Регистрация Войти
Рейтинг:3
AAA avatar Crypto

SIS без модуля

флаг nl
AAA

Рассмотрим следующую модификацию задачи о коротком целочисленном решении (SIS):

Позволять $n$ быть целым числом и $\alpha=\alpha(n),\beta=\beta(n),m=m(n)>\Omega(n\log\alpha)$ быть функциями $n$. Образец униформы $A\gets[-\alpha,\alpha]^{n\times m}$. Задача состоит в том, чтобы вычислить «короткий» вектор $e\in\mathbb{Z}^m$ в ядре $А$. Это:

  1. $|е| <\бета$.
  2. $A.e=0^n$. Здесь равенство выполняется над целыми числами

Обычная версия SIS такая же, как и выше, за исключением случаев, когда $A.e=0^n$ держит мод $q$, и $д=2\альфа+1$ (так что $А$ однороден в $\mathbb{Z}_q^{n\times m}$). Этот вариант удаляет модуль.

Вопрос: Есть ли какие-либо нетривиальные результаты по сложности/легкости для этой версии SIS? Какие настройки параметров просты, а какие (если есть) могут оказаться сложными на основе сложных задач решетки, как в обычной версии SIS?

Тривиальная атака: Существует тривиальный алгоритм в случае, когда $\бета$ огромный. Вы можете вычислить вектор ядра по целым числам, взяв миноры матрицы $А$. Эти миноры и, следовательно, вектор ядра можно легко оценить сверху с помощью $ (\ альфа п) ^ {О (п)} $. Итак, в режиме $\бета= (\альфа п)^{О(п)}$, есть тривиальная атака.

Меня больше всего интересует случай, когда $\альфа,\бета$ полиномиальны в $n$. Есть ли здесь какие-то нападки или можно проявить жесткость?

Я выбрал дистрибутив для $А$ выше, чтобы дать конкретную проблему. Но меня также интересуют другие дистрибутивы на $А$. Например, что, если записи $А$ дискретные гауссианы и т.д.?

Можно также рассмотреть неоднородный вариант этого варианта СИС, где $Ae=u$, для некоторого вектора $u$ (опять же без модуля). Мы должны быть осторожны, хотя что касается больших $u$ решения не будет. Может быть, мы ограничиваемся случайным $и\в\{0,1\}$, или в $[-\gamma,\gamma]^n$. Мне также было бы интересно, можно ли что-нибудь сказать и об этой проблеме, кроме прямой адаптации тривиальной атаки сверху.

131
1 + 5
Mark avatar
флаг ng
Mark
Я был бы очень осторожен с таким предположением, а именно потому, что [LWE без модуля] (https://eprint.iacr.org/2018/822.pdf) легко.
0
Ответить
AAA avatar
флаг nl
AAA
Я, конечно, согласен с тем, что было бы опасно принимать твердость без какого-либо формального обоснования. В то же время мне не известны какие-либо реальные атаки, кроме упомянутой тривиальной атаки.
0
Ответить
Mark avatar
флаг ng
Mark
Я связался с атакой на тесно связанную проблему в той же обстановке. Меня не удивило бы, если бы потенциально можно было распространить атаку на SIS, поэтому я связал вас с документом.
0
Ответить
флаг pe
Samuel Neves
Редукция жесткости LWE ограничивает модуль как $q \le 2^{O(n)}$, тогда как редукция SIS ограничивает его как $q \ge \beta \cdot O(n)$. Насколько я понимаю, достаточно большие $q$ будут эквивалентны задаче над целыми числами.
0
Ответить
AAA avatar
флаг nl
AAA
@Samuel Neves: проблема в том, что SIS обычно определяется, когда матрица случайна по $\mathbb{Z}_q$. Таким образом, по мере роста $q$ растут и записи $A$. Это означает, что $A.e$ почти наверняка будет иметь переносной модификатор $q$. Поэтому я не сразу понимаю, как использовать это для моей проблемы.
0
Ответить
Рейтинг:1
AAA avatar Crypto
флаг nl
AAA

Оказывается, некоторые версии проблемы на самом деле так же сложны, как SIS. Конкретно я утверждаю, что версия, где $А$ случайный бинарный матрица и $\бета$ является полиномиальным, будет сложно, предполагая, что SIS сложна для соответствующего выбора параметров.

Позволять $q=2^\ell$ быть степенью числа 2, которая достаточно больше, чем $\бета$. Позволять $n'=n/\ell$ (мы предполагаем $n$ делится на $\ell$ для простоты). Затем рассмотрим экземпляр SIS с параметрами $n',m,q,\бета$: задана случайная матрица $A\in\mathbb{Z}_q^{n'\times m}$, цель состоит в том, чтобы найти ненулевой вектор $e\in\mathbb{Z}^m$ такой, что $A\cdot e\equiv 0\pmod q$ и $|е|<\бета$.

Сведем к поставленной безмодульной задаче следующим образом. Позволять $A_i\in\{0,1\}^{n'\times m}$ — матрица, в которой мы заменяем каждую запись в $А$ посредством $я$й бит этой записи. Тогда пусть $A'\in\{0,1\}^{n\times m}$ — матрица, полученная суммированием всех $A_i$ друг над другом.

Если бы мы могли решить безмодульную SIS для $А'$, это даст нам вектор $e\neq 0$ такой, что $A'\cdot e=0$ (над целыми числами) и $|е|<\бета$. Но тогда я утверждаю, что $A\cdot е = 0$. Действительно, каждая запись $А$ представляет собой просто линейную комбинацию записей в соответствующем столбце $А'$. Таким образом, каждая запись $A\cdot е$ представляет собой просто линейную комбинацию записей в $A'\cdot e$, и, следовательно, 0.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.