Рейтинг:1

Уровень безопасности конструкций ПТЭ по нестандартным параметрам

флаг es

гомоморфное шифрование стандарты уже предоставляют рекомендуемые параметры и соответствующие им уровни безопасности. Однако я хотел бы рассчитать уровень безопасности для нестандартного выбора параметров.

Есть ли простой способ рассчитать уровень безопасности?

Daniel avatar
флаг ru
Я не думаю, что вы должны делать это, если вы планируете фактически *использовать* свой выбор параметров. В целом, эти оценки получены в результате обширного и сложного исследования криптографии на основе решеток. Как вы, возможно, знаете, задействовано много параметров (шум, девиация, размерность и т. д.), и правда в том, что лишь горстка людей знает их отношения и конкретные размеры. Стандартизация гомоморфного шифрования как раз и является попыткой донести это знание до более широкой публики для конкретного набора параметров.
Maarten Bodewes avatar
флаг in
Хотя я согласен с тем, что это было бы полезно, это не означает, что не должно быть четко определенного метода получения этих чисел для тех, кто хочет их проверить. Тем не менее, вопрос требует **простого** пути. Если такой вещи нет (или тоже слабо корректной), то да, вопрос может иметь отрицательный результат.
Рейтинг:2
флаг us

стандартный способ заключается в использовании оценщик LWE (если это просто или нет спорно).

Он оценивает стоимость известных атак на экземпляры LWE с заданными параметрами. $n$, $\альфа$, и $q$, куда $\альфа$ представляет собой отношение шума и может быть получено из параметра $\сигма$ из дискретного гауссиана по формуле $\alpha = \sqrt{2 \pi} \cdot \sigma/q$, уже реализованный в команде альфа = альфаf (сигмаф (сигма), q).

Оценщик в основном находит размер блока $\бета$ которые алгоритм BKZ должен будет использовать для решения проблемы LWE. Но оценивая время работы БКЗ-$\бета$ не так просто, поэтому для получения актуального уровня безопасности необходимо выбрать стоимостную модель для БКЗ.

Короче говоря, БКЗ работает на решетке размерности $д$ и делает несколько вызовов решателя SVP в измерении $\бета$. Часто предполагается, что оракул SVP требует $2^{0,292\cdot\beta}$ операций на классической ЭВМ и $2^{0,265\cdot\beta}$ в квантовом. Таким образом, используя reduce_cost_model=BKZ.сито в оценщике LWE даст вам количество операций как $2^{0,292\cdot \beta + 16,4 + \log_2(8 \cdot d)}$ и вы хотите, чтобы он был больше, чем $2^\лямбда$ за $\лямбда$ кусочки безопасности.

Некоторые люди более консервативны (параноики?) и игнорируют стоимость, связанную с измерением. $д$ и множество обращений к оракулу СВП, поэтому оценивают количество операций БКЗ как одно обращение к солверу СВП, таким образом, получают $2^{0,292\cdot\beta}$ или же $2^{0,265\cdot\beta}$. Это называется моделью затрат «ядро-SVP» и использовалась, например, для оценки безопасности САБЛЯ.

muhammad haris avatar
флаг es
Спасибо, это очень полезно. Я запустил оценщик и получил следующий результат: sage: a = alphaf(sigmaf(3.2), 2^124) шалфей: n = 4096; д = 2^124; альфа = а мудрец: затраты = оценка_lwe (n, альфа, q) usvp: rop: â2^161.8, красный: â2^161.8, δ_0: 1.005117, β: 276, d: 8199, m: â2^12.0 .... âââââââ Я не уверен, как получить оценку из этого, не могли бы вы указать немного больше. Большое спасибо
Hilder Vitor Lima Pereira avatar
флаг us
Это говорит вам о том, что количество операций, необходимых BKZ для взлома LWE в атаке уникального SVP, составляет примерно $2^{161,8}$, поэтому уровень безопасности составляет $\lambda > 161$ (учитывая, что другие распечатанные атаки стоят больше чем это). Но вы не указали стоимостную модель, и я не знаю, какую из них использует оценщик по умолчанию. Кроме того, это, вероятно, предполагает, что ключ является универсальным в Z_q^n.Было бы хорошо использовать что-то вроде `estimate_lwe(n, alpha, q, secret_distribution=(0,1),reduction_cost_model=BKZ.sieve)`, чтобы выбрать модель стоимости и распределение sk в качестве той, которую вы используете.
muhammad haris avatar
флаг es
понял, я установил параметры с распределением секретного ключа, как в SEAL (я использую печать) и модель стоимости BKZ.sieve, и это дает 111 бит безопасности .. спасибо за ваш ответ

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.