順不同リストを与えられた未知の値

誰でも次の問題で私を助けることができますか？

私はいくつかの値を検索したい$a_i,b_j$（MOD $N$）$i=1,2,…,K, j=1,2,…,K$（例えば$K=6$のリスト与え、）$K^2$という値具体的な対応関係を知らずに、差$a_i-b_j\pmod N$（たとえば$N=251$）に対応します。値以来$a_i,b_j\pmod N$一意に違い与え定義されていない$a_i-b_j\pmod N$、我々は探して任意の 値の有効割り当て。

間違いなく、リスト内の$K^2$数の各順列を試して（合計$K^2!$場合）、変数として$a_i,b_j$を使用してモジュラー方程式を解くことは実行不可能です。

実際、この問題はNTRU署名スキームの初期バージョンへの暗号解読に関する論文（http://eprint.iacr.org/2001/005）で発生します。しかし、著者は「単純なバックトラックアルゴリズムが1つのソリューションを見つける」という文（3.3節）を1つだけ書いたので、だれかがさらに説明できますか？さらに、著者は「すべての循環シフト$\{((a_i+M)\mod N,(b_i+M)\mod N\}_{i=1}^K$またはスワップ$(\{(N-1-b_i,N-1-a_i)\}_{i=1}^K)$はa_i-b_j \ mod Nと同じパターンに$a_i-b_j\mod N$なります。このステートメントは役に立ちますか？

および提案を次に示します。リストが与えられます。一般性を失うことなく、それらの1つを取得することから始めます。一般性を失うことなく、そしての値を取得します。今では、フォームであることを別のものを取る、と希望（これは確率で起こる、およびを推論）。N = 251 a i − b $K = 6$$N = 251$1 - B 1 、B 1 = 0 1 2 - B 1 5 / 35 = 1 / 7 $a_i - b_j \pmod{N}$$a_1-b_1$$b_1=0$$a_1$$a_2-b_1$$5/35 = 1/7$$a_2$

この段階では、わかっています。次の目標は、を探すことです。各候補について、場合、もリストに含まれている必要があります。場合、もリストにあるはおよそです。そのため、もリストにある候補が見つかった場合、おそらくです。このようにして、を確実に回復できます。a 1 − b j j ≠ 1 a i − b j i = 1 （a i − b j）+ （a 2 − a 1）= a 2 − b j i ≠ 1 （a i − b j）+ （a 2 − $a_1,a_2,b_1$$a_1-b_j$$j \neq 1$$a_i-b_j$$i=1$$(a_i-b_j)+(a_2-a_1)=a_2-b_j$$i \neq 1$33 / 251 I - のB J（I - のB J）+ （2 - 1）iが= 1 、Bを$(a_i-b_j)+(a_2-a_1)$$33/251$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$$i=1$$b_2$

この段階では、わかっています。を回復したのと同じ方法で、合理的な確実性でを回復できます。次に、と両方がリストにある候補を探すことにより、を回復できます。より多く s があるため、障害の確率はかなり低下します。続けてます。b 2 a 3 b 3 a i − b j（a i − b j）+ （a 2 − a 1）（a i − b j）+ （a 3 − a 1）a b 3、a 4、b $a_1,a_2,b_1,b_2$$b_2$$a_3$$b_3$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$$(a_i-b_j)+(a_3-a_1)$$a$$b_3,a_4,b_4,a_5,b_6,a_6,b_6$

このアルゴリズムの任意の時点で、何か間違ったことを推測した可能性があり、これにより最終的に矛盾が生じます（ある時点で、良い候補がありません）。その後、バックトラックして別の可能性を試します。すべての可能性を使い果たした場合、バックトラックし、別の可能性を試みます（アルゴリズムの異なる段階で）。等々。$a_i-b_j$

このアルゴリズムを実際にプログラムするのは良い練習です-バックトラックを正しく実装する方法を理解する唯一の方法でしょう。これは、このアルゴリズムが実際に機能するかどうかを判断する唯一の方法でもあります。

更新：以下の説明は、異なる問題（2つの異なるセット間のペアワイズ距離ではなく、セット内のすべてのペアワイズ距離がある問題）に関するものです。それは密接に関連しているので、とにかくそれを残します。

この問題はベルトウェイ問題と呼ばれ、一般的なトーラス埋め込み問題の特殊なケースです。また、ターンパイク問題と密接に関連しています。ターンパイク問題では、距離の差は絶対的です（モジュロではなく）。$d$

環状道路問題がポリタイムアルゴリズムを認めるかどうかは不明です。関連する質問には、さまざまな擬似ポリタイムアルゴリズムがあります。最良のリファレンス（古いものもあります）は、Lemke、Skiena、Smithの論文です。

ここに、問題を解決するのに十分な足場となると思われる観察結果があります。

私たちは4つの違いがあると、、、 2間のペアワイズの違いとして生じるさんと2さんを。これをカルテットの違いと呼びます。重要な関係があることに注意してください。a 1 − b 2 a 2 − b 1 a 2 − b 2 a $a_1-b_1$$a_1-b_2$$a_2-b_1$$a_2-b_2$$a$$b$

この関係を使用して、リストから潜在的なカルテットを特定することができます。たとえば、リストから4つの違いを選択します。上記の関係を満たさない場合は、カルテット構造から生じることはありません。それらが関係を満たす場合、カルテットから生じる可能性があります。$K^2$

ここからいろいろな方法がありますが、これで十分だと思います。

パラメータ設定の例では、上記のカルテットを認識するテストはおそらくあまり多くの誤検出をしないため、問題は非常に簡単になると私は特に疑っています。リストから4つの違いを選択するすべての方法のうち、四重奏（すべての関係を満たす）があり、残りは非四重奏（満足する）です。確率との関係（発見的）。したがって、誤検出、つまり、4組ではなくてもテストに合格する4タプルが表示されることが予想されます。パラメータについては、これは225四重奏とがあることを意味します（${K^2 \choose 4}$1/N（（K${K \choose 2}^2$$1/N$（58905-225）/251≈$({K^2 \choose 4}-{K \choose 2}^2)/N$$(58905-225)/251 \approx 234$その他の誤検知; そのため、テストに合格する4タプルの約半分は実際には4組です。これは、上記のテストがカルテットを認識するための非常に良い方法であることを意味します。カルテットを認識できたら、違いのリストの構造を回復するために実際に町に行くことができます。

現れない数字を繰り返し見つけることに基づく、別のアプローチがあります。セットのコールの過剰近似私たちがいることを知っている場合のを。同様に、ことがわかっている場合、はのです。明らかに、が小さいほど、この過剰近似はより有用であり、についても同じことがます。私のアプローチは、これらの過剰近似を繰り返し改良すること、つまり、これらのセットのサイズを反復的に縮小することに基づいています（より多くの値を不可能として除外するため）。A a $\{a_1,\dots,a_6\}$$A$$a$BのB { B 1、... 、B 6 } ⊆ B A $\{a_1,\dots,a_6\} \subseteq A$$B$$b$$\{b_1,\dots,b_6\} \subseteq B$$A$$B$

このアプローチの核心はするための方法であって、改良：過近似所与のためのさんとオーバー近似ための s 'は、新たな過近似見つけるためののように。具体的には、通常、より小さくなりますこれは私たちがために過近似絞り込むことができますので、さんを。B B A * A * ⊊ A A * Aの$A$$a$$B$$b$$A^*$$a$$A^* \subsetneq A$$A^*$$A$$a$

対称性によって、本質的に同じトリックは、私たちは私たちの過近似絞り込むようになるさんが：過近似与えられたに対してさんとオーバー近似のためのさん、それは新しいオーバーを生成しますの場合、近似。A a B b B ∗$b$$A$$a$$B$$b$$B^*$$b$

それでは、どのように改良を行うかを教えてください。その後、すべてをまとめてこの問題の完全なアルゴリズムを取得します。以下では、が複数の差のセットを示すものとします。つまり、です。与えられ、洗練された過剰近似を見つけることに焦点を当てます。D = { I - BのJ：1 ≤ I 、J ≤ 6 } A * A 、$D$$D=\{a_i-b_j:1 \le i,j \le 6\}$$A^*$$A,B$

洗練を計算する方法。 単一の差考えます。セット考えます。はの過剰近似であるという知識に基づいて、少なくとも1つの要素が要素でなければならないことがます。したがって、各要素を、含まれる可能性のある数値の「提案」として扱うことができます。それでは、すべての差をスイープし、それぞれについて、どの数字がによって「推奨」されるかを特定しましょう。、D + B = { D + Y ：Y ∈ B } $d \in D$$d+B=\{d+y : y \in B\}$$B$D + B { 1、... 、6 } D + B A D ∈ D $b$$d+B$$\{a_1,\dots,a_6\}$$d+B$$A$$d \in D$$d$

ここで、このプロセス中に少なくとも1回、数字が提案されることを確認します。どうして？差はにあり、それを処理するとき、は示唆する数値の1つになります（、は必ずが含まれることが保証されているため）。同様に、差はどこかに現れ、が再び提案されます。このようにして、の正しい値が少なくとも6回提案されることがわかります。同じことが、およびも当てはまります1 - B 1 D 1件のB 1 ∈ B （1 - B 1）$a_1$$a_1-b_1$$D$$a_1$$b_1 \in B$1 1 - 、B 2 D 1 1 2 $(a_1-b_1)+B$$a_1$$a_1-b_2$$D$$a_1$$a_1$$a_2$$a_3$、 等々。

したがって、を少なくとも6回提案された数値セットとします。上記のコメントによると、これは必ずの過大評価になります。a ∗$A^*$$a^*$$a$

最適化として、に存在しないすべての提案をすぐに除外できます。つまり、差をすべての値を提案するものとして扱うことができます。これにより、が確保されます。が厳密によりも小さいことを期待しています。保証はありませんが、すべてがうまくいけば、おそらくうまくいくでしょう。D （D + B ）∩ A A * ⊆ A A *$A$$d$$(d+B)\cap A$$A^* \subseteq A$$A^*$$A$

これをまとめると、を改良してを生成アルゴリズムは次のとおりです。A $A,B$$A^*$

1. ましょう。これは複数の提案です。$S = \cup_{d \in D} (d+B)\cap A$

2. 各値が表示される回数をカウントします。してみましょう中に少なくとも6回表示される値の集合。（これは、アレイ構築することによって効率的に実現することができるゼロ最初全て、最初に251を、その数毎時間提案されているが、あなたが増分、終了時に、あなたはを通じて掃引値が6以上である要素を探し大きい）A ∗ S a s a [ s ] $S$$A^*$$S$$a$$s$$a[s]$$a$

Aを改良してを取得する同様のメソッドを構築できます。基本的に上記のことを逆にして、いくつかの兆候を反転させます。たとえば、代わりにを見ます。B ∗ d + B − d + $A,B$$B^*$$d+B$$-d+A$

初期の過剰近似の計算方法。最初の過剰近似を取得するための1つのアイデアは、と仮定（wlog）することです。その結果、各値はどこかに現れる必要があるため、差のリストはの初期の過剰近似として使用できます。残念ながら、これはの非常に有用な過剰近似を与えません。a i D D a $b_1=0$$a_i$$D$$D$$a$$b$

より良い方法は、のいずれかの値をさらに推測することです。つまり、（wlog）と仮定し、の初期の過剰近似としてを使用します。次に、これらの36個の値のどれが実際にの1つであるかを推測します（。これにより、の近似られます。この初期過近似を使用してから、収束するまで繰り返し改良し、結果が正しいかどうかをテストします。動作するものが見つかるまで、で36の異なる推定値（平均6つの推定値で十分です）で最大36回繰り返します。b 1 = 0 A = D $a$$b_1=0$$A=D$$a$a 1 B = a 1 − D b A 、B a $a$$a_1$$B=a_1-D$$b$$A,B$$a_1$

完全なアルゴリズム。 これでを計算する完全なアルゴリズムを使用できます。基本的に、と初期の過剰近似を導き出し、その後繰り返し改良します。 A $a_1,\dots,a_6,b_1,\dots,b_6$$A$$B$

1. 推測する：各について、と推測します。以下をせよ：A 1 = $z \in D$$a_1=z$

   1. 初期の過剰近似：および定義します。B = z − $A=D$$B=z-D$

   2. 反復的な改良：収束するまで以下を繰り返し適用します。

      • を調整して、の新しい近似を取得します。B ∗$A,B$$B^*$$b$
      • 絞り込み新しい過近似取得するのさんを。A ∗$A,B^*$$A^*$$a$
      • レッツおよび。 B ：= B $A:= A^*$$B:= B^*$

   3. 成功の確認：結果セットサイズがそれぞれ6である場合、それらが問題の有効な解決策であるかどうかをテストします。もしそうなら、停止します。そうでない場合は、候補値に対するループを続行します。$A,B$$z$

分析。 これは機能しますか？最終的におよびにしますか、または問題を完全に解決せずにスタックしますか？見つけるための最良の方法は、おそらくそれをテストすることです。ただし、パラメータについては、はい、効果があると思います。B = { b 1、… 、b 6$A=\{a_1,\dots,a_6\}$$B=\{b_1,\dots,b_6\}$

メソッド＃1を使用する場合、大きすぎず、発見的に、セットのサイズが単調に縮小すると予想します。からを導出することを検討してください。各差は示唆します 値; それらの1つは修正され、もう1つは（発見的）乱数として扱うことができます。場合は間に表示されていない数であるさんは、確率は、それがフィルタリングを生き残り、に追加されていることを何である？さて、についてが提案されることを期待ています。A ∗ A 、B d | B | | B | − 1 x a A ∗ a （| B | − 1 ）× 36 / 251 | B | ≤ 36 、X 、P = 0.4 | B | | B | = 30 P ≈ 0.25 A *$|A|,|B|$$A^*$$A,B$$d$$|B|$$|B|-1$$x$$a$$A^*$$a$$(|B|-1) \times 36/251$合計で（平均で、その平方根についての標準偏差で）回。場合、間違ったがフィルタリングに耐える確率は約程度である必要があります（2項式の正規近似と連続性補正を使用）。（が小さい場合、確率は小さくなります。たとえば、場合、を期待します。）サイズは約になると思います。、より厳密に小さいため、過近似を厳密に改善します。たとえば、場合、これらのヒューリスティックに基づいて期待しています$|B|\le 36$$x$$p=0.4$$|B|$$|B|=30$$p\approx 0.25$$A^*$| A | | A | = | B | = 36 | A ∗ | ≈ 18 | A $p (|A|-6) + 6$$|A|$$|A|=|B|=36$$|A^*|\approx 18$、これはよりも大幅に改善されています 。$|A|$

したがって、実行時間が非常に高速になると予測しています。通常、収束には3〜5回の洗練の反復で十分であり、約6回の推測で十分であると予想されます。各改良操作には、おそらく数千のメモリ読み取り/書き込みが含まれ、おそらく20〜30回行います。そのため、指定したパラメーターに対して、これは非常に高速になると予想されます。ただし、確実に確認する唯一の方法は、試してみて、うまく機能するかどうかを確認することです。$z$