Рейтинг:2

Восстановление лазейки из выборки прообраза на основе решетки

флаг in

[GPV] и [MP] (ссылки ниже) дают конструкции функции лазейки, определяемой формулой $$ f_{\mathbf A} (\mathbf x) = \mathbf A \mathbf x, $$ куда $\mathbf A \in \mathbb Z_q^{n \times m}$ равномерно случайна, а область $\{ \mathbf x \in \mathbb Z^m \mid \lVert x \rVert \le \beta\}$. Учитывая любой $\mathbf y \in \mathbb Z_q^n$, секретный люк позволяет вычислить прообраз $\mathbf х$ из $\mathbf у$, т.е. $\mathbf А \mathbf х = \mathbf у$ и $\lVert \mathbf x \rVert \le \beta$.

Люк в [GPV] — это набор полного ранга. $\mathbf S \in \mathbb Z^{m \times m}$ такой, что $\mathbf А \mathbf S = 0$. Люк в [MP] $\mathbf R$ такой, что $\mathbf A \begin{bmatrix} \mathbf R \ \mathbf I \end{bmatrix} = \mathbf G$, куда $\mathbfG$ это некая специальная общедоступная матрица гаджетов. В любом случае с каждым люком связано некоторое количество $s$ что описывает его качество. За $\mathbf S$, $с =$ максимальная норма столбцов Грама-Шмидта $\тильда{\mathbf S}$ из $\mathbf S$. За $\mathbf R$, $s = $ наибольшее сингулярное значение $\mathbf R$.

Учитывая любой $\mathbf у$, люк качества $s$ позволяет производить выборку из дискретного распределения Гаусса по $\{\mathbf{x} \mid \mathbf A\mathbf x = \mathbf y\}$ ширины $\sigma \ge s\cdot\omega(\sqrt{\log m})$, который дает $\lVert x \rVert \le \sigma\sqrt m$ (с большой вероятностью).

Мой вопрос об обратном. Предположим, у нас есть оракул для гауссовой выборки прообраза, который выводит решения для $\mathbf А \mathbf х = \mathbf у$ с $\lVert x \rVert \le \beta$ для произвольно выбранного $\mathbf у$. Можем ли мы найти какой-нибудь люк для $\mathbf А$ который позволяет нам вычислить прообраз $\mathbf х'$ случайного $\mathbf у'$ это не запрашивается у оракула с немалой вероятностью?

Одной очевидной попыткой является запрос $\mathbf А \mathbf х = \mathbf 0$ попробовать восстановить "короткий" полноранговый сет $\mathbf S$ такой, что $\mathbf А \mathbf S = \mathbf 0$. Но это $\mathbf S$ не кажется достаточно коротким, чтобы вычислить решения длины $\ле\бета$. Мы можем попробовать редукцию решетки. Но я не знаю, что такое современная редукция решетки для этой проблемы, пытающаяся получить более короткую базу из уже короткой базы.

  1. [ОТС] https://eprint.iacr.org/2007/432
  2. [МП] https://eprint.iacr.org/2011/501
Рейтинг:2
флаг in

Идея, которую вы описываете (почти), работает, но, как вы заметили, «качество» получившегося люка несколько хуже, чем то, что нам кажется необходимым для создания прообразов нормы. $\leq\бета$. Однако качество является достаточно хорош, чтобы генерировать прообразы нормы, скажем, $\leq\beta\sqrt{m}$. Этого может быть достаточно для приложений, если параметры настроены правильно.

Например, эта идея оформлена формально и используется для «делегирования» люков в бумаге ЧКП-10 «Деревья бонсай», а также в [МП] для своего стиля люков.

Неизвестно, можно ли сделать то, о чем вы спрашиваете, без потери качества, но если это так, то это было бы очень удивительно; Я думаю, что большинство экспертов не ожидали бы, что это возможно.

Чтобы редукция решетки работала для заявленной цели, нужно было бы уменьшить заданные векторы нормы $<\бета$ в векторы нормы $<\бета/\sqrt{м}$ или так. Это представляется очень трудной проблемой. Ведь даже просто деление пополам длины некоторых заданных векторов кажутся трудными по той интуитивной причине, что мы могли бы затем делить пополам снова и снова, пока процедура не перестанет работать, давая нам почти кратчайший вектор решетки. На самом деле именно так работают некоторые (экспоненциальные) алгоритмы поиска кратчайших векторов путем итеративного деления пополам.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.