Care este efectul subrețelelor duale de rang scăzut asupra atacului cu rețele duale asupra LWE?

În atacul cu dublu rețea al lui Espitau, Joux și Kharchenko (Pe o abordare duală/hibridă a micilor LWE secrete), autorii propun distingerea (și ulterior recuperarea valorilor secrete) a probelor LWE $(A,\mathbf b)=(A,A\mathbf s+\mathbf e)$ prin găsirea de vectori duali $(\mathbf x^T|\mathbf y^T)$ astfel încât componentele vectorilor să fie mici (cu posibila excepție a unui subset mic de componente ale $\mathbf y$) și $\mathbf x^TA=\mathbf y^T$. În acest caz dacă $\mathbf b$ este extras dintr-o distribuție LWE $\mathbf x^T\mathbf b=\mathbf y^T\mathbf s+\mathbf x^T\mathbf e$ iar contribuţia la această expresie din componente mici ale $\mathbf x$ și $\mathbf y$ ar trebui să fie, în medie, mic în comparație cu uniforma $\mathbf b$ caz. Găsind mulți vectori duali independenți, acest lucru ar trebui să permită unui punctaj eșantioane $\mathbf b$ și evacuare peste componente ale $\mathbf s$ pentru a găsi valori mici de punctaj.

În lucrarea recentă a grupului MATZOV (Raport privind securitatea LWE îmbunătățit atacul dual lattice) sunt luate în considerare o serie de variații ale atacului EJK care pot avea legătură cu securitatea schemelor KYBER, SABRE și DILITHIUM printre altele. Una dintre propunerile lor este generarea multor vectori duali scurti în secțiunea 4 a lucrării lor. Ei propun reducerea componentelor bazei duale cu metoda bloc-Korkine-Zolotarev (BKZ) cu ​​dimensiunea blocului $\beta_1$ și apoi folosind „cernerea” rețelei pe vectori de bază redusă pentru a produce mulți vectori duali scurti. Metoda lor de cernere se limitează la prima $\beta_2$ vectori în baza BKZ și deși afirmă că vectorii pot fi produși din mai multe reduceri și site, în Observația 4.3 ei observă că o singură reducere și sită pare optimă.

Aceasta înseamnă că toți vectorii duali pe care îi folosesc pentru a-și produce scorul se află într-un rang $\beta_2$ subrețeaua spațiului dual. Intuitiv, cineva simte că dacă $\beta_2$ este mic, atunci contribuțiile diferiților vectori la scor nu vor fi independente. Acest lucru ar încălca ipoteza lor 4.4. Există teoreme sau euristici cu privire la cât de mică poate fi utilizată o subrețea de rang în acest fel, producând totuși un scor suficient de puternic pentru a distinge/recupera eșantioanele/secretele LWE?

Acesta nu este un răspuns.

În speranța de a ajuta pe oricine se gândește la asta și în lumina comentariului lui @TMM, iată puțin mai multă expresie în jurul afirmației „Intuitiv, cineva simte că dacă $\beta_2$ este mic, atunci contribuțiile diferiților vectori la scor nu vor fi independente”.

Luați în considerare cazul $\beta_2=1$. În acest caz, toate noastre $(\mathbf x^T,\mathbf y^T)$ vectorii vor fi multipli ai unui singur vector generator, de exemplu $\alpha(\mathbf x_0^T,\mathbf y_0^T)$ cu $\alpha$ poate ceva Gaussian discret în funcție de numărul de vectori. Acum există $q^{n-1}$ vectori $\mathbf v$ astfel încât $\mathbf x_0^T\cdot\mathbf v=0$. Luați în considerare orice vector de formă $\mathbf v+\mathbf e$ Unde $\mathbf e$ este extras din aceeași distribuție ca eșantionul LWE. Ne așteptăm, poate $O(\sigma^nq^{n-1})$ astfel de vectori (vectorii cu două astfel de reprezentări ar trebui să fie rari) și pentru mari $n$ ne-am putea aștepta ca acestea să acopere cea mai mare parte a spațiului. Scorul acestor vectori este dat de $\alpha\mathbf x_0^T\mathbf e$ iar scorul soluţiilor cauzale este dat de $\alpha(\mathbf x_0^T\mathbf e+\mathbf y_0^T\mathbf s)$. Spațiul vectorilor cauzali ar fi imposibil de distins.

Mai general pentru $\beta_2=k$ fix, ar exista o bază de $k$ $(\mathbf x_i^T,\mathbf y_i^T)$ vectori cu setul nostru de testare format din combinații liniare de vectori de bază unde coeficienții sunt gaussieni(?). Din nou va exista un set de $q^{n-k}$ vectori $\mathbf v$ perpendicular pe toate $\mathbf x_i^T$ şi un poate un cartier de $O(\sigma^nq^{n-k})$ de vectori non-cauzale cu scor scăzut.

Acest lucru pare să sugereze că $\beta_2$ ar trebui să fie cel puțin $n\log \sigma/(\log q)$, dar ar putea exista alte seturi structurale, dar non-cauzale, precum și scoruri scăzute non-structurale. De asemenea, argumentele pentru lipsa de suprapunere în vecinătate și între mulțimile cauzale sunt în cel mai bun caz euristic.