Регистрация Войти
Рейтинг:4
Chito Miranda avatar Crypto

Докажите, что маленький секрет Ring-LWE уникален

флаг us
Chito Miranda

Я просто хочу знать, верно ли мое доказательство, которое заключается в доказательстве того, что если секрет Ring-LWE невелик, то он уникален. Прежде чем приводить доказательства, вот факт:

Факт 1: $\Pr [\Vert r \Vert_\infty \leq \beta: r\xleftarrow{\$} R_q]\leq \left(\dfrac{2\beta+1}{q}\right)^n$, куда $R_q=\mathbb{Z}_q[X]/(X^n+1)$, куда $n$ является степенью двойки, $q$ является простым и $\бета$ некоторое положительное действительное число.

Теперь позвольте $D_\сигма$ – дискретное распределение Гаусса на $R=\mathbb{Z}[X]/(X^n+1)$ (которую также можно рассматривать как дискретную гауссиану на $\mathbb{Z}^n$ через вложение коэффициентов из $R$ к $\mathbb{Z}^n$. Другой факт:

Факт 2: $\Pr[\Vert z\Vert_\infty \leq \mathcal{O}(\sigma\sqrt{n}): z\leftarrow D_\sigma]>1-2^{-n}$ для правильного выбора $\сигма$.

Теперь предположим, что $a\xleftarrow{\$}R_q$ и $s,e\leftarrow D_\sigma$ так что $b=как+е$, следовательно $(а,б)$ это образец RLWE для секрета $s$. Таким образом, $\Верт с\Верт_\infty,\Верт е\Верт_\infty$ оба меньше, чем $\beta=\mathcal{O}(\sigma\sqrt{n})$ с подавляющей вероятностью по Факту 2.

Теперь я хочу доказать, что невозможно найти другого $s^\prime, s^\prime\neq s$, $\Verts^\prime\Vert_\infty\leq\beta$ такой, что $b=as^\prime+e^\prime$, $\Vert e^\prime \Vert_\infty\leq \beta$ с подавляющей вероятностью. Вот мой аргумент:

Действуйте от противного. Предполагать $b=as^\prime+e^\prime$. (Предположим, что $а$ является обратимым элементом $R_q$, это имеет место с подавляющей вероятностью для случая $q=3\pmod{8}$). затем $s^\prime=a^{-1}(b-e^\prime)=a^{-1}(e-e^\prime)+s$. Таким образом, $(а^{-1},с^\простое число)$ это образец RLWE для секрета $е^\прим-е$ поскольку $а^{-1}$ является равномерно случайным в силу того, что $а$ является равномерно случайным. Следовательно, такие $s^\prime$ неотличим от равномерно случайного элемента в $R_q$ по предположению о принятии решений RLWE. Но по факту 1 для $q>4\бета +2$, вероятность того, что $\Verts^\prime\Vert_\infty\leq\beta$ является $<2^{-n}$. Отсюда такие маленькие $s$ уникален с подавляющей вероятностью. (Это также говорит о том, что если мы не накладываем никаких ограничений на норму $s$, секрет RLWE для $б$ не уникален, так как мы можем просто построить такие $s^\prime$).

Итак, я хотел бы знать, верен ли мой аргумент или нет, и был бы признателен за любую полезную обратную связь от кого-либо.

169
1 + 0
Рейтинг:2
LeoDucas avatar Crypto
флаг gd
LeoDucas

Заявление, которое вы пытаетесь сделать, является информационным (существование чего-либо), а не вычислительным (легкость нахождения чего-либо), поэтому тот факт, что вы ссылаетесь на предположение о твердости RLWE, вызывает беспокойство.

Одна вещь, которую вы действительно имеете право, - это действительно учитывать разницу двух решений. $[\mathbf А; \mathbf I] \cdot (s-s', e-e') = 0$. По сути, совокупность таких разностей образует СИС-решетку, так что вы, по сути, пытаетесь доказать отсутствие СИС-решений за краткость $2\бета$ в $\ell_\infty$ норма. Другими словами, нужно доказать, что минимальное расстояние решетки RSIS больше $2\бета$.

Стандартная стратегия доказательства выглядит следующим образом:

  • рассмотрим каждый ненулевой $z$
  • Для случайного $\mathbf А$, Обратите внимание, что $\mathbf Аз$ является однородным
  • Ограничьте вероятность того, что $\mathbf Аз$ попадает в шар радиусом $2\бета$ (используя ваш первый факт)
  • Примените объединение, связанное ко всем $z$ нормы менее $2\бета$
  • Заключение.

Подробности такого доказательства вы найдете в различных конспектах лекций (например, лемма 5 из https://homepages.cwi.nl/~dadush/teaching/lattices-2018/notes/lecture-9.pdf). Обычно это дается для общей решетки (без кольцевой структуры), но, помимо проблемы необратимости (с которой вы уже выяснили, как справиться с $q \cong 3 \mod 8$) доказательство можно адаптировать к постановке кольца.

0 + 6
Chito Miranda avatar
флаг us
Chito Miranda
Спасибо за ответ. В моем случае многочлену $a$ соответствует матрица $\mathbf{A}$, состоящая из столбцов, являющихся антициклическими сдвигами коэффициентов $a$. Итак, учитывая, что $a$ выбрана равномерно случайным образом в $R_q$, можем ли мы по-прежнему считать соответствующую ей матрицу $\mathbf{A}$ равномерно случайной?
0
Ответить
Chris Peikert avatar
флаг in
Chris Peikert
Нет, потому что столбцы вашего $\mathbf{A}$ коррелированы, а не независимы.
1
Ответить
Chito Miranda avatar
флаг us
Chito Miranda
Взяв за основу идею леммы 5 лекции-9.pdf, вот мой аргумент: зафиксируйте $x_1,x_2\in R_q,$ оба ненулевыми. Задайте карту $f_{x_1,x_2}: R_q\to R_q$, заданную $a \mapsto ax_1+x_2$. Сразу видно, что $f_{x_1,x_2}$ является отображением 1-1 для обратимого $x_1$. Таким образом, $R_q= x_1 R_q + x_2$ для обратимого $x_1$.
0
Ответить
Chito Miranda avatar
флаг us
Chito Miranda
Таким образом, $\Pr \{(ax_1+x_2 = 0 \pmod{q}: a\leftarrow R_q\}=q^{-n}$ для обратимого $x_1$. Взяв объединение, связанное по всем $(x_1,x_2 )\in R_q^2$, $x_1$ обратим, где $\Vert x_i\Vert_\infty\leq 2\beta$, то $\Pr \{ \exists (x_1,x_2): (ax_1+x_2 = 0 \pmod{q} \cap \Vert x_i \Vert_\infty\leq 2\beta \} \leq (4\beta+1)^{2n}\cdot q^{-n}$ над выбором униформы $a \in R_q$ Это правильно?
0
Ответить
LeoDucas avatar
флаг gd
LeoDucas
Да, это выглядит в основном нормально. Действительно, вам не нужно, чтобы столбцы $A$ были независимыми; того факта, что $Ax$ является равномерным, достаточно. Небольшая корректировка необходима в заключении, чтобы также учитывать необратимые а.
0
Ответить
Chito Miranda avatar
флаг us
Chito Miranda
Да, я пропустил подсчет числа обратимых элементов $R_q$. Спасибо что подметил это! Теперь интересно, что произойдет с первой вероятностью, если $x_1$ необратима.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.