înregistrare Logare
Puncte:1
BlackHat18 avatar Crypto

Întrebări despre LWE cu o matrice secretă repetată S

drapel sy
BlackHat18

Luați în considerare o formulare a LWE în care ni se oferă fie $(x,S x+e)$ sau $(x,u)$ --- Unde $S$ este o $m \times n$ matrice secretă/ascunsă, $x$ este un eșantionat aleatoriu $n \times 1$ vector, $e$ este o $m \times 1$ Vector de eroare gaussian și $u$ este un eșantion uniform aleatoriu --- și i s-a spus să facă distincția între aceste două cazuri. Acest lucru ar trebui să fie greu pentru algoritmii clasici, potrivit postării Aici. Numiți această problemă „LWE inversă”.

Am avut câteva întrebări despre setare.

Este problema distinctivă dificilă fără $e$?

Rețineți că în LWE standard, atunci când ni se dă $(A,A s+e)$ sau $(x,u)$, și a spus să distingă între cele două cazuri, problema este ușoară fără eroare. Rezolvăm doar un sistem de ecuații liniare pentru a obține $n$ intrări de $s$.

Totuși, aici trebuie să găsim $m \times n$ intrările din matricea noastră secretă $S$. Nu văd cum să fac asta cu doar $m$ ecuații.

Luați în considerare o variantă a problemei, unde ni se oferă fie $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$

$$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$

și a spus să facă distincția între cele două cazuri. Numiți această problemă „LWE inversă cu un secret repetat”. $k$ este polinomial mare în $n$. Este grea aceasta problema?

Rețineți că un argument hibrid (cum ar fi cel folosit într-unul dintre răspunsuri Aici) indică faptul că problema rămâne grea. Aici este hibridul $H_i$:

$$H_i = \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_i, Sx_i + e_i), (x_{i+1}, u_{i+1}) \ldots , (x_{k}, u_{k}) \} .$$

Apoi, există o modalitate directă de a concluziona că dacă rezolvăm „LWE inversă cu un secret repetat”, putem rezolva LWE inversă. Deoarece LWE inversă este dificilă, problema noastră ar trebui să fie și ea grea.

Cu toate acestea, întâmpin dificultăți să-mi înțeleg acest fapt.

Rețineți că, dacă nu avem termenul de eroare, există o modalitate foarte ușoară de a distinge cele două cazuri, pt $k \geq n+1$. Rețineți că poate exista numai $n$ liniar independent $x_i$-s. Deci, diferența doar caută $n$ distinct $x_i$-s în mostrele date, notează unde matricea $S$ duce acești vectori către și pentru $n+1^{\text{th}}$ eșantion distinct, folosește liniaritatea pentru a calcula mai întâi unde $S$ îl duce la, apoi verifică dacă este în concordanță cu ceea ce a fost dat.

De ce termenii de eroare fac ca acest deosebitor să eșueze? Chiar și cu o eroare Gaussiană, din cauza dependenței liniare, nu ar trebui $n+1^{\text{th}}$ eșantionul distinct să fie suficient concentrat în jurul unei valori pentru ca diferența mea să reușească?

60
0 + 0
lwe
Puncte:3
Daniel S avatar Crypto
drapel ru
Daniel S

Problema distinctivă cu un singur eșantion $x$ este imposibil.

Acest lucru se datorează faptului că pentru orice non-zero $x$ și orice $u$ există o $S$ astfel încât $Sx=u$.

ETA 20220405:

Pentru problema mai amplă a distingerii $(\mathbf x_i,S\mathbf x_i+\mathbf e_i)$ din $(\mathbf x_i,u_i)$ cu necunoscut $S$, putem scrie $X_{i,j}$ pentru $m\ori m$ matrice diagonală cu diagonală constantă a $j$intrarea a $\mathbf x_i$. Apoi rândurile de $mn\ori km$ matrice $$\left[\begin{matrix} X_{1,1} & X_{2,1} & X_{3,1} &\ldots & X_{k,1}\ X_{1,2} și X_{2,2} și X_{3,2} și\ldots și X_{k,2}\ \vdots & \vdots & \vdots & & \vdots\X_{1,n} & X_{2,n} & X_{3,n} &\ldots & X_{k,n}\end{matrice }\dreapta]$$ formează o rețea unde vectorul $((S\mathbf x_1+\mathbf e_1)^T,(S\mathbf x_2+\mathbf e_2)^T,(S\mathbf x_3+\mathbf e_3)^T,\ldots,(S\mathbf x_k+\mathbf e_k) ^T)$ este un vector apropiat (vectorul de diferență are componente care sunt intrările lui $\mathbf e_i$). Pentru mari $k$, un vector atât de apropiat este foarte puțin probabil să apară dintr-o distribuție uniformă. Acest lucru ne spune doar că informațiile pentru un deosebitor există; găsirea unui vector atât de apropiat va fi foarte dificilă din punct de vedere computațional, deoarece $n$ crește și varianța distribuției gaussiene crește.

0 + 0
BlackHat18 avatar
drapel sy
BlackHat18
Acest lucru mă face foarte confuz. Luați în considerare problema distingerii $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}.$$ Ar trebui să fie, de asemenea, greu atunci, printr-un argument hibrid. Cu toate acestea, știm că această problemă este ușoară pentru $k > n +1$ prin distincția pe care l-am subliniat (verificând dependența liniară și observând că nu pot exista decât $n$ independente liniar $x_i$-s.) Cum pot fi ambele adevărate ?
0
Răspunde
Daniel S avatar
drapel ru
Daniel S
Se datorează faptului că sistemele liniare au o tranziție bruscă între $k subdeterminațin$ (zero sau o soluție). Este foarte probabil ca un sistem supradeterminat să nu aibă soluții, așa că existența unei singure soluții este un factor de distincție puternic.
1
Răspunde
BlackHat18 avatar
drapel sy
BlackHat18
nu am urmat. Înseamnă că cele două cazuri: $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$ sunt de fapt indistincți? Argumentul hibrid nu spune că sunt?
0
Răspunde
Daniel S avatar
drapel ru
Daniel S
Nu se pot distinge pentru $k$ independent liniar $x_i$ cu $k
1
Răspunde
BlackHat18 avatar
drapel sy
BlackHat18
Mulțumiri! E clar acum. O ultimă întrebare, pentru cazul zgomotos, ce putem spune pentru cazul $k > n$? Adică sunt $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}$$ distins pentru $k > n$? Nu am putut dovedi nimic deoarece, așa cum ați spus, reducerile care implică producerea de mostre suplimentare nu funcționează.
0
Răspunde
Daniel S avatar
drapel ru
Daniel S
Există o problemă de vector aproape care poate fi configurată pentru $k$ mari, dar alegerile judicioase de $e$ și $n$ ar trebui să o facă complet insolubilă.
0
Răspunde
BlackHat18 avatar
drapel sy
BlackHat18
Ați putea detalia acest caz (adică cazul zgomotos pentru $k > n$) în răspunsul dvs.?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.