면 B 는 b 의 과대 근입니다 . 분명히 작은 $\{a_1,\dots,a_6\}$$A$$a$$\{a_1,\dots,a_6\} \subseteq A$$B$$b$$\{b_1,\dots,b_6\} \subseteq B$$A$과대 근사가 유용할수록 B에 대해서도 마찬가지입니다 . 내 접근 방식은 이러한 초과 근사를 반복적으로 수정하는 것, 즉 이러한 세트의 크기를 반복적으로 줄이는 것입니다 (더 많은 값을 불가능한 것으로 배제함에 따라).$B$

The core of this approach is a method for refinement: given an over-approximation $A$ for the $a$'s and an over-approximation $B$ for the $b$'s, find a new over-approximation $A^*$ for the $a$'s such that $A^* \subsetneq A$. In particular, normally $A^*$ will be smaller than $A$, so this lets us refine the over-approximation for the $a$'s.

By symmetry, essentially the same trick will let us refine our over-approximation for the $b$'s: given an over-approximation $A$ for the $a$'s and an over-approximation $B$ for the $b$'s, it will produce a new over-approximation $B^*$ for the $b$'s.

So, let me tell you how do refinement, then I'll put everything together to get a full algorithm for this problem. In what follows, let $D$ denote the multi-set of differences, i.e., $D=\{a_i-b_j:1 \le i,j \le 6\}$; we'll focus on finding a refined over-approximation $A^*$, given $A,B$.

How to compute a refinement. Consider a single difference $d \in D$. Consider the set $d+B=\{d+y : y \in B\}$. Based on our knowledge that $B$ is an over-approximation of the $b$'s, we know that at least one element of $d+B$ must be an element of $\{a_1,\dots,a_6\}$. Therefore, we can treat each of the elements in $d+B$ as a "suggestion" for a number to possibly include in $A$. So, let's sweep over all differences $d \in D$ and, for each, identify which numbers are "suggested" by $d$.

Now I'm going to observe that the number $a_1$ is sure to be suggested at least 6 times during this process. Why? Because the difference $a_1-b_1$ is in $D$, and when we process it, $a_1$ will be one of the numbers it suggests (since we're guaranteed that $b_1 \in B$, $(a_1-b_1)+B$ will surely include $a_1$). Similarly, the difference $a_1-b_2$ appears somewhere in $D$, and it'll cause $a_1$ to be suggested again. In this way, we see that the correct value of $a_1$ will be suggested at least 6 times. The same holds for $a_2$, and $a_3$, and so on.

So, let $A^*$ be the set of numbers $a^*$ that have been suggested at least 6 times. This is sure to be an over-approximation of the $a$'s, by the above comments.

As an optimization, we can filter out all suggestions that are not present in $A$ immediately: in other words, we can treat the difference $d$ as suggesting all of the values $(d+B)\cap A$. This ensures that we will have $A^* \subseteq A$. We are hoping that $A^*$ is strictly smaller than $A$; no guarantees, but if all goes well, maybe it will be.

Putting this together, the algorithm to refine $A,B$ to yield $A^*$ is as follows:

1. Let $S = \cup_{d \in D} (d+B)\cap A$. This is the multi-set of suggestions.

2. Count how many times each value appears in $S$. Let $A^*$ be the set of values that appear at least 6 times in $S$. (This can be implemented efficiently by building an array $a$ of 251 initially, initially all zero, and each time the number $s$ is suggested, you increment $a[s]$; at the end you sweep through $a$ looking for elements whose value is 6 or larger)

A similar method can be built to refine $A,B$ to get $B^*$. You basically reverse things above and flip some signs: e.g., instead of $d+B$, you look at $-d+A$.

How to compute an initial over-approximation. To get our initial over-approximation, one idea is to assume (wlog) that $b_1=0$. It follows that each value $a_i$ must appear somewhere among $D$, thus the list of differences $D$ can be used as our initial over-approximation for the $a$'s. Unfortunately, this doesn't give us a very useful over-approximation for the $b$'s.

A better approach is to additionally guess the value of one of the $a$'s. In other words, we assume (wlog) that $b_1=0$, and use $A=D$ as our initial over-approximation of the $a$'s. Then, we guess which one of these 36 values is indeed one of the $a$'s, say $a_1$. That then gives us an over-approximation $B=a_1-D$ for the $b$'s. We use this initial over-approximation $A,B$, then iteratively refine it until convergence, and test whether the result is correct. We repeat up to 36 times, with 36 different guesses at $a_1$ (on average 6 guesses should be enough) till we find one that works.

A full algorithm. Now we can have a full algorithm to compute $a_1,\dots,a_6,b_1,\dots,b_6$. Basically, we derive an initial over-approximation for $A$ and $B$, then iteratively refine.

1. Make a guess: For each $z \in D$, guess that $a_1=z$. Do the following:

   1. Initial over-approximation: Define $A=D$ and $B=z-D$.

   2. Iterative refinement: Repeatedly apply the following until convergence:

      • Refine $A,B$ to get a new over-approximation $B^*$ of the $b$'s.
      • Refine $A,B^*$ to get a new over-approximation $A^*$ of the $a$'s.
      • Let $A:= A^*$ and $B:= B^*$.

   3. Check for success: If the resulting sets $A,B$ each have size 6, test whether they are a valid solution to the problem. If they are, stop. If not, continue with the loop over candidate values of $z$.

Analysis. Will this work? Will it eventually converge on $A=\{a_1,\dots,a_6\}$ and $B=\{b_1,\dots,b_6\}$, or will it get stuck without completely solving the problem? The best way to find out is probably to test it. However, for your parameters, yes, I expect it will be effective.

If we use method #1, as long as $|A|,|B|$ are not too large, heuristically I expect the sizes of the sets to monotonically shrink. Consider deriving $A^*$ from $A,B$. Each difference $d$ suggests $|B|$ values; one of them correct, and the other $|B|-1$ can be treated (heuristically) as random numbers. If $x$ is a number that does not appear among the $a$'s, what is the probability that it survives the filtering and is added to $A^*$? Well, we expect $a$ to be suggested about $(|B|-1) \times 36/251$ times in total (on average, with standard deviation about the square root of that). If $|B|\le 36$, the probability that a wrong $x$ survives the filtering should be about $p=0.4$ or so (using the normal approximation for the binomial, with continuity correction). (The probability is smaller if $|B|$ is smaller; e.g., for $|B|=30$, I expect $p\approx 0.25$.) I expect the size of $A^*$ to be about $p (|A|-6) + 6$, which will strictly improve the over-approximation since it is strictly smaller than $|A|$. For instance, if $|A|=|B|=36$, then based upon these heuristics I expect $|A^*|\approx 18$, which is a big improvement over $|A|$.

Therefore, I predict that the running time will be very fast. I expect about 3-5 iterations of refinement to be enough for convergence, typically, and about 6 guesses at $z$ should probably be enough. Each refinement operation involves maybe a few thousand memory reads/writes, and we do that maybe 20-30 times. So, I expect this to be very fast, for the parameters you specified. However, the only way to find out for sure is to try it and see if it works well or not.