Рейтинг:0

Небольшое отношение модуля к шуму в LWE означает лучшую безопасность

флаг in

Я не совсем понимаю, почему меньшее частное между модулем $q$ а стандартное отклонение шума подразумевает лучшую защиту от известных атак.

Ievgeni avatar
флаг cn
Не могли бы вы дать больше контекста об этом предположении? Где ты видел это?
C.S. avatar
флаг in
Здесь: https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.455.9719&rep=rep1&type=pdf Страница 14: «Меньшее отношение модуля к шуму обеспечивает более надежную защиту бетона от известных атак». Хорошо известно, что меньшее q означает лучшую безопасность.
Ievgeni avatar
флаг cn
«меньшее отношение» и «меньшее q» не идентичны. Я предлагаю вам отредактировать свой вопрос с хорошими условиями.
Рейтинг:2
флаг ng

Во-первых, должно быть ясно, что всегда можно увеличить шум в экземпляре LWE без ущерба для безопасности, поэтому (для фиксированного модуля) большее отношение модуля к шуму означает «не худшую» безопасность. Конечно, это не объясняет, почему безопасность должна различаться в зависимости от $\сигма/q$, а не какое-то более сложное выражение. Есть две причины понять, почему это «правильный» способ измерения размера шума.

Во-первых, это то, что проявляется при редукции от наихудшего случая к среднему. Например, Первоначальное сокращение Регева показывает, что:

Теорема 1.1 (неформальная) Позволять $п, р$ быть целыми числами и $\альфа\в(0,1)$ быть таким, что $\альфа-р>2\sqrt{n}$. Если существует эффективный алгоритм, решающий $LWE(p, \Psi_\alpha)$ тогда существует эффективный квантовый алгоритм, который аппроксимирует вариант решения задачи о кратчайших векторах (GAPSVP) и задачи о кратчайших независимых векторах (SIVP) с точностью до $\тильда{О}(н/\альфа)$ в худшем случае.

Обратите внимание, что $1/\альфа$ - это отношение «модуль к шуму», поэтому коэффициент аппроксимации, который нужно принять, трудно напрямую масштабировать с $1/\альфа$. На практике никто не хочет конкретно обращаться к уменьшению наихудшего случая к среднему при выборе параметров по двум причинам:

  1. $\sigma := \alpha q > 2\sqrt{n}$ требуется, поэтому для $n> 500$ (что является удобной нижней границей) нужно $\сигма > 40$, намного больше, чем люди используют на практике.

  2. Кроме того, в редукции имеется «зазор герметичности», см. раздел 6 Еще один взгляд на герметичность 2). Это влияет только на «константы» в редукции, но влияние довольно велико, и для обращения к редукции приходится выбирать весьма неэффективные параметры.

Итак, как мы можем сказать, что конкретно меньшее отношение модуля к шуму в LWE означает лучшую безопасность? Здесь есть два момента:

  1. Модуль LWE не сильно влияет на его безопасность, см., например, cor 3.2 of Классическая твердость LWE.

  2. Вы можете явно параметризовать известные атаки с точки зрения отношения модуля к шуму, см. глава 4 диссертации Рэйчел Плейер, или же оценщик LWE.

Обратите внимание, что это история для LWE. Вы также использовали тег для Ring LWE. Там все несколько сложнее и может зависеть от «поведения расщепления» модуля $q$ в любом числовом поле, в котором вы работаете, хотя я не тот человек, который может написать ответ на эту тему.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.