înregistrare Logare
Puncte:2
BlackHat18 avatar Crypto

LWE și funcții extinse fără gheare de trapă

drapel sy
BlackHat18

Lăsa $q \geq 2$ fi un întreg prim. Luați în considerare două funcții, date de:

$$f(b, x) = Ax + b \cdot u + e~~~(\text{mod}~q),$$ $$g(b, x) = Ax + b \cdot (As + e') + e~~~(\text{mod}~q),$$

unde avem: \begin{align} b &\în \{0, 1\}, \ x &\în \mathbb{Z}_{q}^{n}, \ s &\în \mathbb{Z}_{q}^{m}, \ A &\în \mathbb{Z}_{q}^{n \times m}, \ e' &\în \mathbb{Z}_{q}^{m}, \ u &\in \mathbb{Z}_{q}^{m}, \end{align}

$e$ este eșantionat din distribuție:

\begin{ecuație} D_{\mathbb{Z}_q, B^{'}}(x) = \frac{e^{\frac{- \pi ||x||^{2}}{B^{'2}}} }{\sum_{x \in \mathbb{Z}_q^{n}, ||x|| \leq B'} e^{\frac{- \pi ||x||^{2}}{B^{'2}}}}, \end{ecuație} Unde $$B' = \frac{q}{C_{T} \sqrt{mn \log q}},$$ $C_{T}$ este o constantă fixă.

În acest lucrare, functiile sunt definite in ecuatia 29 si se mentioneaza ca in cel mai rau caz peste $A$, $u$ și $e'$, presupunând că LWE este greu pentru algoritmii clasici de timp polinomial, făcând distincție între $f$ și $g$ este, de asemenea, greu, dat $A$ și au dat (polinom multe) „probe” (din moment ce $e$ este o distribuție de probabilitate, ieșiri de $f$ sau $g$ sunt mostre) de la oricare $f$ sau $g$.

Reducerea LWE este valabilă și pentru cazul mediu.

Lucrarea menționează, de asemenea, că aceste două funcții sunt o familie de „funcții extinse fără gheare de trapă (Definiția 5, 6, 7.)”

Ca referință la dovada acestor fapte de mai sus, lucrarea face referire acest hârtie (Lema 9.3). Cu toate acestea, în timp ce demonstrează Lema 9.3, a doua lucrare face referire și la alte lucrări, cum ar fi acest unu. Dovada nu mi-a fost clară în nicio ziare.

Am vrut să întreb cum să reduc sarcina de a face distincția între $f$ și $g$ la LWE. De asemenea, am vrut să întreb despre importanța funcției de a fi „extens trap-door claw free” în acea reducere.

Din înțelesul meu, duritatea LWE spune că dacă ni se dă $A$, făcând distincție între eșantioane uniform aleatoare și mostre din $As + e'$ e greu. Nu sunt sigur cum $b$ și $x$ sau ceilalți parametri iau în considerare acest fapt. Este acolo unde avem nevoie de dovada fără gheare de capcană extinsă?

83
0 + 0
lwe
Puncte:2
Mark avatar Crypto
drapel ng
Mark

Cred că se urmărește următoarea reducere:

Lăsa $D$ fii un deosebitor pentru $f, g$. Construiește un deosebitor $D'$ pentru LWE că:

  1. Ia ca intrare o instanță LWE $(A, b')$
  2. Creați oracolul $h_{A, b'}(b,x) = Ax + bb' + e\bmod q$
  3. Simulează $D$ cu acces oracol la $h$, și returnează ce $D$ face.

Pare relativ simplu ca acest adversar să funcționeze, astfel:

  1. când $b'$ este uniform aleatorie, $h_{A,b'}(b,x) = f(b,x)$
  2. când $b' = As + e'$, $h_{A,b'}(b,x) = g(b,x)$

Avantajul pe care îl obțineți ar trebui să fie independent de instanța LWE particulară $(A, b')$ folosesti la reducere. Îmi imaginez că aici s-a terminat „cel mai rău caz $A, u, e'$„ vine de la, dar nu am auzit asta până acum, așa că nu pot spune cu siguranță că asta intenționează autorii.

Merită menționat că nu văd nicăieri ai nevoie de asta $f, g$ sunt funcții extinse fără gheare de trapă (sau ceva de acest fel). În schimb, cred că tot ceea ce se întâmplă este asta $f, g$ fiecare provin din post-procesarea eficientă a unui eșantion LWE (unul din lume eșantionul este din distribuția LWE, unul în care este uniform aleatoriu). Dacă acest lucru ar putea duce la funcții distincte, s-ar aplica în mod clar un atac asupra LWE.

0 + 0
BlackHat18 avatar
drapel sy
BlackHat18
Când $b' = As + e$, $h(b, x) = Ax + b(As + e) ​​+ e'$. Dar, pentru ecuația 29 a acestei lucrări (https://arxiv.org/pdf/2002.12814.pdf), $g(b, x) = Ax + b(As + e') + e$. Atunci cum sunt acestea la fel?
0
Răspunde
Mark avatar
drapel ng
Mark
Am schimbat $e'\leftrightarrow e$, ceea ce a fost o problemă tipografică. Totuși, punctul principal este că, dacă oricare două distribuții $D_0\approx_c D_1$ nu se pot distinge din punct de vedere computațional, atunci trebuie să fie $h(D_0)\approx_c h(D_1)$ pentru orice funcție calculabilă eficient $h$. Rezultatul urmează prin alegerea corectă a $h$.
0
Răspunde
BlackHat18 avatar
drapel sy
BlackHat18
Sunt un pic confuz cu ceva. Fie $(A, b')$ o instanță LWE de intrare. Apoi, într-un caz $b'$ este uniform la întâmplare. Dar, în celălalt caz, nu este $b' = As + e$ pentru o eroare gaussiană $e$? Totuşi, aici, pentru al doilea caz $b' = As + e'$ --- $e'$ nu mai este o eroare gaussiană; $e' \in \mathbb{Z}_{q}^{m}$.
0
Răspunde
Mark avatar
drapel ng
Mark
@BlackHat18 Asta nu contează. Ai dreptate că construcția lui $f, g$ funcționează pentru $e'$ arbitrar, dar atunci când este folosit în reducerea la LWE, ai că $e'$ este gaussian.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.