Cum demonstrez reducerea de la decizie la căutarea LWE?

zxcv

06.07.2023, 09:16

Sunt nou în criptografie și încerc să înțeleg formal conceptele LWE (învățare cu erori). Voi declara înțelegerea mea cu privire la definiții, care ar putea fi incorecte.

Definiții conform înțelegerii mele

Lăsa $R$ fi un inel comutativ unitar finit echipat cu o probabilitate $\mu$ (a caror $\sigma$-algebra este discretă). $R$ se spune că satisface ipoteza LWE de căutare în cel mai rău caz dacă pentru toate polinoamele $n$ și tot algoritmul randomizat în timp polinomial $S$, harta \begin{ecuație} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{ecuație} Unde \begin{ecuație} p(m,s) = \Pr\{(A,e)\in R^{m\times n(m)} \times R^{n(m)}: S (-sA+e,A)= s\}\text{,} \end{ecuație} este neglijabilă. În ecuația de mai sus, $A$ este eșantionat din probabilitatea uniformă și $e$ este eșantionată din probabilitatea produsului $\mu^{n(m)}$.

$R$ se spune că satisface ipoteza LWE de decizie în cel mai rău caz dacă pentru toate polinoamele $n$ și tot algoritmul randomizat în timp polinomial $D$, harta \begin{ecuație} m\mapsto \min_{s\in R^m} |p_1(m,s)-p_2(m)|\text{,} \end{ecuație} Unde \begin{ecuație} \begin{split} p_1(m,s) &= \Pr\{(A,e)\in R^{m\times n(m)}\times R^{n(m)}: D (-sA+e,A) =1\},\ p_2(m) &= \Pr\{(b,A)\in R^{n(m)}\times R^{m\times n(m)}\times: D (b,A)=1\ }\text{,} \end{divizat} \end{ecuație} este neglijabilă. În ecuația de mai sus, $A$ și $b$ sunt eșantionate din probabilitățile uniforme și $e$ este eșantionată din probabilitatea produsului $\mu^{n(m)}$.

Întrebare

Am dovedit că dacă $R$ este un câmp finit echipat cu o probabilitate $\mu$ (a caror $\sigma$-algebra este discretă) iar dacă $R$ satisface ipoteza LWE de căutare în cel mai rău caz $R$ satisface, de asemenea, ipoteza LWE de decizie în cazul celui mai rău caz. Dar cum se dovedește contrariul? Toată literatura pe care am văzut-o până acum spune doar că este banală, dar nu am putut să o dovedesc. Mai explicit, am nevoie de o dovadă a următoarei afirmații:

Dacă $R$ este un inel comutativ unitar finit echipat cu o probabilitate $\mu$ (a caror $\sigma$-algebra este discretă) iar dacă $R$ satisface, deci, ipoteza LWE pentru cea mai nefavorabilă decizie $R$ satisface, de asemenea, ipoteza LWE de căutare în cel mai rău caz.

Încercarea mea

Asuma ca $R$ satisface ipoteza LWE pentru cea mai nefavorabilă decizie. Lăsa $n$ fi un polinom și fie $S$ să fie un algoritm randomizat în timp polinomial (ale cărui intrări sunt elemente în $R^{n(m)}\ori R^{m\n(m)}$ și ale căror ieșiri sunt elemente în $R^m$). Trebuie să arătăm că harta \begin{ecuație} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{ecuație} Unde $p(m,s)$ este definit mai sus, este neglijabil. Dată o intrare $(b,A)\în R^{n(m)}\ori R^{m\n(m)}$ Unde $b=-sA+e$, $S$ va întoarce o ghicire $g\în R^m$ care ar putea sau nu este egal $s$. Se poate calcula $b+gA$ și notează-l prin $e'$. Dacă $g=s$, atunci $e'=e$. Dacă $g\neq s$, atunci $e'=e$ ar putea sau nu ține.Nu stiu ce sa fac acum.

0 + 0

lwe

Puncte:1

Crypto

Mark

06.07.2023, 17:30

Deoarece sunteți destul de aproape de răspunsul corect, nu vă voi oferi răspunsul corect, ci vă voi oferi o descriere calitativă a pasului final pe care trebuie să îl faceți.

În funcție de distribuția precisă a erorilor pe care o alegeți $e$ din, distribuția LWE $(A, sA + e)$ pote fi oricare:

exact distribuția uniformă (să spunem dacă $e$ este uniform aleatorie)
se distinge din punct de vedere computațional de uniform (să spunem dacă $e$ este susținută pe $\{0\}$), sau
(crezut a fi) imposibil de distins din punct de vedere computațional de uniform (dacă $e$ este „mărginit” --- puteți vedea în mod explicit acest lucru ca însemnând a avea i.i.d. Coordonatele gaussiene ale parametrului $\aproximativ n$).

Aceste trei cazuri sunt utile de reținut atunci când luăm în considerare variabila aleatoare $(A, sA+e)$. Rețineți că (pentru fix $A$) harta $s\mapsto sA$ definește o rețea. Problema decizională LWE este (aproximativ) despre detectarea acestei structuri latice. De exemplu

in primul caz, $sA+e$ este uniform peste $R$, de exemplu. eroarea $e$ „spălă” oricare dintre structurile de zăbrele (informații teoretic),
în al doilea caz $sA$ este exact un punct din rețea și există modalități eficiente de a testa apartenența la un punct candidat $b = sA$ în zăbrele în acest caz, și
în al treilea caz, $sA$ este un punct perturbat al rețelei și este plauzibil greu să decideți că sunteți „aproape” de rețea.

Toate acestea înseamnă că întrebarea dvs. are foarte răspunsuri diferite în funcție de caracteristicile precise ale distribuției erorilor, astfel încât distribuția erorilor trebuie să ia în considerare răspunsul dvs. cumva. Pentru un indiciu cum va fi, spuneți

Dacă $g\neq s$, atunci $eâ²=e$ ar putea sau nu ține. Nu stiu ce sa fac acum.

Când $g\neq s$, atunci $b + gA =(g-s)A+e$. În linii mari, ceea ce faci în continuare este să argumentezi că este foarte puțin probabil $(g-s)A+e$ pentru a fi extrase din distribuția erorilor. Asta pentru ca

distribuția erorilor este concentrată în jurul zero (sau poate chiar mărginită), de ex. orice element al distribuţiei erorilor va avea $|e|$ „mic”, și
când $g\neq s$, $(g-s)A$ va fi mai mare decât $\lambda_1(\mathcal{L}(A))$, cel mai scurt vector al rețelei $\mathcal{L}(A)$. Pentru întâmplător $A$, acesta este de obicei „mare”.

Ar trebui să pară plauzibil că puteți parametriza cantitativ lucrurile astfel încât, folosind versiuni cantitative ale celor două afirmații de mai sus, să fie puțin probabil ca $g\neq s$>

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: How to prove reduction from decision to seach LWE?

TH: จะพิสูจน์การลดลงจากการตัดสินใจเลือก LWE ได้อย่างไร

RO: Cum demonstrez reducerea de la decizie la căutarea LWE?

RU: Как доказать отстранение от решения об розыске LWE?

VI: Làm thế nào để chứng minh giảm từ quyết định tìm kiếm LWE?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.