Puncte:0

Un raport modul/zgomot mai mic înseamnă mai multă securitate în LWE

drapel in

Lăsa $\text{Adv}^{\text{DLWE}}_{n,m,q,\sigma}$ fi avantajul unui atacator de a distinge mostrele LWE de cele uniforme, unde $m$ este numărul de mostre, $q$ modulul şi $\sigma$ abaterea standard a distribuției erorilor.

Nu găsesc o expresie explicită pentru acest avantaj.

Face reducerea $q$ si in crestere $\sigma$ implică un avantaj mai mic (și, prin urmare, o securitate mai bună?)

Puncte:1
drapel ng

Nu găsesc o expresie explicită pentru acest avantaj.

Nu există unul. Acest lucru se datorează faptului că este în concordanță cu stadiul tehnicii teoriei complexității care $\mathsf{P} = \mathsf{NP}$, prin urmare $\mathsf{Adv}_{n,m,q,\sigma}^{\mathsf{DLWE}}$ este un polinom în dimensiunile parametrilor relevanți. Este de asemenea în concordanță cu gândirea criptografică actuală că nu este cazul și că lucrurile mai agresive sunt adevărate, și anume că $\mathsf{Adv}^{\mathsf{DLWE}}_{n,m,q,\sigma}$ este aproape în întregime controlată de $n\log q$, și în special:

  1. $m$ poate fi destul de mare fără a afecta securitatea și
  2. $\sigma$ poate fi destul de mic (teoretic $\sigma = \Omega(\sqrt{n})$ este în general necesar, deși practic $\sigma = O(1) \aprox 8$ este comun).

Deci, cum se evaluează concret acest avantaj? În general, prin evaluarea (concretă) a stadiului actual al atacurilor cunoscute. În acest scop, există două resurse principale:

  1. „Estimatorul LWE” al lui Albrecth et al. este incredibil de popular. Puteți vedea lucrarea inițială Aici, și modulul (mai actualizat) sage Aici.

  2. Propuneri concrete existente de primitive bazate pe zăbrele. De exemplu, finaliștii NIST PQC Kyber, Sabre și NTRUPrime includ toate analize (concrete) care își justifică alegerile parametrilor. Pentru primitivii mai grei, Standard de criptare homomorfă conține tabele cu parametrii sugerați, precum și rezumate ale atacurilor care au ghidat construcția acestor tabele.

Toate acestea fiind spuse...

Face reducerea $q$ si in crestere $\sigma$ implică un avantaj mai mic (și, prin urmare, o securitate mai bună?)

Toate celelalte fiind egale, răspunsul este da. Având în vedere o instanță LWE $(\mathbf{A}, \vec b)$, se poate comuta modulul de la $q\mapsto q'$ (pentru $q' < q$, analiza este mai curată dacă $q' \mid q$ deşi). Aceasta mapează aproximativ abaterea standard a erorii de la $\sigma \mapsto \frac{q'}{q}\sigma < \sigma$. S-ar putea apoi crește această eroare la o abatere standard $\sigma' > \sigma > \frac{q'}{q}\sigma$ prin adăugarea unui Gaussian adecvat.

Aceasta înseamnă că există o reducere relativ simplă de la $\mathsf{DLWE}_{n, m, q, \sigma}\leq \mathsf{DLWE}_{n, m, q', \sigma'}$ pentru $\sigma' > \sigma$ și $q' \mid q$ (cazul lui $q' < q$ nu este mult mai greu, dar trebuie să faci față unor „erori de rotunjire”), așa că avantajul va fi mai mic.

C.S. avatar
drapel in
Mulțumesc @Mark. Există vreo hârtie în care să găsesc o reducere între DLWE pentru diferiți parametri?
Mark avatar
drapel ng
Sunt răspândite între câteva hârtii. Cele două idei fundamentale sunt că, având în vedere un număr (fix) de mostre LWE, se pot genera mai multe (de eroare puțin mai mare) ieftin. Acest lucru justifică limitarea $m$ să nu afecteze prea mult $\mathsf{Adv}$. Consultați secțiunea 5 din [this](https://eprint.iacr.org/2020/337.pdf) pentru câteva detalii (rezultatul este de dinaintea acestei lucrări). Cealaltă principală este analiza comutării modulului, în [this](https://web.eecs.umich.edu/~cpeikert/pubs/lwehard-old.pdf).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.