Mai întâi aș dori să definesc mai precis „la fel $x$" atac.
Prima interpretare
Alice și Bob le cunosc $x$ sunt la fel. Nu are sens, deoarece, în acest scenariu, ei împărtășesc deja informații secrete (pot calcula deja cheia publică comună $g^x$ fără nicio comunicare).
A doua interpretare
Acum, să presupunem, adversarul poate forța (nu știm cum) $x$ a fi egal cu $y$ (Dar Alice și Bob nu știu asta și apoi comunică $g^x$). Atunci scopul adversarului este să calculeze $g^{x^2}$ prin cunoaştere $g^x$. Se știe că această problemă este grea în modelul generic (puteți căuta, de exemplu acest), și atunci este probabil și greu pentru grupul concret bine ales.
A treia interpretare
Alice și Bob respectă protocolul, dar ghinionul aleg la fel $x$, este remarcabil decât adversarul poate detecta cu ușurință acest caz. Dar informatica $g^{x^2}$ este greu ca in al doilea caz.
Despre LWE
Voi lua în considerare această versiune al schimbului de chei DH:
Despre prima interpretare, nu are sens ca pentru DH.
O remarcă importantă este faptul că până și Alice și Bob au același lucru $x$, cheile parțiale trimise nu sunt identice (contrar cu cele din DH). În primul rând pentru că calculează $x^\perp A$ și $Ax$, și, de asemenea, pentru că nu există niciun motiv pentru care au același zgomot.
Din acest motiv, detectarea egalității în al treilea caz nu este banală, (cel puțin nu banală ca în cazul DH).
Despre faptul de a calcula secretul $x$ în al doilea caz. Pare greu, dar din câte știu, nu există niciun rezultat cu privire la duritatea acestei probleme specifice.
Putem reformula ambele probleme. Dată o matrice pătrată $A$, este greu să
distinge $(Ax+ 2e, x^\perp A+ 2e')$ și $(Ax+ 2e, y^\perp A+ 2e')$?
Și dat $(Ax+ 2e, x^\perp A+ 2e')$ este greu de ghicit cel mai puțin semnificativ $x^\perp Ax$.
Sunt tentat să cred că ambele probleme sunt grele. Dar din câte știu eu nu se poate reduce la nicio problemă grea cunoscută.