Регистрация Войти
Рейтинг:2
BlackHat18 avatar Crypto

LWE и расширенные функции без когтей люка

флаг sy
BlackHat18

Позволять $q \geq 2$ быть простым целым числом. Рассмотрим две функции, заданные формулой:

$$f(b, x) = Ax + b \cdot u + e~~~(\text{mod}~q),$$ $$g(b, x) = Ax + b \cdot (As + e') + e~~~(\text{mod}~q),$$

где у нас есть: \начать{выравнивать} б &\в \{0, 1\}, \ х &\in \mathbb{Z}_{q}^{n}, \ s &\in \mathbb{Z}_{q}^{m}, \ A &\in \mathbb{Z}_{q}^{n \times m}, \ е' &\in \mathbb{Z}_{q}^{m}, \ u &\in \mathbb{Z}_{q}^{m}, \end{выравнивание}

$е$ выбирается из дистрибутива:

\begin{уравнение} D _ {\ mathbb {Z} _q, B ^ {'}} (x) = \ frac {e ^ {\ frac {- \ pi || x || ^ {2}} {B ^ {'2}}} }{\sum_{x \in \mathbb{Z}_q^{n}, ||x|| \leq B'} e^{\frac{- \pi ||x||^{2}}{B^{'2}}}}, \end{уравнение} куда $$B' = \frac{q}{C_{T} \sqrt{mn \log q}},$$ $C_{T}$ является фиксированной константой.

В это бумаги, функции определены в уравнении 29, и упоминается, что в худшем случае более $А$, $u$ и $e'$, предполагая, что LWE сложна для классических алгоритмов с полиномиальным временем, различая $f$ и $г$ также трудно, учитывая $А$ и даны (полиномиально много) «выборки» (поскольку $е$ представляет собой распределение вероятностей, выходы $f$ или же $г$ являются образцами) из любого $f$ или же $г$.

Сокращение LWE также справедливо для среднего случая.

В документе также упоминается, что эти две функции представляют собой семейство «расширенных функций без когтей-ловушек (определение 5, 6, 7)».

В качестве ссылки на доказательство этих вышеприведенных фактов в статье упоминается это бумага (лемма 9.3). Однако при доказательстве леммы 9.3 вторая статья также ссылается на некоторые другие работы, например это один. Доказательство не было ясно мне ни в одной из статей.

Я хотел спросить, как уменьшить задачу различения между $f$ и $г$ к ЛВЕ. Я также хотел спросить о важности функции «расширенная лазейка без когтей» в этом сокращении.

Насколько я понимаю, жесткость LWE говорит о том, что если нам дано $А$, различая равномерно случайные выборки и выборки из $As + e'$ это трудно. я не знаю как $b$ и $х$ или другие параметры влияют на этот факт. Это то, где нам нужно доказательство отсутствия клешней с расширенной дверью-ловушкой?

83
0 + 0
Рейтинг:2
Mark avatar Crypto
флаг ng
Mark

Я думаю, что предполагается следующее сокращение:

Позволять $Д$ быть отличительной чертой $ф, г$. Создайте отличительную черту $D'$ для LWE, что:

  1. Принимает в качестве входных данных экземпляр LWE $(А, б')$
  2. Создайте оракула $h_{A, b'}(b,x) = Ax + bb' + e\bmod q$
  3. Имитирует $Д$ с доступом к оракулу $ч$, и возвращает то, что $Д$ делает.

Кажется относительно простым, что этот противник должен работать, как:

  1. когда $b'$ является равномерно случайным, $h_{A,b'}(b,x) = f(b,x)$
  2. когда $b' = As + e'$, $h_{A,b'}(b,x) = g(b,x)$

Привязанное преимущество, которое вы получаете, должно в конечном итоге быть независимым от конкретного экземпляра LWE. $(А, б')$ вы используете в сокращении. Я полагаю, что именно здесь «худший случай $А, у, е'$" происходит от, но я действительно не слышал этого раньше, поэтому не могу с уверенностью сказать, что это то, что имеют в виду авторы.

Стоит отметить, что я не вижу, где вам это нужно $ф, г$ являются расширенными функциями без клешней (или что-то в этом роде). Вместо этого я думаю, что все, что происходит, это то, что $ф, г$ каждый из них получен в результате эффективной постобработки выборки LWE (одна в мире выборка получена из распределения LWE, а другая — равномерно случайна). Если бы это могло привести к различимым функциям, это явно применило бы атаку на LWE.

0 + 0
BlackHat18 avatar
флаг sy
BlackHat18
Когда $b' = As + e$, $h(b, x) = Ax + b(As + e) ​​+ e'$. Но для уравнения 29 этой статьи (https://arxiv.org/pdf/2002.12814.pdf) $g(b, x) = Ax + b(As + e') + e$. Как же тогда это одно и то же?
0
Ответить
Mark avatar
флаг ng
Mark
Я заменил $e'\leftrightarrow e$, что было типографской проблемой. Тем не менее, главное заключается в том, что если любые два распределения $D_0\приблизительно_c D_1$ вычислительно неразличимы, то для любой эффективно вычислимой функции $h$ должно быть $h(D_0)\приблизительно_c h(D_1)$. Результат следует за правильным выбором $h$.
0
Ответить
BlackHat18 avatar
флаг sy
BlackHat18
Я немного запутался в чем-то. Пусть $(A, b')$ — входной экземпляр LWE. Тогда в одном случае $b'$ равномерно случайно. Но в другом случае не является ли $b' = As + e$ для некоторой гауссовой ошибки $e$? Однако здесь для второго случая $b' = As + e'$ --- $e'$ уже не является ошибкой Гаусса; $e' \in \mathbb{Z}_{q}^{m}$.
0
Ответить
Mark avatar
флаг ng
Mark
@ BlackHat18 Это не имеет значения. Вы правы в том, что конструкция $f, g$ работает для произвольного $e'$, но при использовании в сведении к LWE вы получаете, что $e'$ является гауссовским.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.