Рейтинг:1

RLWE с обратимыми элементами

флаг cn

Позволять $R = \mathcal{O}_K$ быть кольцом целых чисел $К$, куда $К$ является полем алгебраических чисел, и $q$ модуль. Позволять $\чи$ быть некоторым распределением ошибок, используемым для выборки элемента $е$. Исходный образец RLWE имеет вид $(a,a\cdot s+e)\in R_q\times R_q$. Вариант, который занимает $а$ быть обратимым (например, здесь) и вариант, который принимает $s$ быть обратимым также использовалось (например, здесь). Мой вопрос:

Является ли RLWE безопасным, если оба $а$ и $s$ выбраны в качестве обратимых кольцевых элементов?

Рейтинг:1
флаг ng

Да, по общим причинам. А именно, $а$ быть обратимым это:

  1. Публично проверяемый и
  2. происходит с пренебрежимо малой вероятностью $р$ (над равномерным выбором $а$), видеть это для деталей.

Всякий раз, когда у вас есть такое условие, вы можете попросить любого гипотетического противника сначала проверить, выполняется ли условие, а если нет, то «угадать» ответ случайным образом. Это уменьшает преимущество на мультипликативный коэффициент $р$, но поскольку это незначительно, это не имеет значения (по крайней мере, для асимптотических представлений о безопасности).

Это именно то объяснение, которое дано в статье Стейнфилда и Стеле, на которую вы ссылаетесь, но оно не имеет ничего общего с «базовой проблемой», над которой они работают, являясь RLWE с унифицированными секретами, и держится в общих чертах, о которых я упоминал выше.

Независимо от вышеизложенного, это также мотивация для наихудшего случая к среднему случаю в решетчатой ​​криптографии. Часто есть какой-то «очевидный» кандидат для решения сложной задачи (например, факторинг или BDD/CVP для решеток), но определение точного распределения среднего случая для использования может быть неясным. Сокращение от наихудшего случая к среднему показывает, что ряд распределений в среднем для задач LWE не являются «структурно плохими», например:

  1. униформа $а$, униформа $s$, гаусс $е$ (стандартное отклонение $\geq\Omega(\sqrt{n})$, больше, чем большинство людей используют на практике)
  2. униформа $а$, $s$ что следует за распределением $е$

Как только мы узнаем эту униформу $а$ является «правильным» распределением для работы, мы можем свободно налагать любое «большое» (значение происходит с непренебрежимо малой вероятностью) условие, которое мы хотим на $а$, включая то, что оно обратимо (или имеет первую координату $1$, или имеет $\sum_i a_i \equiv 0 \bmod q$ для полиномиально больших $q$, или по существу что-либо). Обратите внимание, что это верно только асимптотически хотя --- сокращение наихудшего случая к среднему не особенно полезно для конкретной параметризации LWE, поскольку можно оправдать меньшие параметры путем прямого криптоанализа LWE.

a196884 avatar
флаг cn
Отличный ответ - спасибо!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.