înregistrare Logare
Puncte:2
Chito Miranda avatar Crypto

Dovada că secretul (ring-)LWE este unic

drapel us
Chito Miranda

Am citit lucrarea lui Regev în 2005 despre Învățarea cu erori și el a menționat că secretul unui eșantion LWE este unic, dar nu am văzut o dovadă a acestei afirmații. Poate cineva să-mi îndrume către un document care dovedește această afirmație? De asemenea, pentru cazul inelului-LWE, în special pentru puterea a două ciclotomice, secretul este întotdeauna unic?

110
1 + 0
lwe
Puncte:3
Mark avatar Crypto
drapel ng
Mark

a lui Regev Sondaj LWE conţine o schiţă a dovezii.

Algoritmi. O modalitate naivă de a rezolva LWE este printr-un algoritm de probabilitate maximă. Presupuneți pentru simplitate că $q$ este polinom și că distribuția erorii este normală, ca mai sus. Apoi, nu este greu să demonstrezi că după aproximativ $O(n)$ ecuații, singura atribuire la $s$ că „satisface aproximativ” ecuațiile este cea corectă. Acest lucru poate fi demonstrat printr-un argument standard bazat pe legarea lui Chernoff și o unire legată peste toate $s\in\mathbb{Z}_q^n$. Acest lucru duce la un algoritm care utilizează numai $O(n)$ mostre și rulează în timp $2^{O(n \log n)}$. Ca corolar obținem că LWE este „bine definită” în sensul că cu mare probabilitate soluția $s$ este unic, presupunând că numărul de ecuații este $\Omega(n)$.

De asemenea, poate fi util să vizualizați LWE dintr-o perspectivă diferită --- și anume ca un interval de parametri pentru SIS unde este a priori neclar dacă o soluție ar trebui să existe sau nu, așa că cineva „plantează” una. Vedea aceste note pentru o anumită perspectivă pe aceste linii. Rețineți că pentru SIS standard există multe soluții cu o probabilitate mare, așa că „LWE = SIS decizional (într-un interval de parametri)” este ușor de confundat dacă cineva nu este atent, vezi de exemplu această întrebare.

0 + 5
Chito Miranda avatar
drapel us
Chito Miranda
Mulțumesc pentru răspuns, dar încă nu văd cum merge algoritmul revendicat de mai sus. Există vreo referință disponibilă unde acest lucru a fost demonstrat în mod explicit? Nu sunt exact sigur, dar ideea mea este să presupunem că $b=A^Ts+e=A^Ts^\prime=e^\prime$, $e,e^\prime$ scurt. Apoi $A^T(s-s^\prime)=(e^\prime-e)$, atunci nu știu ce urmează.
0
Răspunde
Mark avatar
drapel ng
Mark
@ChitoMiranda Nu știu că ar fi scris nicăieri. Argumentul (așa cum îl interpretez eu) este oarecum simplu. Uitați-vă la probabilitatea (peste alegerea uniform aleatorie a $A$) ca $\lVert A(s - s')\rVert$ să fie mică. Puteți alege norma preferată aici, dar norma $\ell_\infty$ pare o alegere deosebit de bună, deoarece atunci puteți reduce problema la $\Pr[\forall i\in [m] \langle a_i, s_i - s_i'\rangle\text{ is small}] = 1 - (1 - \Pr[\langle a_i, s_i - s_i'\rangle \text{ is small})^m$.
0
Răspunde
Mark avatar
drapel ng
Mark
Apoi uniunea legată peste toate opțiunile de $s'$, de ex. arată $\Pr[\forall s' : \lVert A(s -s ')\rVert\text{ is big}] = 1-\Pr[\exists s'\neq s : \lVert A(s -s ' )\rVert\text{ este mic}] \geq 1 - q^n \Pr[\lVert A(s-s')\rVert\text{ este mic}] = 1 - q^n (1 - \Pr[ \langle a_i, s_i-s_i'\rangle\text{ is small}])^m$.Acestea fiind spuse, elaborarea detaliilor pare destul de enervantă, așa că vă las pe voi (sau pe altcineva) să faceți acest lucru.
0
Răspunde
Chito Miranda avatar
drapel us
Chito Miranda
multumesc pentru ajutor. Cu siguranță voi încerca ideile tale și voi vedea dacă vin cu o dovadă riguroasă. Mă chinui să citesc articole legate de LWE, deoarece omit o mulțime de detalii care li se par banale, dar nu pentru un novice ca mine. Mulțumesc din nou și probabil că voi posta o dovadă dacă reușesc.
0
Răspunde
Mark avatar
drapel ng
Mark
@ChitoMiranda Există și modalități indirecte de a demonstra acest lucru. Mai exact, este suficient să arătăm că $\lambda_1(\Lambda_q(A))$/2 este mai mare decât $\lVert e\Rvert$ cu mare probabilitate. Aceasta ar trebui să fie o consecință a lemei 7.9.2 din *Lattice Coding for Signals and Networks* a lui Zamir, unde se arată că pentru codurile aleatoare $q$-ary $A$, numărul de puncte de $\Lambda_q(A)$ în $S$ se apropie de densitatea de $\Lambdaa_q(A)$ ori $\mathsf{Vol}(S)$, de ex. la ce ne-am aștepta dacă punctele de zăbrele ar fi „independente”.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.