Puncte:2

Întrebări referitoare la construcția funcției pseudoaleatoare a lui Banerjee, Peikert și Rosen

drapel sy

Încerc să înțeleg următoarea funcție pseudoaleatoare construită de Banerjee, Peikert și Rosen în acest hârtie, presupunând duritatea LWE. Luați în considerare următoarea funcție pseudoaleatorie bazată pe LWE/LWR:

$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p,$$

Unde $A \in \mathbb{Z}_q^{m\times n}$ si fiecare $S_i \in \mathbb{Z}_q^{n\times n}$.

Am avut câteva întrebări despre această construcție.

  1. Care este relația dintre $k$, $n$ și $m$? Cât de mare are $p$ și $q$ trebuie să fie?
  2. Cum ar fi timpul necesar celui mai cunoscut algoritm pentru a sparge securitatea acestei funcții $k$, $n$, și $m$?
  3. În lucrarea legată, la pagina 22, se menționează că,

Pentru a evita un atac eficient (așa cum este subliniat în introducere), distributie $\psi$ ar trebui alese astfel încât produsul multora $S_i \rightarrow \psi$ nu reduce semnificativ entropia de \begin{equation} A\prod_{i =1}^k S_i. \end{ecuație}

Ieșirea de $F$ este o matrice.Ce înseamnă entropia unei matrice? Și această afirmație indică asta $F$ este o funcție unu la unu?

Puncte:3
drapel ng

În primul rând, au existat lucrări ulterioare la BPR, inclusiv o practică PRF și PRG. Aici „practic” înseamnă extrem de rapid --- ~5 cicluri pe octet, (și la fel de mici ca ~3 pentru PRG iirc). Acest lucru este cu un factor de 10 de AES folosind AES-NI. Există totuși câteva avertismente la acest lucru:

  1. Cheile sunt foarte mari
  2. Cred că sunt folosite instrucțiunile AVX, deci niste se folosește accelerația hardware
  3. Foarte mic se aleg parametrii.

Acești parametri mici sunt de așa natură încât echivalența LWR/LWE nu mai este cunoscută ca fiind valabilă [1] și, în plus, nu există cu adevărat o reducere semnificativă la o problemă a rețelei dure. Prin urmare, securitatea/parametrii sunt aleși concret analizând o mână de atacuri cunoscute. Se pare că ar fi de interes pentru tine.

  1. Care este relația dintre k, n și m? Cât de mari trebuie să fie p și q?

Depinde daca vrei sa fie dovedit sigur sau sigur din punct de vedere euristic. Pentru o securitate demonstrabilă, teorema 5.2 a lucrării pe care o legați pare să vă ofere exact relația pe care o doriți. Pentru securitatea euristică (folosind parametri mai mici), lucrurile relevante de urmărit sunt:

  • secțiunea 4 a lucrării PRF și
  • secțiunea 3 a lucrării PRG.

dar nu dau inegalități drăguțe pe care le-ai putea dori, pentru că astfel de inegalități nu sunt cunoscute. În schimb, ei evaluează o mână de atacuri cunoscute pentru anumite alegeri de parametri.

  1. Cum ar fi timpul necesar celui mai cunoscut algoritm pentru a sparge securitatea acestei scale a funcției cu k, n și m?

A se vedea secțiunea 4 a lucrării PRF și secțiunea 3 a lucrării PRG, unde se fac mai multe calcule relevante.

3.a Ieșirea lui F este o matrice. Ce înseamnă entropia unei matrice?

Strict vorbind, nimic. Entropia este o proprietate a lui a distribuția probabilității, deci afirmația ar avea sens doar dacă cineva vede $F$ nu ca o matrice, ci ca o distribuție peste matrice. Pentru a vă face o idee despre ceea ce spun autorii, haideți $q = p_0 p_1$ fi semiprim. Atunci, dacă $A, S_1,\puncte S_k$ sunt distribuite astfel încât (cu probabilitatea 1):

  1. $A\bmod p_0 \equiv 0$, și
  2. $S_i\bmod p_1\equiv 0$ pentru toți $i$,

atunci $F(A, S_1,\dots, S_k) \equiv 0\bmod q$ în mod constant, astfel încât PRF-ul va fi previzibil. Restricția la $A, S_i$ fiind inversabilă $\bmod q$ oprește această problemă (potențială) specială (și poate mai mult).

3.b Și această afirmație indică faptul că F este o funcție unu la unu?

Nu, dar nu se așteaptă să fie.Noi vrem $F$ a nu se distinge de a functie aleatorie. Rețineți că funcțiile aleatoare nu sunt 1-1 (puteți cuantifica acest lucru printr-o tehnică numită "Comutare PRP-PRF", dar acest lucru nu este deosebit de relevant).


[1] Rețineți că pentru majoritatea primitivelor „practice” bazate pe zăbrele, acesta este deja cazul --- de exemplu SABRE se bazează pe securitatea concretă a MLWR cu module mici, deși modulele sale de $2^{13}\aproximativ 8k$ este mult mai mare decât modulele de $q = 257$ pe care aceste PRF/PRG-uri le folosesc. Acest lucru este oarecum relevant, deoarece s-a discutat recent că LWR cu module mici nu a fost criptoanalizat deosebit de bine. Vedea acest thread de grup Google NIST PQC. De când acest thread din ~decembrie, oamenii au făcut câteva experimente (și nu au găsit nimic neașteptat), dar din fir se pare că oamenii nu au încercat să criptoanalizeze direct LWR cu module mici până acum o lună sau două.

Există câteva situații în care se pot folosi primitive practice bazate pe LWR și se pot obține securitatea dovedibilă bazată pe probleme de rețea, dar singurul „standard” pe care îl cunosc este cel al lui Sam Kim. PRF bazat pe zăbrele (cheie homomorfă).. Hart Montgomery are și un Versiune non-standard a LWR el poate dovedi securitate pentru.

BlackHat18 avatar
drapel sy
Cât este atunci entropia funcției $F$, dacă nu maximă? Ai vreo intuiție?
Mark avatar
drapel ng
@BlackHat18 Intuiția este că ar trebui să fie mare, dacă este restricționat corespunzător (cum ar fi că $S_i$ este inversabil). Dacă ar exista o distribuție „naturală” peste $S_i$, astfel încât entropia să fie neașteptat de scăzută, ar duce la un atac. Desigur, acest lucru nu este imposibil, dar în prezent nu se știe cum să se facă și ar merita să scrieți.
Chris Peikert avatar
drapel in
excelent raspuns! Câteva lucruri: conexiunea „LWE/LWE” nu este o „echivalență”, deoarece nu merge în ambele sensuri, cel puțin nu fără o pierdere majoră de parametri în călătoria dus-întors. Și âreducerea *la* o problemă cu zăbrele dureâ ar trebui să fie *de la*. Desigur, avem o reducere la o problemă de rețea, în sensul că putem sparge PRF/PRG folosind un oracol de rezolvare a rețelei (foarte puternic).
Chris Peikert avatar
drapel in
Greșeală: *LWR*/LWE echivalență.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.