Constrângeri asupra q pentru rețele q-ary?

Karim

05.01.2023, 13:21

În criptografia cu zăbrele, oamenii lucrează adesea cu rețele q-ary, astfel încât să putem folosi duritatea soluției întregi scurte (SIS) și învățarea cu erori (LWE).Am văzut în unele note pe care uneori ne dorim $q$ a fi prim sau o putere primă. Cu toate acestea, nu a existat nicio explicație pentru ce este așa. Așa că am câteva întrebări despre alegerea $q$:

Există probleme în a considera q un număr întreg pozitiv? Sau există valori care s-au dovedit a fi problematice?
Care este avantajul de a o alege să fie primă sau o putere primă? Și există numere prime care sunt mai potrivite?

2 + 0

numere prime

latice-cripto

safe-prime

Puncte:2

Crypto

Hilder Vitor Lima Pereira

05.01.2023, 19:36

Nu este un răspuns complet, dar poate fi deja util...

Este cunoscut că doar lungimea biților, dar nu și forma $q$ este important pentru securitatea problemei LWE (și RLWE).

Mai mult, dacă putem rezolva $SIS_{n, q, \beta}$ cu $\beta = O(q / \sigma)$, atunci putem rezolva $LWE_{n, q, \sigma}$ (vezi Corolarul 2 al [MPS15]).

Astfel, cel puțin pentru o legătură atât de mică $\beta$ pe norma solutiilor SIS, forma de $q$ nu ar trebui să conteze.

0 + 0

Puncte:1

Crypto

Mark

05.01.2023, 22:31

După cum menționează Hilder, prin tehnica „commutării modulului” alegerea particulară a $q$ nu contează prea mult pentru securitatea LWE. Prin urmare, forma particulară a $q$ este mai ales pentru a permite îmbunătățiri ale eficienței. Sunt persoana greșită să le enumerez exhaustiv pe toate, dar se poate indica cu ușurință câteva citind propunerile NIST PQC KEM.

De exemplu:

Alegerea $q = 2^k$ pentru unii $k$ permite înlocuirea reducerilor modulare prin $q$ cu deplasări de biți, o operațiune mai ieftină. Acesta este o parte din motivul pentru care Sabre alege $q = 2^{13}$.
Alegerea $q$ să fie „NTT Friendly”. NTT este un anumit analog al FFT „mod $q$" (mai degrabă decât peste $\mathbb{C}$) care poate permite accelerații mari în înmulțirile polinomiale (aproximativ de la $O(n^2)$ complexitate naiva la $O(n\log n)$). Mărimea accelerației este direct legată de existența unui analog adecvat $i\in\mathbb{C}$. Cel mai bun caz (să zicem când lucrezi $\mathbb{Z}_q[x]/(x^n+1)$ pentru $n = 2^k$) se întâmplă atunci când aveți un „primitiv 2n$a rădăcină a unității”, ceea ce se întâmplă când $q\equiv 1\bmod 2n$ (Cred). Rețineți că acest lucru nu este compatibil cu optimizarea anterioară. KEM Kyber face această alegere (aproape, există mici diferențe tehnice).
Alegerea $q$ să fie un produs de coprime mici (cu mărimea cuvântului), astfel încât se poate face apel la teorema restului chinezesc și să păstreze toate dimensiunile aritmetice ale cuvântului. Nu știu de un KEM care să facă acest lucru, dar acest lucru este popular în literatura de specialitate FHE (și adesea poartă numele de „Residue Number System” sau aritmetică RNS).

Deci există argumente pentru alegere $q \equiv 0 \bmod 2^k$, $q\equiv 1\bmod 2\times 2^k$, și $q$ un produs de coprime mici. Toate acestea pot părea a fi optimizări care se exclud reciproc, dar cineva poate fi oarecum inteligent și poate folosi mai multe optimizări simultan. De exemplu, există acest lucru asupra modului aritmetic de încorporare $2^k$ (adică „reducere modulară prietenoasă”) într-un inel prietenos NTT, permițându-ne să folosească ambele optimizări 1 și 2.

0 + 1

Hilder Vitor Lima Pereira

06.01.2023, 07:28

Pentru LWE, forma $q$ este irelevantă și aș presupune că acesta este și cazul SIS, deoarece aceste două probleme sunt strâns legate.Cu toate acestea, așa cum am scris în răspunsul meu, utilizarea reducerii LWE la SIS ne oferă doar un răspuns definitiv pentru un set de instanțe SIS, nu pentru SIS în general. Dar, de exemplu, cum putem demonstra că SIS cu $\beta=n^4=\omega(q)$ este sigur indiferent de forma lui q?

Răspunde