Puncte:1

Nivelul de securitate al construcțiilor FHE pentru parametrii non-standard

drapel es

criptare homomorfică standardele oferă deja parametrii recomandați și nivelurile de securitate corespunzătoare. Cu toate acestea, aș dori să calculez un nivel de securitate pentru selecția parametrilor nestandard.

Există o modalitate simplă de a calcula nivelul de securitate?

Daniel avatar
drapel ru
Nu cred că ar trebui să faceți asta dacă intenționați să *utilizați* selecția parametrilor. În general, aceste estimări provin dintr-un corp vast și complex de cercetări privind criptografia bazată pe zăbrele. Sunt mulți parametri implicați, după cum probabil știți (zgomot, abatere, dimensiune etc.) și adevărul este că doar o mână de oameni își cunosc relațiile și dimensiunile concrete. Standardizarea criptării homomorfe este tocmai un efort de a duce aceste cunoștințe către un public mai larg, pentru un set concret de parametri.
Maarten Bodewes avatar
drapel in
Deși sunt de acord că acest lucru ar fi util, asta nu înseamnă că nu ar trebui să existe o metodă bine definită de derivare a acestor numere pentru cei care doresc să le verifice. Acestea fiind spuse, întrebarea cere un mod **simplu**. Dacă nu există așa ceva (sau unul la fel de corect), atunci da, întrebarea poate avea un rezultat negativ.
Puncte:2
drapel us

The standard calea este prin folosire estimatorul LWE (dacă este simplu sau nu este discutabil).

Estimă costul atacurilor cunoscute împotriva instanțelor LWE cu parametrii dați $n$, $\alpha$, și $q$, Unde $\alpha$ reprezintă raportul de zgomot și poate fi obținut din parametru $\sigma$ din Gaussianul discret folosind formula $\alpha = \sqrt{2 \pi} \cdot \sigma / q$, deja implementat la comandă alfa = alfa(sigmaf(sigma), q).

Estimatorul găsește practic dimensiunea blocului $\beta$ pe care algoritmul BKZ va trebui să-l folosească pentru a sparge problema LWE. Dar estimarea duratei de funcționare a BKZ-$\beta$ nu este simplu, așa că, pentru a obține nivelul real de securitate, trebuie să alegeți un model de cost pentru BKZ.

Pe scurt, BKZ rulează pe o rețea de dimensiune $d$ și face mai multe apeluri către un rezolvator SVP în dimensiune $\beta$. Se presupune adesea că oracolul SVP necesită $2^{0,292\cdot \beta}$ operaţii într-un calculator clasic şi $2^{0,265\cdot \beta}$ într-una cuantică. Astfel, folosind reduction_cost_model=BKZ.sive în estimatorul LWE vă va oferi numărul de operații ca $2^{0,292\cdot \beta + 16,4 + \log_2(8 \cdot d)}$ și vrei să fie mai mare decât $2^\lambda$ pentru $\lambda$ bucăți de securitate.

Unii oameni sunt mai conservatori (paranoici?) și ignoră costurile legate de dimensiune $d$ și numeroasele apeluri către oracolul SVP, prin urmare, ele estimează numărul de operațiuni ale BKZ ca un singur apel către solutorul SVP, astfel, obțin $2^{0,292\cdot \beta}$ sau $2^{0,265\cdot \beta}$. Acesta se numește modelul de cost „core-SVP” și a fost folosit, de exemplu, pentru a estima securitatea SABRE.

muhammad haris avatar
drapel es
Mulțumesc, este foarte util. Am rulat estimatorul și am obținut următorul rezultat: sage: a = alphaf(sigmaf(3.2), 2^124) salvie: n = 4096; q = 2^124; alfa = a sage: costs = estimate_lwe(n, alpha, q) usvp: rop: â2^161.8, roșu: â2^161.8, δ_0: 1.005117, ²: 276, d: 8199, m: â2^12.0 .... âââââââ Nu sunt sigur cum să obțin o estimare, mă poți îndruma puțin mai mult. Multumesc foarte mult
Hilder Vitor Lima Pereira avatar
drapel us
Aceasta vă spune că numărul de operațiuni necesare BKZ pentru a sparge LWE în atacul unic-SVP este de aproximativ $2^{161.8}$, deci nivelul de securitate este $\lambda > 161$ (având în vedere că celelalte atacuri tipărite costă mai mult decât asta). Dar nu ați specificat modelul de cost și nu știu pe care estimatorul îl folosește implicit. De asemenea, aceasta presupune probabil că cheia este uniformă în Z_q^n.Ar fi bine să folosiți ceva de genul `estimate_lwe(n, alpha, q, secret_distribution=(0,1), reduction_cost_model=BKZ.sieve)` pentru a alege modelul de cost și distribuția sk ca pe cea pe care o utilizați.
muhammad haris avatar
drapel es
am setat parametrii cu distribuția cheii secrete ca în SEAL (folosesc seal) și modelul de cost BKZ.sieve și oferă 111 biți de securitate .. mulțumesc pentru răspuns

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.