înregistrare Logare
Puncte:4
Chito Miranda avatar Crypto

Demonstrați că un mic secret Ring-LWE este unic

drapel us
Chito Miranda

Vreau doar să știu dacă dovada mea este corectă, ceea ce înseamnă că dacă secretul Ring-LWE este mic, atunci este unic. Înainte de a-mi da dovada, iată un fapt:

Faptul 1: $\Pr [\Vert r \Vert_\infty \leq \beta: r\xleftarrow{\$} R_q]\leq \left(\dfrac{2\beta+1}{q}\right)^n$, Unde $R_q=\mathbb{Z}_q[X]/(X^n+1)$, Unde $n$ este o putere a doi, $q$ este un prim și $\beta$ este un număr real pozitiv.

Acum lasa $D_\sigma$ fie distribuția Gaussiană discretă pe $R=\mathbb{Z}[X]/(X^n+1)$ (care poate fi privit și ca gaussian discret pe $\mathbb{Z}^n$ prin încorporarea coeficientului din $R$ la $\mathbb{Z}^n$. Un alt fapt:

Faptul 2: $\Pr[\Vert z\Vert_\infty \leq \mathcal{O}(\sigma\sqrt{n}): z\leftarrow D_\sigma]>1-2^{-n}$ pentru alegerea adecvată a $\sigma$.

Acum să presupunem că $a\xleftarrow{\$}R_q$ și $s,e\leftarrow D_\sigma$ astfel încât $b=as+e$, prin urmare $(a,b)$ este un eșantion RLWE pentru secret $s$. Prin urmare, $\Vert s\Vert_\infty,\Vert e\Vert_\infty$ sunt ambele mai mici decât $\beta=\mathcal{O}(\sigma\sqrt{n})$ cu o probabilitate covârșitoare după Faptul 2.

Acum vreau să demonstrez că este imposibil să găsești altul $s^\prim, s^\prime\neq s$, $\Vert s^\prime\Vert_\infty\leq \beta$ astfel încât $b=as^\prime+e^\prime$, $\Vert e^\prime \Vert_\infty\leq \beta$ cu o probabilitate copleșitoare. Iată argumentul meu:

Continuați prin contradicție. Presupune $b=as^\prime+e^\prime$. (Asuma ca $a$ este un element inversabil al $R_q$, acesta este cazul cu o probabilitate covârșitoare pentru caz $q=3\pmod{8}$). Atunci $s^\prime=a^{-1}(b-e^\prime)=a^{-1}(e-e^\prime)+s$. Prin urmare, $(a^{-1},s^\prim)$ este un eșantion RLWE pentru secret $e^\prime-e$ de cand $a^{-1}$ este uniform aleatorie prin faptul că $a$ este uniform aleatorie. Prin urmare, așa $s^\prime$ nu se distinge de un element uniform aleatoriu în $R_q$ prin ipoteza decizională-RLWE. Dar prin Faptul 1, pentru $q>4\beta +2$, probabilitatea ca $\Vert s^\prime \Vert_\infty \leq \beta$ este $<2^{-n}$. Prin urmare, atât de mic $s$ este unică cu o probabilitate copleșitoare. (Acest lucru mai spune că, dacă nu punem nicio restricție asupra normei de $s$, secretul RLWE pentru $b$ nu este unic, deoarece putem construi pur și simplu astfel de $s^\prime$).

Așadar, aș dori să știu dacă argumentul meu este corect sau nu și aș aprecia orice feedback util de la cineva.

169
1 + 0
lwe
Puncte:2
LeoDucas avatar Crypto
drapel gd
LeoDucas

Afirmația pe care încercați să o faceți este teoretică informațională (existența a ceva), nu computațională (ușurința de a găsi ceva), deci faptul că invocați ipoteza durității RLWE este îngrijorător.

Un lucru pe care îl aveți în drept este să luați în considerare diferența dintre două soluții $[\mathbf A; \mathbf I] \cdot (s-s', e-e') = 0$. De fapt, setul de astfel de diferențe formează rețeaua SIS, așa că, în esență, încercați să demonstrați că nu există soluții SIS pentru o scurtă durată de $2\beta$ în $\ell_\infty$ normă. Cu alte cuvinte, se dorește să se demonstreze că distanța minimă a rețelei RSIS este deasupra $2\beta$.

Strategia standard de demonstrare este după cum urmează:

  • luați în considerare fiecare diferit de zero $z$
  • Pentru o întâmplare $\mathbf A$, Rețineți că $\mathbf Az$ este uniformă
  • Limitat probabilitatea ca $\mathbf Az$ cade într-o minge de rază $2\beta$ (folosind primul tău fapt)
  • Aplicați o unire legată peste toate $z$ de normă mai mică decât $2\beta$
  • Încheia.

Veți găsi detaliile unei astfel de dovezi în diferite note de curs, (de exemplu, Lema 5 din https://homepages.cwi.nl/~dadush/teaching/lattices-2018/notes/lecture-9.pdf). Acest lucru este de obicei dat pentru rețeaua generală (fără structură inelă), dar, în afară de problema de non-invertibilitate (pe care v-ați dat deja seama cum să o gestionați $q \cong 3 \mod 8$) dovada poate fi adaptată la setarea inelului.

0 + 6
Chito Miranda avatar
drapel us
Chito Miranda
Multumesc pentru feedback. În cazul meu, polinomul $a$ corespunde matricei $\mathbf{A}$ formată din coloane care sunt deplasări anticiclice ale coeficienților lui $a$. Deci, având în vedere că $a$ este ales uniform aleatoriu în $R_q$, putem considera totuși matricea sa corespunzătoare $\mathbf{A}$ ca fiind uniform aleatorie?
0
Răspunde
Chris Peikert avatar
drapel in
Chris Peikert
Nu, deoarece coloanele $\mathbf{A}$ sunt corelate, nu independente.
1
Răspunde
Chito Miranda avatar
drapel us
Chito Miranda
Luând ideea din Lema 5 a prelegerii-9.pdf, iată argumentul meu: Fix $x_1,x_2\in R_q,$ both nonzero. Definiți harta $f_{x_1,x_2}: R_q\to R_q$ dată de $a \mapsto ax_1+x_2$. Este imediat că $f_{x_1,x_2}$ este o hartă 1-1 pentru $x_1$ inversabil. Astfel, $R_q= x_1 R_q + x_2$ pentru inversabil $x_1$.
0
Răspunde
Chito Miranda avatar
drapel us
Chito Miranda
Astfel, $\Pr \{(ax_1+x_2 = 0 \pmod{q}: a\leftarrow R_q\}=q^{-n}$ pentru inversabil $x_1$. Luând uniunea legată peste toate $(x_1,x_2) )\în R_q^2$, $x_1$ este inversabil, unde $\Vert x_i\Vert_\infty\leq 2\beta$, apoi $\Pr \{ \exists (x_1,x_2): (ax_1+x_2 = 0 \pmod{q} \cap \Vert x_i \Vert_\infty\leq 2\beta \} \leq (4\beta+1)^{2n}\cdot q^{-n}$ peste alegerea uniformei $a \în R_q$. Este corect?
0
Răspunde
LeoDucas avatar
drapel gd
LeoDucas
Da, asta pare în esență ok. Într-adevăr, nu aveți nevoie de coloanele lui $A$ pentru a fi independente; faptul că $Ax$ este uniform este suficient. O ajustare minoră este necesară la încheiere pentru a conta și pentru a-urile neinversabile.
0
Răspunde
Chito Miranda avatar
drapel us
Chito Miranda
Da, am omis să număr numărul de elemente inversabile ale lui $R_q$. Mulțumesc că ai subliniat asta! Acum, mă întreb ce se va întâmpla cu prima probabilitate dacă $x_1$ nu este inversabil.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.