Регистрация Войти
Рейтинг:2
Chito Miranda avatar Crypto

Доказательство того, что (кольцевой) секрет LWE уникален

флаг us
Chito Miranda

Я прочитал статью Регева в 2005 году об обучении с ошибками, и он упомянул, что секрет образца LWE уникален, но я не видел доказательств этого утверждения. Может ли кто-нибудь указать мне на документ, подтверждающий это утверждение? Кроме того, для случая кольцевой LWE, в частности для мощности двух циклотомиков, всегда ли секрет уникален?

110
1 + 0
Рейтинг:3
Mark avatar Crypto
флаг ng
Mark

Регева Исследование LWE содержит набросок доказательства.

Алгоритмы. Одним из наивных способов решения LWE является алгоритм максимального правдоподобия. Предположим для простоты, что $q$ является полиномиальным и что распределение ошибок является нормальным, как указано выше. Тогда нетрудно доказать, что примерно через $ О (п) $ уравнения, единственное назначение $s$ который «приблизительно удовлетворяет» уравнениям, является правильным. Это можно показать с помощью стандартного рассуждения, основанного на границе Чернова и границе объединения по всем $s\in\mathbb{Z}_q^n$. Это приводит к алгоритму, который использует только $ О (п) $ образцы и работает во времени $2^{O(n \log n)}$. Как следствие, мы получаем, что LWE является «хорошо определенным» в том смысле, что с высокой вероятностью решение $s$ уникален, если предположить, что количество уравнений равно $\Омега(n)$.

Также может быть полезно рассматривать LWE с другой точки зрения, а именно как диапазон параметров для SIS, где он априори неясно, должно ли существовать решение или нет, поэтому его «сажают». Видеть эти заметки для некоторой перспективы в этом направлении. Обратите внимание, что для стандартной SIS многие решения существуют с высокой вероятностью, поэтому «LWE = Decisional SIS (в некотором диапазоне параметров)» легко запутаться, если не быть осторожным, см., например этот вопрос.

0 + 5
Chito Miranda avatar
флаг us
Chito Miranda
Спасибо за ответ, но я все еще не понимаю, как работает заявленный выше алгоритм. Есть ли доступная ссылка, где это было явно доказано? Я не совсем уверен, но моя идея состоит в том, что $b=A^Ts+e=A^Ts^\prime=e^\prime$, короткое $e,e^\prime$. Тогда $A^T(s-s^\prime)=(e^\prime-e)$, тогда я не знаю, что будет дальше.
0
Ответить
Mark avatar
флаг ng
Mark
@ChitoMiranda Я не знаю, чтобы это где-нибудь было записано. Аргумент (как я его интерпретирую) несколько прост. Посмотрите на вероятность (при равномерно случайном выборе $A$) того, что $\lVert A(s - s')\rVert$ будет мала. Вы можете выбрать здесь свою любимую норму, но норма $\ell_\infty$ кажется особенно хорошим выбором, так как тогда вы можете свести задачу к $\Pr[\forall i\in [m] \langle a_i, s_i - s_i'\rangle\text{ маленький}] = 1 - (1 - \Pr[\langle a_i, s_i - s_i'\rangle \text{ маленький})^m$.
0
Ответить
Mark avatar
флаг ng
Mark
Затем объединение связывает все варианты $s'$, например. показать $\Pr[\forall s' : \lVert A(s -s ')\rVert\text{ is big}] = 1-\Pr[\exists s'\neq s : \lVert A(s -s ' )\rVert\text{ маленький}] \geq 1 - q^n \Pr[\lVert A(s-s')\rVert\text{ маленький}] = 1 - q^n (1 - \Pr[ \langle a_i, s_i-s_i'\rangle\text{ маленький}])^m$.При этом проработка деталей кажется довольно утомительной, поэтому я оставлю это вам (или кому-то другому).
0
Ответить
Chito Miranda avatar
флаг us
Chito Miranda
Спасибо за помощь. Я обязательно попробую ваши идеи и посмотрю, приведу ли я строгое доказательство. Мне трудно читать статьи, связанные с LWE, поскольку они упускают много деталей, которые кажутся им тривиальными, но не для новичка вроде меня. Еще раз спасибо и, вероятно, отправлю доказательство, если мне это удастся.
0
Ответить
Mark avatar
флаг ng
Mark
@ChitoMiranda Существуют и косвенные способы доказать это. В частности, достаточно показать, что $\lambda_1(\Lambda_q(A))$/2 больше, чем $\lVert e\Rvert$ с высокой вероятностью. Это должно быть следствием леммы 7.9.2 Замира *Решетчатое кодирование для сигналов и сетей*, где показано, что для случайных $q$-ичных кодов $A$ число точек $\Lambda_q(A)$ в $S$ приближается к плотности $\Lambdaa_q(A)$, умноженной на $\mathsf{Vol}(S)$, например что можно было бы ожидать, если бы точки решетки были «независимыми».
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.