Рейтинг:0

Меньшее отношение модуля к шуму означает большую безопасность в LWE.

флаг in

Позволять $\text{Adv}^{\text{DLWE}}_{n,m,q,\sigma}$ быть преимуществом злоумышленника, чтобы отличить образцы LWE от однородных, где $м$ количество образцов, $q$ модуль и $\сигма$ стандартное отклонение распределения ошибок.

Я не могу найти явное выражение для этого преимущества.

Сокращает ли $q$ и увеличение $\сигма$ подразумевает меньшее преимущество (и, следовательно, лучшую безопасность?)

Рейтинг:1
флаг ng

Я не могу найти явное выражение для этого преимущества.

Нет ни одного. Это связано с тем, что это согласуется с современным состоянием теории сложности, которое $\mathsf{P} = \mathsf{NP}$, и поэтому $\mathsf{Adv}_{n,m,q,\sigma}^{\mathsf{DLWE}}$ есть некоторый полином от размеров соответствующих параметров. это также в соответствии с текущим криптографическим представлением о том, что это не так, и что верны более агрессивные вещи, а именно, что $\mathsf{Adv}^{\mathsf{DLWE}}_{n,m,q,\sigma}$ почти полностью контролируется $n\лог д$, и в частности:

  1. $м$ может быть довольно большим, не влияя на безопасность, и
  2. $\сигма$ может быть весьма небольшим (теоретически $\sigma = \Omega(\sqrt{n})$ обычно требуется, хотя практически $\сигма = O(1) \приблизительно 8$ является общим).

Так как же конкретно оценить это преимущество? Как правило, путем (конкретной) оценки состояния известных атак. Для этого есть два основных ресурса:

  1. «Оценщик LWE» Albrect et al. невероятно популярен. Вы можете увидеть исходный документ здесь, и (более современный) модуль sage здесь.

  2. Существующие конкретные предложения примитивов на основе решетки. Например, финалисты NIST PQC Kyber, Sabre и NTRUPrime включают (конкретный) анализ, обосновывающий их выбор параметров. Для более тяжелых примитивов Стандарт гомоморфного шифрования содержит таблицы предлагаемых параметров, а также сводки атак, на основании которых были построены эти таблицы.

Это все сказано...

Сокращает ли $q$ и увеличение $\сигма$ подразумевает меньшее преимущество (и, следовательно, лучшую безопасность?)

При прочих равных ответ - да. Учитывая экземпляр LWE $(\mathbf{A}, \vec б)$, можно по модулю переключиться с $q\mapsto q'$ (за $д'<д$, анализ чище, если $q' \mid q$ хоть). Это примерно отображает стандартное отклонение ошибки от $\sigma \mapsto \frac{q'}{q}\sigma < \sigma$. Затем можно было бы увеличить эту ошибку до некоторого стандартного отклонения $\sigma' > \sigma > \frac{q'}{q}\sigma$ путем добавления соответствующего гауссиана.

Это означает, что существует относительно простое сокращение от $\mathsf{DLWE}_{n, m, q, \sigma}\leq \mathsf{DLWE}_{n, m, q', \sigma'}$ за $\сигма' > \сигма$ и $q' \mid q$ (случай $д'<д$ ненамного сложнее, но придется иметь дело с некоторой «ошибкой округления»), так что преимущество будет меньше.

C.S. avatar
флаг in
Спасибо @Марк. Есть ли документ, где я могу найти сокращение между DLWE для разных параметров?
Mark avatar
флаг ng
Они распределены между несколькими листами. Две фундаментальные идеи заключаются в том, что при заданном (фиксированном) количестве выборок LWE можно сгенерировать больше (с немного большей ошибкой) с меньшими затратами. Это оправдывает ограничение $m$, не сильно влияющее на $\mathsf{Adv}$. См. раздел 5 [этого] (https://eprint.iacr.org/2020/337.pdf) для получения дополнительной информации (хотя результат взят из предыдущей статьи). Другим основным является анализ переключения модуля в [этом] (https://web.eecs.umich.edu/~cpeikert/pubs/lwehard-old.pdf).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.