Puncte:1

Care este relația dintre coeficientul de text cifrat și gradul polinom în RLWE?

drapel es

În problema Ring Learning with Errors, dimensiunea coeficientului de text cifrat $q$ decide mărimea gradului polinomului $n$ sau vice versa. Cu alte cuvinte, problema rlwe este dificilă numai atunci când gradul polinomului este stabilit în comparație cu câtul. Cu toate acestea, nu sunt sigur care este relația dintre valorile celor doi parametri?

Poate cineva să-mi explice sau să-mi îndrume către o resursă?

Mark avatar
drapel ng
Poți detalia ce vrei să spui? Mi se pare că s-ar putea să vorbești despre *modul* LWE, peste un inel $R$ care are un rang non-trivial ca grup abelian. Dar nu sunt complet sigur.
muhammad haris avatar
drapel es
Hei @Mark Am editat întrebarea despre care vorbesc despre gradul polinom, care se mai numește și text cifrat în unele literaturi. Ne pare rău pentru confuzie
Puncte:1
drapel ng

Nu există cu adevărat o „relație” între acești doi parametri, din cauza a ceea ce se numește comutarea modulului. Aproximativ, având în vedere o instanță LWE $\bmod q$, se poate schimba într-o instanță LWE $\bmod p$ la un cost relativ mic, pentru o mare varietate de $p$. Există multe rezultate în acest sens, dar voi descrie unul din Reduceri de la cel mai rău caz la mediu pentru rețelele de module.

Lăsa $\psi$ fie o distribuție de probabilitate pe $\mathbb{T}_{R^\vee}$, și $s\in(R^\vee_q)^d$ fi un vector. Noi definim $A^{(M)}_{q,s,\psi}$ dupa cum distributie pe $(R_q)^d à \mathbb{T}_{R^\vee}$ obtinut prin alegerea unui vector a $s\in(R_q)^d$ uniform la întâmplare și $e \in \mathbb{T}_{R^\vee}$ conform $\psi$, și revenind $(a, \frac{1}{q}\langle a, s\rangle + e)$.

MLWE: Pentru un număr întreg $q \geq 2$ și o distribuție $\Psi$ peste o familie de distribuiri peste $K_\mathbb{R}$. Versiunea de decizie a problema Module Learning With Error $M-LWE_{q, \Psi}$ este după cum urmează: Fie $s \in (R^\vee_q)^d$ fie uniform aleatoriu și $\psi$ fi prelevat din $\Psi$ ; Scopul este de a distinge între arbitrar multe mostre independente din $A^{(M)}_{q, s, \psi}$, și același număr de mostre independente din $U(R^d_q, \mathbb{T}_{R^\vee})$.

Acest lucru este mai general decât RLWE și se reduce la RLWE când $d = 1$. Familia distribuțiilor $\Psi_a$ sunt o anumită distribuție eliptică Gaussiană, vezi secțiunea 2.3.

Oricum, rezultatul comutării modulului este teorema 4.8. Aici, $N = nd$ este „dimensiunea totală” a instanței MLWE. Setare $n = 1$ recuperează cazul RLWE, care vă interesează.

Lăsa $p, q \in [2, 2^{N^{O(1)}} ]$ și $\alpha, \beta â (0, 1)$ astfel încât $\beta \geq \alpha \max(1, \frac{q}{p})n^{1/4}N^{1/2}\omega(\log_2 N)$ și $\alpha q \geq \omega(\sqrt{\log(N)/n})$. Există o reducere a timpului polinomial de la $M-LWE_{q,\Psi_\alpha}$ la $M-LWE_{p,\Psi_\beta}$.

Toate acestea înseamnă că puteți reduce de la un modul arbitrar $q$ la un alt modul arbitrar $p$, cu pretul umflarii ratei de zgomot de la $\alpha\mapsto \frac{q}{p}\alpha\sqrt{N}\omega(\log_2 N)$. Asta nu este intru totul gratuit (există un suplimentar $\sqrt{N}$ factor), dar având în vedere că modulele $q, p$ sunt de obicei polinoame mici în $N$, costul pe care îl plătiți este relativ mic în comparație cu dimensiunile parametrilor.

Ca rezultat, nu există într-adevăr o relație între modulul textului cifrat (cum este numit în mod obișnuit, nu coeficientul textului cifrat) și dimensiune, ca orice relație. de asemenea trebuie să ia în considerare dimensiunea distribuției erorilor.

În ceea ce privește modul de a seta de fapt toate aceste lucruri, oamenii de obicei își introduc parametrii în Estimator LWE, care oferă o estimare a securității biților pentru fiecare set de parametri particular.

muhammad haris avatar
drapel es
Mulțumesc pentru răspuns, da, înțeleg că puteți trece de la mod $q$ la mod $p$ când $pq$, conform înțelegerii și practicii mele, care ar reduce securitatea pentru un $N$ fix?
muhammad haris avatar
drapel es
Cu alte cuvinte, dacă iau două mostre RLWE, cu același $N$ și am o eroare eșantionată din aceeași distribuție, dar modulul de text cifrat al primului eșantion este $q$ și celălalt este $p$ , unde $p >q$ , vor avea același nivel de securitate? Cred că eșantionul RLWE cu modulul $q$ va avea un nivel de securitate mai mare.. și asta vreau să înțeleg de ce este asta
Mark avatar
drapel ng
Când schimbați module, cel mai bine este să vă gândiți la lucruri în termeni de coeficient de $\sigma/q$, de ex. *relativ* cât de mare este $\sigma$ în ​​comparație cu $q$. Nu pare că vorbești despre asta, ceea ce poate cauza probleme. În special, dacă creșteți $q$ fără a modifica simultan $\sigma$, coeficientul $\sigma/q'$ se micșorează, reducând securitatea. Dacă micșorați $q$ fără a modifica simultan $\sigma$, coeficientul $\sigma/q'$ crește, crescând securitatea. Pentru a determina cu exactitate cât de mult se schimbă (estimată) securitatea, utilizați estimatorul LWE.
muhammad haris avatar
drapel es
bine am înțeles, așa că nu există o ecuație artificială care să ofere o relație de $N,q,\sigma$ și nivelul de securitate?
Mark avatar
drapel ng
Există, dar este cel mai ușor de utilizat estimatorul LWE. Aproximativ, ecuația artificială este $\mathsf{seclevel}(N, q, \sigma) = \min_i (f_i(N, q, \sigma)$, unde fiecare $f_i(N, q, \sigma)$ descrie o atac special asupra (R)LWE. Pentru mai multe despre fiecare $f_i$, puteți citi [Specificația NewHope, secțiunea 4.2](https://www.newhopecrypto.org/data/NewHope_2020_04_10.pdf). NewHope (a fost) cel mai popular sistem criptografic bazat pe RLWE a fost supus standardizării PQC a NIST.Nu a avansat în runda finală, deoarece NIST a preferat MLWE și „LWE simplu” în detrimentul RLWE.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.