înregistrare Logare
Puncte:2
BlackHat18 avatar Crypto

LWE și funcții pseudoaleatoare

drapel sy
BlackHat18

Luați în considerare problema învățării cu erori. Presupunând că LWE (sau o variantă a LWE, cum ar fi inelul LWE) este dificil pentru algoritmii de timp polinomial, putem construi o familie de funcții pseudoaleatoare de acolo?

68
0 + 0
lwe
Puncte:4
Mark avatar Crypto
drapel ng
Mark

Poti. Există o anumită avertizare care ar trebui menționată aici --- problemele LWE duritatea este controlată (parțial) de mărimea modulului $q$. Două regimuri parametrice importante sunt $q$ fiind polinomial mare în parametrul de securitate și super-polinom mare. Modul mai mic este mai bun atât pentru eficiență, cât și pentru securitate. Cred că doar recent avem PRF-uri cu modul polinomial de la LWE, vezi de exemplu acest. Până la acea lucrare, acest lucru a condus la situația amuzantă în care am putea construi lucruri precum FHE nivelat dintr-o presupunere a rețelei mai slabă decât ceea ce aveam nevoie pentru a construi un PRF.

Pentru super-poli $q$ totuși, există construcții simple. Această hârtie este o referință bună. Ideea cheie este că un eșantion LWE $(a, \langle a,s\rangle + e)$ este pseudo-aleatoare, deci este plauzibil baza pentru un PRF. Dacă cineva încearcă să noteze un candidat natural, cum ar fi:

$$F_s(a) = \langle a,s\rangle + e\bmod q$$

sunt doua probleme evidente:

  • aceasta este doar pseudoaleatoare dacă $a$ este aleatoriu (deci acesta este un „PRF slab” mai degrabă decât un PRF --- doar o primitivă criptografică ușor diferită)

  • $F_s(a)$ este o funcție randomizată --- eroarea $e$ trebuie alese aleatoriu.

Puteți rezolva această a doua problemă rotunjind-o la cel mai apropiat multiplu de $p$, adică scrisul $F_s'(a) = \lfloor \langle a,s\rangle + e\rceil_p$. Cu conditia ca $q/p$ este suficient de mare, alegerea aleatorie a $e$ va avea un impact doar neglijabil deseori asupra rezultatului final, așa că putem scrie și funcția (deterministă). $F_s'(a) = \lfloor \langle a,s\rangle\rceil_p$. Alternativ, acesta poate fi văzut ca un PRF slab construit din Învățarea cu rotunjire presupunere.

Pentru a „actualiza” PRF-ul slab la un PRF standard, se poate face cheia să fie $(A, S_1, \dots, S_k)$, și definiți

$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p.$$

Unde $x_i\in\{0,1\}$, și $A, S_1,\puncte, S_k$ sunt fie elemente inelare, fie matrice cu dimensiuni adecvate, astfel încât expresia să aibă sens. Aceasta este tocmai construcția făcută în a doua lucrare din secțiunea 5.

În concluzie:

  • da putem construi PRF-uri din probleme LWE/latice
  • A face acest lucru eficient (de la modul mic) a fost surprinzător de greu, dar acum se știe cum se face (vezi prima lucrare)
  • A face acest lucru din problema LWR este conceptual simplu, dar putem baza securitatea problemei LWR doar pe problema LWE pentru modul mare.
0 + 0
Hhan avatar
drapel jp
Hhan
Cred că putem construi PRF bazat pe LWE poli-modulu folosind construcția generică GGM și ar putea fi menționat în mod explicit în prima lucrare. Desigur, există multe avantaje ale PRF-urilor în prima lucrare, de ex. au un parametru de beton mai bun, adâncime redusă în practică și omommorf cheie.
2
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.