Học với lỗi (đã ký)

$\underline{\bf Background}$

Năm 2005, Regev [1] đã giới thiệu vấn đề Học với Lỗi (Lwe), một khái quát về Bài toán tương đương với Lỗi. Giả định về độ cứng của vấn đề này đối với các lựa chọn tham số nhất định hiện làm cơ sở cho bằng chứng bảo mật cho một loạt các hệ thống mật mã sau lượng tử trong lĩnh vực mật mã dựa trên mạng tinh thể. Các phiên bản "chính tắc" của Lwe được mô tả dưới đây.

Sơ bộ:

Đặt $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ là nhóm phụ gia của số thực modulo 1, tức là lấy các giá trị trong $[0, 1)$ . Đối với số nguyên dương $n$ và $2 \le q \le poly(n)$ , một "bí mật" vector ${\bf s} \in \mathbb{Z}_q^n$ , một phân bố xác suất $\phi$ trên $\mathbb{R}$ , chúng ta hãy $A_{{\bf s}, \phi}$ là phân phối trên $\mathbb{Z}_q^n \times \mathbb{T}$ thu được bằng cách chọn thống nhất một cách ngẫu nhiên, vẽ một thuật ngữ lỗi , và xuất . ${\bf a} \in \mathbb{Z}_q^n$ $x \leftarrow \phi$ $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$

Hãy là "rời rạc" của . Đó là, đầu tiên chúng ta vẽ một mẫu từ và sau đó sản lượng . Dưới đây biểu thị làm tròn $A_{{\bf s}, \overline{\phi}}$ $A_{{\bf s}, \phi}$ $({\bf a}, b')$ $A_{{\bf s}, \phi}$ $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ $\lfloor\circ\rceil$ $\circ$ với giá trị không thể thiếu gần nhất, vì vậy chúng tôi có thể xem $({\bf a}, b)$ là $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$ .

Trong bối cảnh kinh điển, chúng ta hãy phân bố lỗi $\phi$ là một Gaussian. Với bất kỳ giá trị $\alpha > 0$ , hàm mật độ của phân bố xác suất Gaussian 1 chiều trên $\mathbb{R}$ được cho bởi $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$ . Chúng tôi viết $A_{{\bf s}, \alpha}$ là viết tắt cho sự rời rạc của $A_{{\bf s}, D_\alpha}$

Định nghĩa Lwe:

Trong phiên bản tìm kiếm chúng tôi được cung cấp các mẫu từ , mà chúng tôi có thể xem là phương trình tuyến tính "nhiễu" (Lưu ý: ): $LWE_{n, q, \alpha}$ $N = poly(n)$ $A_{{\bf s}, \alpha}$ ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⟨ a_{1}, s ⟩ \approx_{χ} b_{1} \mod q

$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$

⋮

$\vdots$

⟨ a_{N}, s ⟩ \approx_{χ} b_{N} \mod q

$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$

trong đó sai số trong mỗi phương trình được rút ra độc lập từ một Gaussian rời rạc (chính giữa) có chiều rộng . Mục tiêu của chúng tôi là phục hồi . (Quan sát rằng, không có lỗi, chúng ta có thể giải quyết vấn đề này bằng cách loại bỏ Gaussian, nhưng với sự hiện diện của lỗi này, việc loại bỏ Gaussian thất bại đáng kể.) $\alpha q$ ${\bf s}$

Trong phiên bản quyết định , chúng tôi được cấp quyền truy cập vào một orory trả về các mẫu khi được truy vấn. Chúng tôi được hứa rằng tất cả các mẫu đều đến từ hoặc từ phân phối thống nhất . Mục tiêu của chúng tôi là để phân biệt đó là trường hợp. $DLWE_{n, q, \alpha}$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

Cả hai vấn đề được cho là khi . $hard$ $\alpha q > 2\sqrt n$

Kết nối với lý thuyết phức tạp:

Được biết (xem [1], [2] để biết chi tiết) Lwe tương ứng với việc giải quyết vấn đề Giải mã khoảng cách giới hạn (BDD) trên mạng kép của một thể hiện GapSVP. Thuật toán thời gian đa thức cho Lwe sẽ ngụ ý thuật toán thời gian đa thức để tính gần đúng các vấn đề mạng nhất định như SIVP và SVP trong trong đó là một yếu tố đa thức nhỏ (giả sử, ). $\tilde O(n/\alpha)$ $1/\alpha$ $n^2$

Giới hạn thuật toán hiện tại

Khi cho hoàn toàn nhỏ hơn 1/2, Arora và Ge [3] đưa ra thuật toán thời gian phụ cho Lwe. Ý tưởng là, từ các đặc tính nổi tiếng của Gaussian, rút ra các thuật ngữ lỗi nhỏ này phù hợp với cài đặt "nhiễu có cấu trúc" ngoại trừ xác suất thấp theo cấp số nhân. Theo trực giác trong cài đặt này, mỗi lần chúng tôi nhận được 1 mẫu, chúng tôi sẽ nhận được một khối mẫu với lời hứa rằng không có nhiều hơn một số phần không đổi chứa lỗi. Họ sử dụng quan sát này để "tuyến tính hóa" vấn đề và liệt kê không gian lỗi. $\alpha q \le n^\epsilon$ $\epsilon$ $m$

$\underline{\bf Question}$

Thay vào đó, giả sử chúng ta được cấp quyền truy cập vào một oracle . Khi được truy vấn, truy vấn đầu tiên để lấy mẫu . Nếu được rút ra từ , thì trả về một mẫu trong đó đại diện cho "hướng" (hoặc -valued "dấu hiệu") của thuật ngữ lỗi . Nếu được rút ngẫu nhiên, thì trả về $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ $d$ $\pm$ $({\bf a}, b)$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ . (Ngoài ra, chúng ta có thể xem xét trường hợp khi bit được chọn bất lợi khi được rút ra một cách ngẫu nhiên.) $d$ $b$

Đặt như trước đây, ngoại trừ bây giờ cho hằng số đủ lớn , giả sử. (Điều này là để đảm bảo rằng lỗi tuyệt đối trong mỗi phương trình vẫn không bị ảnh hưởng.) Xác định các vấn đề về Học tập với Lỗi đã ký (LWSE) và như trước đây, ngoại trừ điều đó bây giờ chúng tôi có một chút lời khuyên cho mỗi dấu hiệu của thuật ngữ lỗi. $n, q, \alpha$ $\alpha q > c\sqrt n$ $c$ $LWSE_{n, q, \alpha}$ $DLWSE_{n, q, \alpha}$

Có phải phiên bản nào của LWSE dễ dàng hơn đáng kể so với các đối tác Lwe của họ không?

Ví dụ

1. Có thuật toán thời gian phụ cho LWSE không?

2. Điều gì về một thuật toán đa thức thời gian dựa trên, nói, lập trình tuyến tính?

Ngoài các cuộc thảo luận ở trên, động lực của tôi là mối quan tâm trong việc khám phá các tùy chọn thuật toán cho Lwe (trong đó chúng tôi hiện có khá ít để lựa chọn). Cụ thể, hạn chế duy nhất được biết là cung cấp các thuật toán tốt cho vấn đề có liên quan đến mức độ nghiêm trọng của các điều khoản lỗi. Ở đây, cường độ vẫn giữ nguyên, nhưng phạm vi lỗi trong mỗi phương trình bây giờ là "đơn điệu" theo một cách nhất định. (Một nhận xét cuối cùng: Tôi không biết về công thức này của vấn đề xuất hiện trong tài liệu; nó dường như là nguyên bản.)

Người giới thiệu:

[1] Regev, Oded. "Trên mạng, học với lỗi, mã tuyến tính ngẫu nhiên và mật mã", trong JACM 2009 (ban đầu tại STOC 2005) ( PDF )

[2] Regev, Oded. "Vấn đề học tập với lỗi", khảo sát được mời tại CCC 2010 ( PDF )

[3] Arora, Sanjeev và Ge, Rong. "Các thuật toán mới để học về sự hiện diện của lỗi", tại ICALP 2011 ( PDF )

— Daniel Apon
nguồn

(wow! sau ba năm trôi qua, giờ đây thật dễ trả lời. Thật buồn cười làm sao! - Daniel)

Vấn đề "Học với lỗi (đã ký)" ( LWSE ) này, như tôi đã phát minh và nêu ở trên (ba năm trước), đã giảm đáng kể từ vấn đề Học tập mở rộng với lỗi ( eLwe ) lần đầu tiên được giới thiệu trong tác phẩm Bi-Denitable Public -Mã mã hóa chính của O'Neill, Peikert và Waters tại CRYPTO 2011.

Các eLWE vấn đề được xác định Tương tự với "tiêu chuẩn" LWE (tức là [ Regev2005 ]), ngoại trừ các bản phân phối (hiệu quả) distinguisher được đưa ra thêm 'gợi ý' về lỗi mẫu LWE của vector , theo hình thức ( có thể gây ồn) các sản phẩm bên trong có vectơ tùy ý . (Trong các ứng dụng thường là vectơ khóa giải mã của một số hệ thống mật mã.) $\vec{x}$ $\vec{z}$ $\vec{z}$

Chính thức, vấn đề được mô tả như sau: $\mathsf{eLWE}_{n,m,q,\chi,\beta}$

Đối với số nguyên và phân phối lỗi trên , vấn đề học tập mở rộng với lỗi là phân biệt giữa các cặp phân phối sau: trong đó và và trong đó $q = q(n) \ge 2$ $\chi = \chi(n)$ $\mathbb{Z}_q$

{A, \vec{b} = A^{T} \vec{s} + \vec{x}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},

$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ ${A, \vec{u}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},$ $\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ $x'\leftarrow\mathcal{D}_{\beta q}$ $\mathcal{D}_\alpha$ là phân phối Gaussian rời rạc (1 chiều) với chiều rộng . $\alpha$

Thật dễ dàng để thấy rằng eLwe nắm bắt "tinh thần" của LWSE , mặc dù việc giảm chính thức có thể được hiển thị mà không cần quá nhiều nỗ lực.

Các ý tưởng tiếp theo chính để tìm hiểu vấn đề Extended-Lwe được phát triển trong các tác phẩm:

Bảo mật Thông tư và KDM cho Mã hóa dựa trên danh tính của Alperin-Sheriff và Peikert
Độ khó cổ điển của việc học với các lỗi của Brakerski, Langlois, Peikert, Regev và Stehle

Tùy thuộc vào việc khóa bí mật của bạn có tồn tại trong hay là nhị phân (và bản chất của các lựa chọn tham số khác), bạn có thể sử dụng mức giảm của giấy thứ nhất hoặc thứ hai để giảm lượng tử / lượng tử một cách kinh điển từ với hệ số gần đúng thành LWSE . $\mathbb{Z}_q$ $\mathsf{GapSVP}_\alpha$ $\alpha \ge \Omega(n^{1.5})$

— Daniel Apon
nguồn

PS Hoặc trong một cụm từ "Lwe là mạnh mẽ", hoặc trong một bài báo nắm bắt tốt nhất tinh thần này: people.csail.mit.edu/vinodv/robustlwe.pdf

— Daniel Apon

PPS Bây giờ, một khoảng cách thích hợp từ cơ thể của câu trả lời chính ... đây là công việc gần đây "mở rộng" sự hiểu biết của chúng tôi về Học tập mở rộng với lỗi: eprint.iacr.org/2015/993.pdf

— Daniel Apon