5.3 Qualit´e exp´erimentale des algorithmes de r´eduction de r´eseaux
5.3.1 Hermite-SVP
Le facteur de Hermite atteint par les algorithmes de r´eduction semblent ˆetre ind´ependant du r´eseau, `a moins que le r´eseau n’ait une structure exponentielle. Dans ce cas, le facteur de Hermite peut ˆetre inf´erieur `a d’habitude (mais pas sup´erieur). On d´esigne par structure exceptionnelle un premier minimumλ1(L) inhabituellement petit, ou plus g´en´eralement, un invariant de Rankin inhabituellement petit (c’est-`a-dire, l’existence d’un sous-r´eseau inhabituellement petit). En grande dimension, nous n’avons jamais trouv´e de classe de r´eseaux pour lesquels le facteur de Hermite
´etait substantiellement sup´erieur que pour les r´eseaux al´eatoires. On sp´ecule donc que le pire-cas correspond au cas moyen.
Quand le r´eseau n’a pas de structure exponentielle, le facteur de Hermite de LLL, DEEP et BKZ semblent ˆetre exponentiels en la dimension du r´eseau : la figure 5.2 montre le facteur de Hermite moyen, en fonction de la dimension du r´eseau et de l’algorithme de r´eduction ; et la figure5.3montre le logarithme de la figure5.2. Ces figures montrent que le facteur de Hermite est approximativement de la formeean+bo`unest la dimension du r´eseau et (a, b) ne semble d´ependre que de l’algorithme utilis´e. Puisque nous sommes int´eress´es par des estimations grossi`eres, nous simplifionsean+b en cn, et la figure 5.4montre que peu d’´echantillons suffisent pour obtenir une approximation raisonnable dec: en effet, quand on choisit des bases al´eatoires d’un r´eseau donn´e, la distribution semble gaussienne. La figure5.5montre l’´evolution decen fonction de la dimension du r´eseau et de l’algorithme de r´eduction ; la valeurcsemble converger quand la dimension augmente.
le tableau5.1 donne la valeur approch´ee de c et la pente GSL correspondanteη, en fonction de l’algorithme, et la compare avec la meilleure borne sup´erieure th´eorique connue. DEEP et BKZ ont donc globalement le mˆeme comportement que LLL, `a part qu’ils donnent des constantes plus petites, environ en racine de celles de LLL.
5.3- Qualit´e exp´erimentale des algorithmes de r´eduction de r´eseaux 83
-0.5 0 0.5 1 1.5 2 2.5 3 3.5
0 20 40 60 80 100 120 140 160 180 200
logHermiteFactor
dimension BKZ 10LLL
BKZ 15 BKZ 20 DEEP 40
Fig.5.2 – Le facteur de Hermite de LLL, BKZ et DEEP, en fonction de la dimension.
-0.5 0 0.5 1 1.5 2 2.5 3 3.5
0 20 40 60 80 100 120 140 160 180 200
logHermiteFactor
dimension BKZ 10LLL
BKZ 15 BKZ 20 DEEP 40
Fig.5.3 – Logarithme de Figure5.2.
LLL BKZ-20 BKZ-28 DEEP-50 c= Hermite factor1/n 1.0219 1.0128 1.0109 1.011 Meilleure borne sup´erieure prouvable 1.0754 1.0337 1.0282 1.0754
η =pente moyenne GSL -0.0430 -0.0263 -0.0241 -0.026 Meilleure borne inf´erieure prouvable -0.1438 -0.0662 -0.0556 -0.1438
Tab.5.1 – Moyenne exp´erimentale de la constante du facteur de Hermite pour plusieurs algorithmes d’approximation sur des r´eseaux al´eatoires et comparaison avec les bornes sup´erieures th´eoriques.
0 20 40 60 80 100 120
1.01 1.012 1.014 1.016 1.018 1.02 1.022 1.024
occurences
Constante du hermite factor
distribution de c pour BKZ20 distribution de c pour LLL
Fig.5.4 – Distribution de la constante du facteur de Hermite, quand on choisit des bases al´eatoires d’un r´eseau de dimension 160.
Le cas de LLL est int´eressant : il est bien connu que le facteur de Hermite dans le pire cas pour LLL est (4/3)(n−1)/4, atteint par n’importe quelle base du r´eseau tel que tous ses r´eseaux de dimension 2 projet´es sont critiques. Toutefois, cela correspond `a la base du pire cas, et non `a un r´eseau du pire cas. En effet, quand on s´electionne de tels r´eseaux mais choisit une base d’apparence al´eatoire, on obtient le mˆeme facteur de Hermite 1.02nque pour des r´eseaux al´eatoires.
Notons que la constantec est toujours tr`es proche de 1, mˆeme pour LLL, ce qui implique que le facteur de Hermite est toujours petit, `a moins que la dimension du r´eseau ne soit ´enorme. Voici un exemple concret : pour un r´eseau de dimension 300, on obtient `a peu pr`es 1.0219300≈665 pour LLL (ce qui est bien inf´erieur `a la borne sup´erieure 1.0754300≈2176069287) et 1.013300≈48 pour BKZ-20 (ce qui est bien inf´erieur `a la borne sup´erieure 1.0337300≈20814). Hermite-SVP avec un facteurnest donc facile jusqu’`a la dimension au moins 450.
La figure5.6 montre l’´evolution de la constante du facteur de Hermitecpour BKZ, quand la taille de bloc augmente, et permet 2 comparaisons : une avec la meilleure borne sup´erieure th´eorique connue≈ √γβ1/(β−1), en utilisant la meilleure borne sup´erieure num´erique connue surγβ, et une autre avec un prototype d’impl´ementation du meilleur algorithme th´eorique connu [28], dont la borne sup´erieure th´eorique est √γβ1/(β−1). On voit que BKZ et la slide r´eduction [28] r´ealisent tous les deux des performances bien meilleures que la borne sup´erieure th´eorique, mais BKZ semble bien meilleur : la slide r´eduction peut ˆetre ex´ecut´ee avec des tailles de blocs sup´erieures `a BKZ, mais mˆeme dans ce cas, les constantes semblent un peu moins bonnes. La taille du foss´e entre la th´eorie et la pratique est difficile `a expliquer : nous n’avons pas de bon mod`ele pour la distribution des r´eseaux projet´es de dimension β utilis´es par BKZ ; on sait juste que ¸ca ne correspond pas num´eriquement `a la distribution d’un r´eseau al´eatoire de dimension β.
5.3- Qualit´e exp´erimentale des algorithmes de r´eduction de r´eseaux 85
0.99 0.995 1 1.005 1.01 1.015 1.02 1.025
0 20 40 60 80 100 120 140 160 180 200
ConstanteduHermiteFactor
dimension
BKZ 10LLL BKZ 15 BKZ 20 DEEP 40
Fig.5.5 – Convergence de la constante du facteur de Hermitec quand la dimension augmente.
1.01 1.02 1.03 1.04 1.05 1.06 1.07 1.08
0 10 20 30 40 50 60
ConstantedufacteurdeHermite
taille de bloc
Majorant de c avec gamman
Majorant prouv´e sur c Valeur exp´erimentale de c pour BKZ en dim 220 Val exp´erimentale de c pour Slide en dim 150
Fig.5.6 – Valeur moyenne de la constante du facteur de Hermitecpour BKZ en haute dimension, en fonction de la taille de bloc. Comparaison avec la meilleure borne sup´erieure th´eorique et avec [28].
1.01 1.011 1.012 1.013 1.014 1.015 1.016 1.017 1.018 1.019 1.02
0 10 20 30 40 50 60
HermiteFactorConstant
blocksize
c for BKZ in dim 80 c for BKZ in dim 140 Experimental c for Deep in dim 140
Fig.5.7 – Comparaison de la constante du facteur de Hermitecpour DEEP en grande dimension et BKZ en dimension 80, en fonction de la taille de bloc.
La figure5.7compare la constante du facteur de Hermitecatteinte pour BKZ et DEEP, quand la taille de bloc augmente. C’est normal que la constante atteinte par BKZ est inf´erieure `a celle de DEEP pour une taille de bloc fix´ee, puisque les bases BKZ-r´eduites sont aussi n´ecessairement DEEP-r´eduites. Mais la comparaison est importante, car nous verrons en partie5.4que l’on peut ex´ecuter DEEP sur des tailles de bloc beaucoup plus grandes que BKZ, surtout pour les r´eseaux de grande dimension Cela ouvre la possibilit´e que DEEP d´epasserait BKZ pour les r´eseaux de grande dimensions. Les figures 5.6 et 5.7 sugg`erent que les meilleurs algorithmes de r´eductions connus peuvent atteindre un facteur de Hermite d’environ 1.01n en grande dimension, mais pas beaucoup moins que ¸ca, puisque BKZ avec de tr`es grandes tailles de bloc n’est pas r´ealiste. Par exemple, un facteur de Hermite de 1.005n en dimension 500 semble hors de port´ee `a moins que le r´eseau n’ait une structure vraiment exponentielle.