一些模格的對偶結果

讓 $ R $ 是分圓域的整數環 $ \mathbb{Q}(\zeta_n) $ ， 在哪裡 $ n $ 是二的冪，並且 $ \boldsymbol{a} \in R_{q}^{m} $ ， 為了 $ m\in\mathbb{Z}^+ $ , $ q\in\mathbb{Z}{\geq2} $ 主要。定義以下 $ R $ -模組，其中 $ I $ 是一個理想的 $ R{q} = R/qR $ : $$ \begin{gathered} \boldsymbol{a}^{\perp}(I):=\left{\left(t_{1}, \ldots, t_{m}\right) \in R^{m}: \forall i,\left(t_{i} \bmod q\right) \in I \text { and } \sum_{i} t_{i} a_{i}=0 \bmod q\right}, \ L(\boldsymbol{a}, I):=\left{\left(t_{1}, \ldots, t_{m}\right) \in R^{m}: \exists s \in R_{q}, \forall i,\left(t_{i} \bmod q\right)=a_{i} \cdot s \bmod I\right}. \end{gathered} $$ 的理想 $ R_{q} $ 可以寫成形式 $ I_{S}:=\prod_{i \in S}\left(x-\zeta_n^{i}\right) \cdot R_{q}=\left{a \in R_{q}: \forall i \in S, a\left(\zeta_n^{i}\right)=0\right} $ ， 在哪裡 $ S $ 是的任何子集 $ {1, \ldots, n} $ （這 $ \zeta_n^{i} $ 是的根 $ \Phi_n $ 模組 $ q $ ）。定義 $ I_{S}^{\times}=\prod_{i \in S}\left(x-{\zeta_n^{i}}^{-1}\right) \cdot R_{q} $ .

然後本文的作者證明（引理 7）：讓 $ S \subseteq{1, \ldots, n} $ 和 $ \boldsymbol{a} \in R_{q}^{m} $ . 讓 $ \bar{S}={1, \ldots, n} \backslash S $ 和 $ \boldsymbol{a}^{\times} \in $ $ R_{q}^{m} $ 定義為 $ a_{i}^{\times}=a_{i}\left(x^{-1}\right) $ . 然後，與 $ \widehat{\cdot} $ 表示格的對偶： $$ \widehat{\boldsymbol{a}^{\perp}\left(I_{S}\right)}=\frac{1}{q} L\left(\boldsymbol{a}^{\times}, I_{\bar{S}}^{\times}\right). $$ 我的問題是：雖然收容 $ \frac{1}{q} L\left(\boldsymbol{a}^{\times}, I_{\bar{S}}^{\times}\right)\subset \widehat{\boldsymbol{a}^{\perp}\left(I_{S}\right)} $ 我很清楚，我無法證明相反的方向 $ \widehat{\boldsymbol{a}^{\perp}\left(I_{S}\right)}\subset\frac{1}{q} L\left(\boldsymbol{a}^{\times}, I_{\bar{S}}^{\times}\right) $ . 結果如何獲得？

他們的論文包含了這一點的證明，他們“只是”首先訴諸於格對偶。簡而言之，證明格

$$ A = B, $$

（如你所說）足以證明 $ A\subseteq B $ 和 $ B\subseteq A $ . 他們所做的就是使用它

$$ B\subseteq A\iff A^\subseteq B^, $$

而是證明 $ A\subseteq B $ 和 $ A^\subseteq B^ $ . 您可以驗證他們的證明確實做到了這一點，但是 $ A = L(\cdot) $ ， 和 $ B = \widehat{\alpha^\perp(\cdot)} $ 你的格子。具體來說，您缺少的收容措施是 $ \widehat{L(\cdot)}\subseteq \frac{1}{q}\alpha^\perp(\cdot) $ . 對此，他們表示

這可以通過考慮以下元素來看出 $ L(\cdot) $ 對應於 $ s = 1 $ .

我還沒有檢查過，但我想他們的意思是 $ \widehat{L(\cdot)} = {\vec t\in R^m :\forall \ell \in L(\cdot): \langle \ell, t\rangle\equiv 0\bmod q} $ . 如果我們更換 $ L(\cdot) $ 在這個有一些子集 $ S\subseteq L(\cdot) $ ，我們得到一個超集 $ \widehat{L(\cdot)} $ . 看來他們特別指出你應該更換 $ L(\cdot) $ 與對應於選擇的子集 $ s = 1 $ . 具體來說，這給了我們遏制。

$$ \widehat{L(I_{\alpha^\times, \overline{S}}^\times)} \subseteq {\vec t\in R^m : \forall i : (t_i\bmod q) = \alpha_i^\times\bmod I_{\overline{S}}^\times}. $$

我不知道這是否正是 $ \frac{1}{q}\alpha^\perp(\cdot) $ ，但他們的暗示使它聽起來像是正確的事情。

引用自：https://crypto.stackexchange.com/questions/99476