Рейтинг:2

LWE — шифрование/дешифрование сообщений размером более 1 бита

флаг in

Я хотел бы знать, может ли LWE (и его варианты: RLWE и MLWE) шифровать сообщения размером более 1 бита. Является ли это возможным? Я еще не нашел никакой ссылки.Не могли бы вы объяснить это мне или дать несколько хороших ссылок об этом?

Заранее спасибо.

ОБНОВИТЬ: Я читал некоторые статьи, и, возможно, мой вопрос должен быть немного другим: существуют ли схемы, использующие LWE, и варианты, которые не являются FHE (шифрование более 1 бита каждый раз)? Например, рассматривая предложения NIST, я не понял, являются ли они FHE или нет. Я заметил, что зашифрованные тексты намного больше, чем обычные тексты, например, когда я использую Crystals-Kyber. Итак, я предполагаю, что это FHE или он шифрует 1 бит каждый раз.

Рейтинг:1
флаг ng

Ответ «да», а модификации относительно несложны для экспертов (поэтому вы можете не часто их видеть). Существует примерно три класса модификаций, я постараюсь вкратце упомянуть их все.

Повсюду я буду ссылаться на стандартную схему шифрования «типа Регева».

$$\mathsf{Enc}_s(m) = (A, As + e + (q/2)m),\qquad \mathsf{Dec}(A, b) = \lfloor b - As\rceil_2$$

где функция $\lfloor x\rceil_p = p\lfloor x/p\rceil$ раунды $х$ до ближайшего целого числа, кратного $р$$\lэтаж x\rceil$ является стандартной функцией «округления до ближайшего целого числа»).

Во-первых, есть стандартный способ перейти из пространства сообщений $\mathbb{Z}/2\mathbb{Z}$ к $(\mathbb{Z}/2\mathbb{Z})^n$, а именно через «матричную схему шифрования». Идея состоит в том, чтобы иметь $n$ независимые ключи $s_1, s_2,\точки, s_n$. Вы можете собрать их в матрицу $\mathbf{S} = [s_1,\dots,s_n]$, а затем шифрование с помощью

$$\mathsf{Enc}_{\mathbf{S}}(\vec m) = (A, A\mathbf{S} + \vec e + (q/2)\vec m)$$

Практически мы «повторно используем» $А$ через $n$ разные шифровки. Как $А$ является самой большой (по размеру) частью схемы, это приличная экономия. Ключи увеличиваются на мультипликативный коэффициент $n$ хоть. Я полагаю, что эта оптимизация упоминается в PVW08 ("Может быть, функции-лазейки с потерями и их приложения"?), но не знаю, было ли это первым случаем.

Еще один способ перейти из пространства сообщений $\mathbb{Z}/2\mathbb{Z}$ к $(\mathbb{Z}/2\mathbb{Z})^n$ заключается в использовании более общих колец, т. е. в использовании RLWE. Это несколько математически нетривиально, поэтому я дам общий обзор. Шифрованные тексты теперь имеют форму $(a, as + e + (q/2)m)$, где сейчас $а, с, е, м$ все многочлены степени $n$. В частности, получается шифрование битовых векторов в $(\mathbb{Z}/2\mathbb{Z})^n$ "бесплатно", в частности без необходимость увеличения размера секретного ключа. Это один из наиболее эффективных способов обойти битовое шифрование, и он невероятно популярен на практике (например, каждое решение NIST использует ту или иную версию этого, то есть либо RLWE, MLWE, либо нецелочисленный материал NTRU, за исключением FrodoKEM, которого намеренно нет из соображений безопасности).

Что делать, если вам не нравится внешний вид $\mathbb{Z}/2\mathbb{Z}$ где угодно? Все вышеперечисленные истории можно обобщить, чтобы иметь пространство для сообщений. $\mathbb{Z}p/\mathbb{Z}$ (а не конкретный случай $р = 2$) заменой члена $(кв/2)м$ к $(кв/р)м$ (где в первом случае выбираем $q$ такой, что $2\середина q$. После обобщения мы хотим $p\середина q$). Это дает шифрование с пространством сообщений $\mathbb{Z}/p\mathbb{Z}$, или после двух упомянутых мною оптимизаций $(\mathbb{Z}/p\mathbb{Z})^n$.

Обратите внимание, что это не бесплатно --- очень грубо говоря, термин $(кв/2)м$ используется для обеспечения правильного дешифрования и работает при наличии ошибок $|е| < q/4$ в каждой координате. Для общего $р$, эта граница ужесточается, и должна быть ошибка $|е| < q/2p$ в каждой координате. Эта меньшая ошибка приводит к менее безопасным схемам. Можно обойти это с помощью перепараметризации вещей, но дело в том, что переход от $\mathbb{Z}/2\mathbb{Z}\mapsto\mathbb{Z}/p\mathbb{Z}$ не приходит "бесплатно".


Для вашего обновленного вопроса стоит упомянуть, что существуют схемы шифрования на основе LWE (даже FHE !!) с коэффициентом расширения зашифрованного текста (асимптотически оптимальным), см.

Felipe Rampazzo avatar
флаг in
Отличное объяснение, @Mark. Это то, что я искал. Спасибо!
Рейтинг:0
флаг au

Да, это возможно, поскольку, например многобитный использует этот подход, например, если наше сообщение больше 1 бита, вы можете просто преобразовать значения, которые хотите зашифровать, с помощью Секретный ключ С который хранит наш закрытый ключ К, и мы также можем создать открытый ключ п который основан на случайных числах и генерирует набор чисел Н, а также случайные ошибки Е, с функцией, например, $N_{i}=A_{i}S+E_{i} \text{ (mod q)}$. г Со многими битами мы берем наше значение и конвертируем в биты, а после шифруем каждый.

В качестве справки с кодом вы можете прочитать в https://medium.com/asecuritysite-when-bob-met-alice/multi-bit-public-key-encryption-with-learning-with-errors-lwe-e6c7cad02758

и бумага может быть https://cims.nyu.edu/~regev/papers/lwesurvey.pdf

kelalaka avatar
флаг in
Я думаю, что ОП не спрашивает о представлении сообщения 4-битным, а затем о шифровании, скорее, они считают, что пространство сообщений LWE-Enc больше, чем $\mathbb F_2$. Средняя статья терпит неудачу на этом!.
Felipe Rampazzo avatar
флаг in
Привет, ребята. Спасибо за ваши ответы. Как сказал @kelalaka, моей первой идеей было шифровать более 1 бита каждый раз, но я не знаю, возможно ли это, учитывая, что я нашел ссылки только с использованием образцов ПК для шифрования 1 бита на образец. Я еще не понял, как определяются образцы и почему вместо этого нельзя использовать блок.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.