 Bonjour à tous ! Merci d'avoir regardé cette vidéo, je suis Olivier Bernard. Et aujourd'hui, je vous présente un papier à Azure Crypt 2020 jointement avec Adeline Roulant-Lois, qui s'appelle Twisted PHS, en utilisant la formule du product de l'approximate SVP dans l'idéo-lattice. Donc, c'est l'outlet du talk. D'abord, je vais vous présenter une longue série de mots qui ont apporté à nos résultats. Deuxièmement, je vais vous présenter l'idée de notre nouvelle algorithme Twisted, qui utilise la formule du product. Finalement, je vais vous montrer des résultats expérimentaux qui montrent des gros improvements sur l'existence de la cryptographie. Alors, qu'est-ce que le lattice ? C'est un subgroupement de R à N, pour lequel vous pouvez voir un exemple ici dans dimension 2. Comme le nom est le titre, nous allons être intéressés dans le problème de la première victoire. Vous pouvez voir que si je vous donne la base orange, c'est une bonne base, ce serait facile d'exprimer la première élément. Mais si je vous donne une base plus ronde ou plus générique, comme le purple one, ce serait difficile pour vous de déterminer quelle combination de spectres que vous devriez utiliser pour construire la première élément. Et en fait, c'est un problème difficile, mais quantité et classiquement. Vous pouvez aussi considérer une variante structurelle quand votre lattice n'est pas plus une lattice, mais c'est suffisant pour un subclass de lattices comme l'idéal et le nombre de filles. Bien sûr, quand vous avez des problèmes, c'est toujours tentant de les utiliser pour la cryptographie. Et d'ailleurs, il y a plusieurs systèmes de base cryptographie soumise à la compétition de liste. Et vous avez de belles proofs de sécurité pour ces systèmes de cryptographie. Et par exemple, vous avez d'abord le casque pour l'adverteur du casque, qui montre que le problème d'underliement, comme le WEE, est au moins un peu difficile comme l'idéal SVP. Donc, d'ailleurs, une question naturelle est de se demander si l'idéal SVP est un problème difficile ou pas, en spite de cette structure adéquate à l'algebra. Le premier chateau est de la théorie de l'algorithme. Quand les gens ont trouvé l'algorithme de l'algebra quantum polynomial pour compter des groupes classiques ou des groupes unis, d'ailleurs classiquement, par exemple, pour les fields cyclotomiques de degree n, cela devrait prendre 2 à la courte de n. Donc, cela a appris à une longue série de travail, à partir d'une note de Campbell-Groveron-Shepard en 2014, où ils ont dit que trouver un générateur short est facile dans les fields cyclotomiques. Cela a été prouvé théoriquement 2 ans plus tard par Cameron Ducas-Pecartembre-Gaffes, où ils ont aussi prouvé que, généralement, ce n'est pas l'idéal SVP, parce que un générateur short n est pas nécessairement un élément short de l'idéal. Puis, cela a été étendu à tous les idéaux, grâce à l'expérience de Stickelberger-Lattice, et que l'expérience a été conductée sur ces algorithmes pour montrer qu'ils devraient se battre, en tant que 300, mais seulement pour un nombre de fields de degree plus que 2 000, 24 000. Finalement, Pele-Marie-Aro et Stelet, en 2019, a étendu ces résultats à tous les fields, parce que vous avez dû payer une précomputation en 2002 à la fin de l'année. Donc, ce que l'on a montré sur les graphes, c'est que si vous pourriez payer la précomputation en 2002 à la fin de l'année, puis avec un computer quantum, vous pouvez, dans le temps polynomial, résoudre l'idéal SVP dans les fields pour un facteur approximatif de 2 à la fin de l'année, donc vous devriez battre la précomputation en 2 à la fin de l'année. Et notre travail est principalement basé sur le Ph.S.19. Dans notre travail, nous proposons une version de l'algorithme de l'Ph.S. et nous formulons l'utilisation de l'analyse de l'Atlantis et nous proposons une nouvelle description en utilisant l'analyse du produit. Et ça, basiquement, vient de mettre en place les valeurs de l'analyse à des places finales. Et cela quantifie le fait que quand vous utilisez une unité S qui intervient les ideals de l'analyse de l'analyse de l'analyse, cela coûte plus en facteur de l'approchement que quand vous utilisez une unité S qui intervient les ideals de l'analyse Donc, inférieurement, nous n'avons pas prouvé que tout ce que vous faites snarement de l'alcool de l'analyse d'une Gamma qui se fait cadaver de vapeur haute et parce que ce que vous dites faire est important de pleurer l' interchange et de consommer les refillions par d'autres estátres et infrastructures descentes à parties en bas de nombreux, Donc ce que vous pouvez voir ici dans le graph, c'est que la curve orange correspond à les PHS, et le facteur de l'approximisation s'étend très très lentement avec le degré, et dans le degré 52, nous sommes à peu près, nous sommes juste à 1.8, et le curve bleu, ceci fut au cours de l'approximisation des PHS et vous pouvez voir que, au degré 52, nous sommes déjà à l'approximisation factor de 10 à 11. Donc, quels sont les impacts potentiels sur l'approximisation des PHS de notre travail? Donc, depuis que c'est presque le Christmastre, j'ai réalisé une petite liste de Christmastre, mais let's emphasiser qu'il n'y a pas d'impact théorique de notre travail sur l'impact théorique de l'approximisation idéale de la PHS, mais notre expérience suggère deux choses. La première est que l'opinion de la plattice logique est très hardogonal et le facteur est que la partie la plus courte de la précomputation dans le algorithm de PHS est expérimente sur la compétition de la plattice logique. Donc, si nous pouvons confirmer que c'est vraiment hardogonal, même pour plus de dimensions, ça signifie que la partie expérimente de la précomputation dans le monde mondial va disparaître et la seconde chose que notre expérience suggère est que l'approximisation des facteurs va s'entraîner très lentement avec un degré, et si on pourrait expérer les expériences pour avoir un degré de plus en plus d'intérêts, nous pouvons déployer un degré plus général pour les facteurs de l'approximisation et cela pourrait révéler la subexpansion dans le degré. Alors maintenant, je vais introduire l'idée de l'impact théorique de notre compétition de la plattice logique. Donc, premièrement, je vais récolter comment, dans la plattice logique, nous avons utilisé des unités d'impact théorique pour réduire les créateurs idéaux principaux et je vais montrer les conséquences pour notre problème spécifique. Et ensuite, je vais montrer comment cela s'intéresse à utiliser des unités S pour réduire l'outil de le problème de la plattice logique. Et finalement, nous allons utiliser la formule du produit pour généraliser la première fois lentement dans la deuxième fois. Alors, premièrement, nous devons introduire la plattice logique. Alors, que la plattice logique soit un degré de l'impact théorique N. Donc, c'est une extension finite de la plattice rationale. Et comme dans la plattice platonique, la plattice de l'impact théorique est la meilleure connue par ses images dans les numéros complexes. Donc, c'est juste pour introduire la notation sigma, qui dénote des embêtements de K dans les numéros complexes. Et une unité d'algebraique est une unité d'algebraique integer U dans K, que cela a une norme 1. Et qu'est-ce que cela signifie? C'est-à-dire que le produit de l'absolute valeur de toutes ses images est 1. Et puisque c'est la présentation latine, nous n'aiment pas les produits très bien. Donc, une façon de transformer les produits dans des sommes c'est de prendre le logarithm, le logarithm. Et donc, je vais introduire l'embêtement de l'arithm logarithm, ce qui est envoyé à un élément de l'ampli des numéros, pour le vector composé de l'arithm logarithm de toutes ses images par sigma. Donc, vous avez un vector avec un composant log de l'absolute valeur de sigma et d'alpha pour tout sigma. Et vous pouvez voir de cette formule que vous avez une bonne caractérisation de unités. Donc, U est une unité, c'est une équivalente pour demander que le logarithmique embêtement de U est orthogonal à 1. Cela signifie que le nombre de toutes ses compétences est 0. Et vous pouvez voir que cela fit de l'absolute valeur, parce que le produit, le log du produit sera 0, parce que la norme est 1. Et les images de toutes les unités forment un lattice, qui s'appelle le log-unit lattice, à l'intérieur de l'espace d'image. Donc, c'est un lattice qui est orthogonal à 1. Et vous pouvez l'enlever. Donc, les unités sont... C'est une dimension 2 d'image, mais vous devez voir le vector 1 en ligne. Et l'espace orthogonal à 1 est de dimension 8-1. Comment l'utiliser ? Pourquoi est-ce important pour réduire les générateurs ? Alors, supposons que vous avez un challenge principal idéal. Et j'ai déjà resolu le problème idéal principal. Donc, il est donné à un générateur. Donc, je sais que le G0 génère un B. Et je peux regarder le logothème embêtement de le G0. Donc, je termine quelque part dans cet espace. Et... Heureusement, toutes les solutions du problème idéal principal sont sur cette ligne, la translation de ce générateur G0 par des unités. Donc, je trouve que toutes les solutions sont ici. Alors, comment trouver la plus courte solution ? La solution est assez... assez facile. Nous avons le premier projet, le logothème embêtement de le G0 dans l'unité de l'unité de la lattice. Nous essayons de trouver le plus close point de cette lattice, le plus close point de la projection. Et j'espère que nous trouvons le red dot ici qui correspond à des unités U. Et nous utilisons ces unités pour réduire le G0 G0 en face du G0. Et ce qui s'est passé dans le case cyclotomique, il y a deux choses. Nous connaissons maintenant la base très bien de la lattice logonite. donc on peut solver la CVP officiellement à l'intérieur de l'aéroport. Et donc, cela vous donne un polyméloïde quantité, mais généralement, vous ne pouvez pas attendre d'obtenir un facteur de meilleure approche, que de l'aéroport de n, parce que la distance, la distance de l'aéroport entre deux points dans l'aéroport de l'aéroport est la square root de n. Alors, comment nous éclamez cela ? Vous pouvez essayer de relaxer la constringue sur l'aéroport de la V, qui ne sera pas demandé de ne pas être principal, mais de être principal au point de faire un produit de prime de l'aéroport de finite. Donc vous choisirez le facteur de base de prime de l'aéroport, de P1 à Pk. Et le problème de l'agriculture classique de l'agriculture de l'aéroport de l'aéroport est vraiment la généralisation du problème principal idéal quand vous demandez pour l'alpha, comme l'idéal généralité de l'alpha est B x des produits idéaux de prime de l'aéroport dans le facteur de base. Et vous définissez les unités avec respect à ce facteur de base comme élément, comme l'aéroport idéal de l'aéroport de l'aéroport de l'aéroport, c'est l'intégrité algéroïque, ring, times, ideals dans le facteur de base. Et donc l'idée est, d'en utiliser, d'utiliser cette s-unit pour réduire l'output de l'agriculture classique de l'Aéroport de la V. Et dans l'Aéroport de l'Aéroport de l'Aéroport de la V, ils suggèrent d'utiliser cette fonction. Donc vous pouvez les reconnaître dans la première partie le logarithmique embêtement de alpha et ensuite dans la seconde partie vous avez un peu d'intégrité de valeur finie minus vp de alpha pour l'interfecteur idéal et le problème de cette fonction est que ça vous donne une description non homogène de votre problème donc vous vous terminez d'essayer d'essayer d'obtenir un problème de victoire plus proche pour une partie vous aurez d'intégrité et sur l'autre partie vous aurez d'une valeur semblée et relative qui a une valeur absolue de nombre complexes. donc comment nous se convaincons ? donc nous parlons de la formule du produit, ça s'est varié pour tous les éléments du nombre et donc 1 est equal à le produit de tous les valeurs absolues de embêtements de k à c et times un produit de valeur finie, non p à la minus vp de alpha et c'est une génération très naturelle et la formule innocente dans les fields rationnels qui dit que la valeur absolue de 12 est l'inverse de ses valeurs à 2, 2-2 times ses valeurs à 3, ce qui est une troisième. et être un s unité signifie que quand vous restez le produit gris ici pour le set final, le produit formulaire reste. donc s est un s unité avec respect à la base des facteurs, si le produit formulaire reste exactement sur l'fb de la base des facteurs et c'est vraiment une génération de la définition du unité parce que vous pouvez voir un unité comme un s unité pour une base d'empte. et donc comme avant, depuis qu'on n'a pas vraiment aimé le produit, on peut définir un s l'embêtement logarithmique, qui ressemble à ça, donc on peut, une fois de suite, reconnaître les embêtements logarithmiques sur la gauche et ensuite sur la droite, la différence essentielle avec la map précédente est qu'on a un p log normes sur les valeurs finales. et donc avec cette nouvelle représentation, qui nous appelons Tristid, vous avez une très bonne caractérisation d'être un s unité, et vous seriez un s unité si et si votre embêtement logarithmique est orthogonal à 1, ce qui signifie que tous les éléments de ces facteurs sont à 0. et comme avant, les images de tous les s unités sont formées par le log s unité lattice, et c'est un orthogonal à l'ensemble des vectors, et vous devez savoir que l'ambiance vector space est de la dimension aérodimension. donc avec ce formalisme, tout va vraiment le même que pour les unités, et vous pouvez le faire comme avant sur le log s unité lattice, et c'est une version stylistique de l'ambiance log s unité lattice parce que vous devriez imaginer un symétrie de 0, mais depuis que je n'ai pas beaucoup de dimensions sur mon slide, j'ai juste pris la liberté d'enlever quelques points. et comme avant, c'est un challenge idéal, et on considère que l'ambiance classique de l'ambiance log s unité lattice a été évoluée, pour que l'on puisse évoquer que l'alpha 0 soit généré dans un idéal, ce qui est b times des multiples facteurs de base primaire idéaux. et parce que je peux utiliser mon embêtement log s log, pour mettre l'alpha 0 à l'ambiance log s log. et la bonne news c'est que, comme avant, toutes les solutions de l'ambiance classique de l'ambiance log s log sont une translation de l'alpha 0 par un s unité, donc je peux, encore une fois, évoquer toutes les solutions dans la ligne, et comment trouver la plus courte 1, c'est exactement le même que pour les unités, donc le premier projet de l'alpha 0 dans l'ambiance log s log, et vous devez savoir que c'est possible seulement parce que nous avons mis un peu de weight sur les valeurs finales, pour que l'ambiance log s unité vector soit à l'ambiance log s 0, et la projection va dans l'alpha 0, parce que sinon, ce n'est pas possible. J'espère que quand vous mettez le problème de l'alpha vector dans l'ambiance log s unité, vous allez trouver le bon point, et vous pouvez le faire, qui correspond à l'alpha s unité s, et vous pouvez utiliser l'alpha s pour réduire l'alpha 0, et je vais mettre l'alpha 0 par l'alpha s. Donc, vous espérez avoir une meilleure solution, parce que de la weight que vous pensez, que les idées importantes vont coûter plus, donc vous espérez avoir une meilleure combinaison, et au final, vous espérez avoir une meilleure valeur, et une de la technique que je n'ai pas montée sur ce slide, c'est que vous devez garantir que l'évaluation de votre solution est plus grande que 0 sur un endroit très fine, parce que sinon, le élément n'aurait pas été en B, donc vous devez avoir de la projection un peu dans l'autogonal espace de 1, et nous avons utilisé la stratégie dichotomique pour faire ça. Donc maintenant, je vais vous présenter quelques résultats expérimentaux sur la unité la plus basse, que c'est la géométrie, et sur le facteur de l'approvisionnement idéologique que nous avons atteint, et sur la qualité des bases, c'est toujours difficile d'évaluer la qualité des bases, généralement, vous voulez que les bases soient as short et as orthogonal possible, donc nous avons utilisé plusieurs critères pour quantifier ce short et orthogonal. La première est le facteur de route élevé, mais ça dépend de la première vector, et donc c'est utile de quantifier votre performance dans les problèmes de l'esprit. La deuxième est l'effect de l'autogonalité, normalisation de l'autogonalité, qui est utile de considérer les problèmes de l'esprit, parce que ça dépend de tous les bases de vector, on va aussi essayer de measure les angles de base de vector, mais ça a donné des résultats rondum, et parce que probablement la distribution des angles de base de vector devra être un peu plus monitorisé que juste prendre le minimum de l'avantage, et la dernière était de prendre les normes de log de gramme. Et dans tous les cas, nous observons que, entre les puissants et les puissants, nous observons des valeurs absolues plus absolues dans le cas de puissant, et nous aussi observons, ce qui est aussi intéressant, un plus petit gap avant et après une réduction de bgaise. Donc, ces deux graffes montrent les normes de log de gramme, et vous pouvez observer que, dans le cas de puissant, sur la gauche, le curve de curve de log de gramme est très flat, et il est diminué sur la droite, dans le cas de puissant. Et vous pouvez aussi voir que le curve doté est avant une réduction, et le curve de bgaise est après une réduction, et vous pouvez voir que, dans le cas de puissant, les deux graffes sont presque superposées, où, quand elles sont vraiment différentes dans le cas de puissant original. Et ce sont vraiment deux comparisions qui utilisent la même matière algebraique, la même s-unit, la même base de factor, tout est pareil. La seule différence entre les deux est que nous avons des weight dans le cas de puissant, et nous n'avons pas de weight dans le cas de puissant original. Aussi, un remarque qu'on ne voit pas dans l'article ou le graff, c'est que les graffes de bgaise sont très différentes, parce que dans le cas de puissant, les graffes sont mis à bout de 10 secondes, alors que, dans le cas non-tuistique, nous avons fait quelques minutes de 10 secondes. Donc, c'est un succès que nous pouvons juste utiliser des graffes de cvp ou encore dans le cas de puissant. Et enfin, nous l'avons impliqué, c'est l'argument le plus indisputable. Nous l'avons impliqué sur l'algorithme de la haine à la fin, et nous avons mesuré les facteurs d'approvisionnement à l'arrivée, et vous pouvez montrer que l'approvisionnement d'approche de puissants de puissant est en train d'étudier extrêmement lentement, pendant que c'est explodant dans le cas de puissant, jusqu'à 10 à 11°C, à 52°C. Pour conclure sur le travail en haut, le premier objectif serait de théoriquement prouver que le cvp de puissant de l'alcool est orthogonal, au moins pour les fields cyclotomiques. Et d'obtenir aussi des bouts de tigres sur le facteur d'approche de puissants de puissants de puissant pour matcher les expériments et l'intuition. Le second objectif serait d'extender les expériments pour confirmer que tout le phénomène qu'on a montré sont encore valables pour des fields de l'alcool, quand les compétitions s'appliqueront plus facilement. Donc le premier objectif serait d'étudier la quantité multicubique ou de la quantité multicubique, et le deuxième objectif serait d'étudier les fields cyclotomiques, mais il y a besoin d'utiliser quelque chose qui est relié à l'alcool de tigres, ce qui n'est pas méchant. Le troisième objectif serait d'appliquer des idées homogénalisées à l'algorithme LLL pour les modules lattices, qui ont été publiées dans Azure Crypte l'année dernière. Donc, merci pour votre attention, et si vous avez des questions, n'hésitez pas à nous envoyer un email aux adresses qui sont données sur le premier site.