înregistrare Logare
Puncte:3
AAA avatar Crypto

SIS fără modulul

drapel nl
AAA

Luați în considerare următoarea modificare a problemei Short Integer Solution (SIS):

Lăsa $n$ fie un număr întreg și $\alpha=\alpha(n),\beta=\beta(n),m=m(n)>\Omega(n\log \alpha)$ fie funcţii ale $n$. Eșantionați o uniformă $A\gets[-\alpha,\alpha]^{n\times m}$. Sarcina este de a calcula vectorul „scurt”. $e\in\mathbb{Z}^m$ în nucleul de $A$. Acesta este:

  1. $|e| < \beta$.
  2. $A.e=0^n$. Aici, egalitatea este valabilă pentru numerele întregi

Versiunea obișnuită a SIS este aceeași ca mai sus, cu excepția cazului în care $A.e=0^n$ deține mod $q$, și $q=2\alpha+1$ (astfel încât $A$ este uniformă în $\mathbb{Z}_q^{n\ori m}$). Această variantă elimină modulul.

Întrebare: Există rezultate non-triviale de duritate/ușurință pentru această versiune de SIS? Ce setări ale parametrilor sunt ușoare și care (dacă există) pot fi dovedite grele pe baza unor probleme mai grave ale rețelei, ca în versiunea obișnuită a SIS?

Atacul banal: Există un algoritm banal în cazul în care $\beta$ este mare. Puteți calcula un vector nucleu peste numerele întregi luând minore ale matricei $A$. Acești minori și, prin urmare, vectorul nucleului, pot fi delimitați cu ușurință de către $(\alpha n)^{O(n)}$. Deci in regim $\beta= (\alpha n)^{O(n)}$, există un atac banal.

Ceea ce sunt cel mai curios este cazul în care $\alpha,\beta$ sunt polinomiale în $n$. Există atacuri aici sau poate fi arătată vreo duritate?

Am ales distribuția pentru $A$ mai sus pentru a da o problemă concretă. Dar m-ar interesa și alte distribuții pe $A$. De exemplu, ce se întâmplă dacă intrările de $A$ sunt gaussieni discreti, etc?

Se poate lua în considerare și o versiune neomogenă a acestei variante SIS, unde $A.e=u$, pentru un vector $u$ (din nou, fără un modul). Trebuie să fim atenți, deși la mare $u$ nu va fi o solutie. Poate ne limităm la întâmplare $u\in\{0,1\}$, sau în $[-\gamma,\gamma]^n$. De asemenea, m-ar interesa dacă se poate spune ceva și despre această problemă, în afară de adaptarea simplă a banalului atac de sus.

131
1 + 5
Mark avatar
drapel ng
Mark
Aș fi foarte atent cu o presupunere ca aceasta și anume pentru că [LWE fără modulul](https://eprint.iacr.org/2018/822.pdf) este ușor.
0
Răspunde
AAA avatar
drapel nl
AAA
Sunt cu siguranță de acord că ar fi periculos să ne asumăm duritatea fără nicio justificare formală. În același timp, nu am cunoștință de atacuri reale, în afară de atacul banal menționat.
0
Răspunde
Mark avatar
drapel ng
Mark
Am conectat la un atac asupra unei probleme strâns legate în același cadru. Nu ar fi surprinzător pentru mine dacă cineva ar putea extinde atacul la SIS, motiv pentru care v-am legat documentul.
0
Răspunde
drapel pe
Samuel Neves
Reducerea durității LWE constrânge modulul ca $q \le 2^{O(n)}$, în timp ce reducerea SIS îl constrânge ca $q \ge \beta \cdot O(n)$. Suficient de mare $q$ va fi echivalent cu problema numerelor întregi, îmi imaginez.
0
Răspunde
AAA avatar
drapel nl
AAA
@Samuel Neves: problema este că SIS este de obicei definit unde matricea este aleatorie peste $\mathbb{Z}_q$. Deci, pe măsură ce $q$ crește, la fel și intrările lui $A$. Acest lucru înseamnă că $A.e$ va avea aproape sigur mod $q$. Deci nu văd imediat cum să folosesc asta pentru problema mea
0
Răspunde
Puncte:1
AAA avatar Crypto
drapel nl
AAA

Se pare că o anumită versiune a problemei este de fapt la fel de grea ca SIS. Concret, susțin că versiunea unde $A$ este o întâmplare binar matricea si $\beta$ este polinom va fi greu, presupunând că SIS este dificil pentru o alegere adecvată a parametrilor.

Lăsa $q=2^\ell$ să fie o putere a lui 2 care este suficient de mare decât $\beta$. Lăsa $n'=n/\ell$ (presupunem $n$ divizibil cu $\ell$ pentru simplitate). Apoi luați în considerare o instanță SIS cu parametri $n',m,q,\beta$: dată o matrice aleatorie $A\in\mathbb{Z}_q^{n'\times m}$, scopul este de a găsi un vector diferit de zero $e\in\mathbb{Z}^m$ astfel încât $A\cdot e\equiv 0\pmod q$ și $|e|<\beta$.

Reducem la problema fără modul menționată după cum urmează. Lăsa $A_i\in\{0,1\}^{n'\times m}$ fi matricea în care înlocuim fiecare intrare $A$ langa $i$al-lea fragment din acea intrare. Apoi lasa $A'\în\{0,1\}^{n\ori m}$ fie matricea obținută prin stivuirea tuturor $A_i$ una peste alta.

Dacă am putea rezolva SIS fără modul pentru $A'$, asta ne-ar da un vector $e\neq 0$ astfel încât $A'\cdot e=0$ (peste numere întregi) și $|e|<\beta$. Dar apoi susțin asta $A\cdot e = 0$. Într-adevăr, fiecare intrare de $A$ este doar o combinație liniară de intrări din coloana corespunzătoare a $A'$. Prin urmare, fiecare intrare de $A\cdot e$ este doar o combinație liniară a intrărilor în $A'\cdot e$, și, prin urmare, este 0.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.