înregistrare Logare
Puncte:1
a196884 avatar Crypto

RLWE cu elemente inversabile

drapel cn
a196884

Lăsa $R = \mathcal{O}_K$ fi inelul de întregi de $K$, Unde $K$ este un câmp numeric algebric și $q$ un modul. Lăsa $\chi$ fie o distribuție de eroare utilizată pentru a eșantiona un element $e$. O probă primară RLWE are forma $(a,a\cdot s+e)\in R_q\times R_q$. Varianta care ia $a$ a fost folosit pentru a fi inversabil (de ex. Aici) și varianta care ia $s$ a fost folosit și a fi inversabil (de ex. Aici). Intrebarea mea este:

Este RLWE sigur dacă ambele $a$ și $s$ sunt aleși să fie elemente inelare inversabile?

48
0 + 0
lwe
Puncte:1
Mark avatar Crypto
drapel ng
Mark

Da, din motive generale. Și anume, $a$ a fi inversabil este:

  1. Verificabil public și
  2. apare cu o probabilitate deloc neglijabilă $p$ (alegerea peste uniformă a $a$), vedea asta pentru detalii.

Ori de câte ori ai o condiție ca aceasta, poți avea orice adversar ipotetic să verifice mai întâi dacă condiția este valabilă și, dacă nu, atunci „ghiceste” răspunsul la întâmplare. Acest lucru reduce avantajul printr-un factor multiplicativ $p$, dar deoarece acest lucru este deloc neglijabil, nu contează (pentru noțiunile asimptotice de securitate cel puțin).

Aceasta este tocmai explicația care este dată în lucrarea Steinfield și Stehle pe care ați legat-o, dar nu are nimic de-a face cu „problema de bază” cu care lucrează, fiind RLWE cu secrete uniforme și este valabilă în generalitatea pe care am menționat-o mai sus.

Independent de cele de mai sus, aceasta este de asemenea o motivație pentru reducerile de la cel mai rău caz la cel mai mic caz în cazul criptografiei latice. Adesea, există un candidat „evident” pentru o problemă dificilă (factorizarea, de exemplu, sau BDD/CVP pentru zăbrele), dar stabilirea exactă a distribuției medii a cazurilor de utilizat poate fi neclară. Reducerile de la cel mai rău caz la caz mediu arată că un număr de distribuții de cazuri medii pentru problemele LWE nu sunt „proaste din punct de vedere structural”, de exemplu:

  1. uniformă $a$, uniformă $s$, gaussian $e$ (de abatere standard $\geq \Omega(\sqrt{n})$, mai mare decât folosesc majoritatea oamenilor în practică)
  2. uniformă $a$, $s$ care urmează distribuţia de $e$

Odată ce știm uniforma aceea $a$ este distribuția „corectă” cu care să lucrăm, putem impune liber orice condiție „mare” (sensul apare cu o probabilitate neneglijabilă) pe care o dorim $a$, inclusiv faptul că este inversabil (sau are prima coordonată $1$, sau are $\sum_i a_i \equiv 0 \bmod q$ pentru polinomial-mare $q$, sau în esență orice). Rețineți că acest lucru este doar adevărat asimptotic totuși --- reducerile de la cel mai rău caz la mediu nu sunt deosebit de utile în parametrizarea concretă a LWE, deoarece se pot justifica parametrii mai mici prin criptoanalizarea directă a LWE.

0 + 0
a196884 avatar
drapel cn
a196884
Răspuns grozav - mulțumesc!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.