Рейтинг:2

Ограничения на q для q-ичных решеток?

флаг pl

В решетчатой ​​криптографии люди часто работают с q-ичными решетками, чтобы мы могли использовать сложность решения с короткими целыми числами (SIS) и обучение с ошибками (LWE).Я видел в некоторых заметках, что иногда мы хотим $q$ быть премьер-министром или премьер-державой. Однако не было никакого объяснения, почему это так. Так что у меня есть пара вопросов по поводу выбора $q$:

  1. Есть ли проблемы с принятием q за любое положительное целое число? Или есть какие-то значения, которые оказались проблематичными?
  2. В чем преимущество выбора его в качестве основного или основной силы? И есть ли простые числа, которые лучше подходят?
Рейтинг:2
флаг us

Не полный ответ, но может быть уже полезен...

Известно что только битовая длина, но не форма $q$ важно для безопасности проблемы LWE (и RLWE).

Более того, если мы сможем решить $SIS_{n, q, \beta}$ с $\бета = O(q / \sigma)$, то мы можем решить $LWE_{n, q, \sigma}$ (см. следствие 2 из [MPS15]).

Таким образом, по крайней мере для такой малой границы $\бета$ по норме растворов СИС, форма $q$ не должно иметь значения.

Рейтинг:1
флаг ng

Как упоминает Хильдер, с помощью техники «переключения модуля» конкретный выбор $q$ не имеет большого значения для безопасности LWE. Поэтому особая форма $q$ в основном для повышения эффективности. Я не тот человек, чтобы исчерпывающе перечислить их все, но можно легко указать на несколько, прочитав предложения NIST PQC KEM.

Например:

  1. Выбор $ д = 2 ^ к $ для некоторых $к$ позволяет заменить модульные редукции на $q$ с битовыми сдвигами, более дешевая операция. Это одна из причин, по которой Сэйбер выбирает $q = 2^{13}$.

  2. Выбор $q$ быть «Дружелюбным к NTT». НТТ - это некий аналог БПФ" мод $q$"(а не более $\mathbb{C}$), которые могут значительно ускорить полиномиальное умножение (примерно от $ О (п ^ 2) $ наивная сложность $O(n\log n)$). Размер ускорения напрямую связан с наличием подходящего аналога $i\in\mathbb{C}$. В лучшем случае (скажем, при работе над $\mathbb{Z}_q[x]/(x^n+1)$ за $n = 2^k$) происходит, когда у вас есть «примитивный $2n$корень из единицы», что происходит, когда $q\экв 1\bmod 2n$ (Я думаю). Обратите внимание, что это несовместимо с предыдущей оптимизацией. KEM Kyber делает этот выбор (почти есть небольшие технические отличия).

  3. Выбор $q$ быть произведением небольших (размером слова) взаимно простых чисел, поэтому можно обратиться к китайской теореме об остатках и сохранить все арифметические размеры слова. Я не знаю KEM, который делает это, но это популярно в литературе по FHE (и часто носит название «система нумерации остатков» или арифметика RNS).

Так что есть аргументы в пользу выбора $q \экв 0 \bmod 2^k$, $q\экв 1\bмод 2\раз 2^к$, и $q$ произведение малых взаимно простых чисел. Все это может показаться взаимоисключающими оптимизациями, но можно быть умнее и использовать сразу несколько оптимизаций. Например, есть эта работа по встраиванию арифметического мода $2^к$ (т. е. «дружественный к модульной редукции») в кольцо, дружественное к NTT, что позволяет использовать обе оптимизации 1 и 2.

Hilder Vitor Lima Pereira avatar
флаг us
Для LWE форма $q$ не имеет значения, и я предполагаю, что это относится и к SIS, поскольку эти две проблемы тесно связаны.Однако, как я уже писал в своем ответе, использование приведения LWE к SIS просто дает нам окончательный ответ для набора экземпляров SIS, а не для SIS в целом. Но, например, как мы можем доказать, что SIS с $\beta=n^4=\omega(q)$ безопасна независимо от формы q?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.