Да, по общим причинам.
А именно, $а$ быть обратимым это:
- Публично проверяемый и
- происходит с пренебрежимо малой вероятностью $р$ (над равномерным выбором $а$), видеть это для деталей.
Всякий раз, когда у вас есть такое условие, вы можете попросить любого гипотетического противника сначала проверить, выполняется ли условие, а если нет, то «угадать» ответ случайным образом.
Это уменьшает преимущество на мультипликативный коэффициент $р$, но поскольку это незначительно, это не имеет значения (по крайней мере, для асимптотических представлений о безопасности).
Это именно то объяснение, которое дано в статье Стейнфилда и Стеле, на которую вы ссылаетесь, но оно не имеет ничего общего с «базовой проблемой», над которой они работают, являясь RLWE с унифицированными секретами, и держится в общих чертах, о которых я упоминал выше.
Независимо от вышеизложенного, это также мотивация для наихудшего случая к среднему случаю в решетчатой криптографии.
Часто есть какой-то «очевидный» кандидат для решения сложной задачи (например, факторинг или BDD/CVP для решеток), но определение точного распределения среднего случая для использования может быть неясным.
Сокращение от наихудшего случая к среднему показывает, что ряд распределений в среднем для задач LWE не являются «структурно плохими», например:
- униформа $а$, униформа $s$, гаусс $е$ (стандартное отклонение $\geq\Omega(\sqrt{n})$, больше, чем большинство людей используют на практике)
- униформа $а$, $s$ что следует за распределением $е$
Как только мы узнаем эту униформу $а$ является «правильным» распределением для работы, мы можем свободно налагать любое «большое» (значение происходит с непренебрежимо малой вероятностью) условие, которое мы хотим на $а$, включая то, что оно обратимо (или имеет первую координату $1$, или имеет $\sum_i a_i \equiv 0 \bmod q$ для полиномиально больших $q$, или по существу что-либо). Обратите внимание, что это верно только асимптотически хотя --- сокращение наихудшего случая к среднему не особенно полезно для конкретной параметризации LWE, поскольку можно оправдать меньшие параметры путем прямого криптоанализа LWE.