Puncte:2

*-LWE echivalent al vulnerabilității Diffie-Hellman $g^{x^2}$

drapel vu

În Este Diffie-Hellman mai puțin sigur atunci când A și B selectează același număr aleatoriu? , posibilitatea ca schimbul de chei Diffie-Hellman să producă chei peer identice și vulnerabilitatea acestuia împotriva atacurilor pasive a fost adusă din nou în discuție - ca duplicat.

Dar există un echivalent în familia *-LWE de schimburi de chei bazate pe zăbrele? Întrebarea mea este că, fără a lua în considerare întărirea CCA, cum ar fi transformarea Fujisaki-Okamoto și schema de criptare asemănătoare LPR, face un schimb simplu de chei *-LWE:

  • Î1: au o vulnerabilitate echivalentă?

  • Î2: ce proprietate matematică a schimbului de chei *-LWE a făcut posibilă sau imposibilă o astfel de vulnerabilitate?

DannyNiu avatar
drapel vu
Îmi dau seama că am făcut o greșeală în legătură cu fezabilitatea atacului Squre-Diffie-Hellman. Rog oamenii familiarizați cu subiectul să editeze părțile greșite din întrebarea mea.
Puncte:4
drapel ng

Dat $(A, Ax + e)$ și $(A, x^tA+e')$, puteți face (cel puțin) un lucru potențial interesant pentru a rezolva LWE. Și anume, calculați eșantionul

$$(A+ A^t, Ax + e + (x^tA+e')^t) = (A+A^t, (A + A^t)x + e + {e'}^t)$ $

deci puteți reduce LWE la un caz de LWE unde matricea aleatorie $A + A^t$ este simetric. Nu este foarte clar pentru mine că acest lucru vă ajută criptoanalitic --- introduce o anumită structură în problemă, dar

  1. pare o structură mai mică decât ipotezele precum RLWE/MLWE introduc (de exemplu, an $n$ matricea simetrică dimensională este determinată de $O(n^2)$ parametrii, în timp ce dacă vedeți un eșantion RLWE ca o „matrice”, acesta are $O(n)$ parametrii).
  2. nu este clar cum ar fi utilă structura.

Prin acest ultim punct, vreau să spun în mare parte că nu sunt conștient simetric codurile liniare aleatorii (sau rețelele aleatoare) fiind mai ușor de rezolvat CVP. Dacă acest lucru ar fi adevărat, ar implica imediat vulnerabilitatea de care sunteți interesat.

Puncte:3
drapel cn

Mai întâi aș dori să definesc mai precis „la fel $x$" atac.

Prima interpretare

Alice și Bob le cunosc $x$ sunt la fel. Nu are sens, deoarece, în acest scenariu, ei împărtășesc deja informații secrete (pot calcula deja cheia publică comună $g^x$ fără nicio comunicare).

A doua interpretare

Acum, să presupunem, adversarul poate forța (nu știm cum) $x$ a fi egal cu $y$ (Dar Alice și Bob nu știu asta și apoi comunică $g^x$). Atunci scopul adversarului este să calculeze $g^{x^2}$ prin cunoaştere $g^x$. Se știe că această problemă este grea în modelul generic (puteți căuta, de exemplu acest), și atunci este probabil și greu pentru grupul concret bine ales.

A treia interpretare

Alice și Bob respectă protocolul, dar ghinionul aleg la fel $x$, este remarcabil decât adversarul poate detecta cu ușurință acest caz. Dar informatica $g^{x^2}$ este greu ca in al doilea caz.

Despre LWE

Voi lua în considerare această versiune al schimbului de chei DH:

Despre prima interpretare, nu are sens ca pentru DH.

O remarcă importantă este faptul că până și Alice și Bob au același lucru $x$, cheile parțiale trimise nu sunt identice (contrar cu cele din DH). În primul rând pentru că calculează $x^\perp A$ și $Ax$, și, de asemenea, pentru că nu există niciun motiv pentru care au același zgomot.

Din acest motiv, detectarea egalității în al treilea caz nu este banală, (cel puțin nu banală ca în cazul DH).

Despre faptul de a calcula secretul $x$ în al doilea caz. Pare greu, dar din câte știu, nu există niciun rezultat cu privire la duritatea acestei probleme specifice.

Putem reformula ambele probleme. Dată o matrice pătrată $A$, este greu să distinge $(Ax+ 2e, x^\perp A+ 2e')$ și $(Ax+ 2e, y^\perp A+ 2e')$? Și dat $(Ax+ 2e, x^\perp A+ 2e')$ este greu de ghicit cel mai puțin semnificativ $x^\perp Ax$.

Sunt tentat să cred că ambele probleme sunt grele. Dar din câte știu eu nu se poate reduce la nicio problemă grea cunoscută.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.