Puncte:2

Cum este legal să folosiți un gaussian rotunjit pentru LWE?

drapel in

Din câte am înțeles, în lucrarea inițială a lui Regev, distribuția erorilor a fost mai întâi construită după cum urmează:

introduceți descrierea imaginii aici

Apoi rotunjite în felul următor:

introduceți descrierea imaginii aici

Folosind această distribuție, se poate obține reducerea teoremei de mai jos:

introduceți descrierea imaginii aici

Nu înțeleg cum, în multe aplicații din literatură, folosesc problema LWE cu distribuția obișnuită a erorilor rotunjite:

introduceți descrierea imaginii aici

si totusi asigura securitatea (sau reducerea solida), cu $D_s(\mathbf{x}) = \frac{1}{\mathbf{s}^n} \exp \left( \frac{-\pi \|\mathbf{x}\|^2}{s^ 2} \dreapta)$ este distribuția normală continuă.

Chris Peikert avatar
drapel in
„Distribuția obișnuită rotunjită” $\Psi_s$, redusă modulo $p$ (ceea ce se întâmplă atunci când se creează mostre LWE), este *exact* $n$ eșantioane independente din distribuția corespunzătoare „scalată și rotunjită” corespunzătoare. $\bar{\Psi}_{s/p}$ peste $\mathbb{Z}_p$. Acest lucru poate fi văzut doar lucrând prin definiții și notând că $D_s$ este o distribuție a produsului peste toate coordonatele sale $n$.
C.S. avatar
drapel in
@ChrisPeikert Mulțumesc! Dar cum să facem față cu suma pe $k$ care merge de la $- \infty$ la $+\infty$ care se află în interiorul integralei?
Chris Peikert avatar
drapel in
Suma infinită surprinde doar faptul că distribuția normală (continuă) este redusă âmod 1â; aceasta corespunde modului de reducere p după aplicarea scalarii. Integrala mărginită împreună cu suma infinită dă o integrală infinită peste toate realele.
Puncte:1
drapel ng

Cred că acesta este doar un artefact al lui Regev care reprezintă valori în $\mathbb{T} \cong \mathbb{Z} / q\mathbb{Z} = \{0, 1/q, \dots, (q-1)/q\}$, mai degrabă decât în $\{0,1,\dots,q\}$ direct. Mai sunt totuși câteva lucruri de menționat:

În primul rând, consensul modern este că pentru duritatea $\mathsf{LWE}$ [1], distribuția particulară a erorilor pe care o utilizați nu contează prea mult. În special, cele obișnuite (datorită ușurinței de eșantionare) sunt „binoame centrate”, sau chiar uniforme pe un anumit interval. Pentru exemple, consultați finaliștii NIST PQC.

Desigur, aceste distribuții pe care le folosim nu sunt întotdeauna justificate de reducerile de la cel mai rău caz la cel mai mediu. Deci ce dă? Avem (în linii mari) două opțiuni în ceea ce privește alegerea parametrilor:

  1. Criptanaliza $\mathsf{SIVP}_\gamma$ direct, găsiți parametrii siguri și apoi treceți-i prin $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ reducerea sau

  2. Criptanaliza $\mathsf{LWE}$ direct și alegeți acești parametri.

Al doilea este mai popular de departe. Există câteva motive pentru aceasta:

  1. Reducerea $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ este (concret) nu foarte „strâns”. În special, duce la o inflație decent de mare a parametrilor. Acest lucru este menționat în câteva locuri, de exemplu o altă privire la etanșeitatea 2. Desigur, acest lucru se întâmplă adesea atunci când inițial se analizează în mod concret o dovadă căreia nu îi pasă de constante. Au existat lucrări ulterioare, de exemplu acest, acest, și acest, dar nimic prea mainstream. Dintre lucrări, m-am uitat cu adevărat doar la primul --- iirc pe care l-a găsit prin umflare $(n, \log_2 q, \sigma)$ printr-un factor de $\aproximativ 2$ în comparație cu ceea ce folosesc oamenii în practică, puteți obține securitate concretă de la cel mai rău caz până la o reducere medie.

  2. Nu este clar că (în cel mai rău caz) criptoanaliza $\mathsf{SIVP}_\gamma$ este mai ușor decât criptoanaliza (caz mediu). $\mathsf{LWE}$. Acest lucru se datorează faptului că nu există un candidat evident pentru cel mai rău caz al $\mathsf{SIVP}_\gamma$! Desigur, s-ar putea folosi întotdeauna o analiză a cazului mediu ca limită inferioară a unei analize a cazului cel mai rău, dar atunci de ce analiza cazului mediu o problemă diferită de cea care vă interesează?

Toate acestea sunt pentru a spune că $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ reducerea este (în mare parte) văzută ca afirmând că $\mathsf{LWE}$ este (calitativ) „distribuția corectă” care trebuie privită. Există multe distribuții de instanțe aleatorii pe care le-ați putea privi, iar unele ar putea fi „slab din punct de vedere structural” (pentru exemple în acest sens, consultați lucrările despre „Instanțe Poly-LWE slabe” sau pe care RSA a definit folosind o variantă aleatorie $n$-bit întreg, mai degrabă decât aleatoriu $n$-bit semiprime, ar fi „distribuția greșită” de utilizat din motive structurale). The $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ reducerea poate fi interpretată ca fixarea unei anumite distribuții pentru $\mathsf{LWE}$, pe care noi atunci cantitativ parametrizați prin criptoanaliza (directă).

[1] Rețineți că pentru semnături, distribuția face contează, dar acest lucru se datorează detaliilor construcțiilor/dovezilor de securitate ale semnăturilor și nu în mod abstract pentru că credem că $\mathsf{LWE}$ este greu atunci când utilizați gaussieni discreti și nu gaussieni rotunjiți/variabile aleatoare uniforme sau orice altceva.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.