Рейтинг:2

*-LWE эквивалент уязвимости Диффи-Хеллмана $g^{x^2}$

флаг vu

В Является ли Диффи-Хеллман менее безопасным, когда A и B выбирают одно и то же случайное число? , была поднята возможность обмена ключами Диффи-Хеллмана с получением идентичных одноранговых ключей и его уязвимость против пассивных атак, опять же - как дубликат.

Но есть ли эквивалент в семействе *-LWE обмена ключами на основе решетки? Мой вопрос заключается в том, что без учета усиления CCA, такого как преобразование Фуджисаки-Окамото и схема шифрования, подобная LPR, выполняется простой обмен ключами * -LWE:

  • Q1: есть эквивалентная уязвимость?

  • Q2: какое математическое свойство обмена ключами *-LWE сделало такую ​​уязвимость возможной или невозможной?

DannyNiu avatar
флаг vu
Я понимаю, что допустил некоторую ошибку относительно возможности атаки Сквера-Диффи-Хеллмана. Я прошу людей, знакомых с темой, отредактировать фактически неправильные части моего вопроса.
Рейтинг:4
флаг ng

Данный $(А, Ах + е)$ и $(А, х^тА+е')$, вы можете сделать (по крайней мере) одну потенциально интересную вещь для решения LWE. А именно, вычислить выборку

$$(A+ A^t, Ax + e + (x^tA+e')^t) = (A+A^t, (A + A^t)x + e + {e'}^t)$ $

поэтому вы можете свести LWE к случаю LWE, где случайная матрица $А + А^т$ является симметричный. Мне не очень ясно, поможет ли это вам в криптоаналитическом плане --- это вносит некоторую структуру в проблему, но

  1. кажется, что структура меньше, чем в предположениях, подобных RLWE/MLWE (например, $n$ размерная симметричная матрица определяется выражением $ О (п ^ 2) $ параметры, в то время как если вы рассматриваете образец RLWE как «матрицу», он имеет $ О (п) $ параметры).
  2. неясно, как эта структура будет полезна.

Под этим последним пунктом я в основном подразумеваю, что я не знаю симметричный случайные линейные коды (или случайные решетки), на которых легче решать CVP. Если бы это было правдой, это сразу бы подразумевало интересующую вас уязвимость.

Рейтинг:3
флаг cn

Прежде всего я хотел бы уточнить, что такое «то же самое». $х$" атака.

Первая интерпретация

Алиса и Боб знают свои $х$ подобные. Это не имеет смысла, потому что в этом сценарии они уже обмениваются секретной информацией (они уже могут вычислить общий открытый ключ $г^х$ без всякого общения).

Вторая интерпретация

Теперь, допустим, противник может заставить (мы не знаем как) $х$ быть равным $у$ (Но Алиса и Боб этого не знают и затем общаются $г^х$). Тогда целью противника является вычисление $г^{х^2}$ зная $г^х$. Известно, что эта проблема сложна в общей модели (вы можете посмотреть, например, это), а потом наверное тоже тяжело для конкретной хорошо подобранной группы.

Третья интерпретация

Алиса и Боб соблюдают протокол, но, к несчастью, выбирают его. $х$, примечательно, чем противник может легко обнаружить этот случай. Но вычисления $г^{х^2}$ тяжело, как и во втором случае.

О ЛВЕ

Я учту эта версия обмена ключами DH:

Что касается первой интерпретации, это не имеет смысла для DH.

Важным замечанием является тот факт, что даже у Алисы и Боба одинаковые $х$, отправленные частичные ключи не идентичны (в отличие от ключей в DH). Во-первых, потому что они вычисляют $х^\перп А$ и $топор$, а также потому, что нет причин, по которым они имеют одинаковый шум.

По этой причине обнаружение равенства в третьем случае не является тривиальным (по крайней мере, не тривиальным, как в случае DH).

О том, чтобы вычислить секрет $х$ во втором случае. Это кажется сложным, но насколько я знаю, нет никакого результата о сложности этой конкретной проблемы.

Мы можем переформулировать обе проблемы. Дана квадратная матрица $А$, трудно ли различать $(Ax+ 2e, x^\perp A+ 2e')$ и $(Ax+ 2e, y^\perp A+ 2e')$? И дано $(Ax+ 2e, x^\perp A+ 2e')$ трудно ли угадать наименьший значащий бит $x^\perp топор$.

Я склонен думать, что обе проблемы сложны. Но, насколько я знаю, его нельзя свести ни к одной известной сложной задаче.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.