Рейтинг:2

Вопросы о построении псевдослучайных функций Банерджи, Пейкерта и Розена

флаг sy

Я пытаюсь понять следующую псевдослучайную функцию, построенную Банерджи, Пейкертом и Розеном в это бумаги, при условии твердости LWE. Рассмотрим следующую псевдослучайную функцию на основе LWE/LWR:

$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p,$$

куда $A \in \mathbb{Z}_q^{m\times n}$ и каждый $S_i \in\mathbb{Z}_q^{n\times n}$.

У меня возникли вопросы по этой конструкции.

  1. Какая связь между $к$, $n$ и $м$? Насколько большой $р$ и $q$ должен быть?
  2. Как время, необходимое лучшему известному алгоритму для нарушения безопасности этой функции, масштабируется с $к$, $n$, и $м$?
  3. В связанной статье на странице 22 упоминается, что

Чтобы избежать эффективной атаки (как указано во введении), распределение $\psi$ следует выбирать таким образом, чтобы произведение многих $S_i \стрелка вправо\psi$ существенно не снижает энтропию \begin{уравнение} A\prod_{i =1}^k S_i. \end{уравнение}

Результат $F$ является матрицей.Что означает энтропия матрицы? И указывает ли это утверждение на то, что $F$ функция один к одному?

Рейтинг:3
флаг ng

Во-первых, после BPR была проведена дополнительная работа, включая практическое ЧПИ и ПРГ. Здесь «практичный» означает очень быстро --- ~5 циклов на байт (и всего ~3 для PRG iirc). Это находится в 10 раз по сравнению с AES, использующим AES-NI. Однако есть несколько предостережений по этому поводу:

  1. Клавиши очень большие
  2. Я считаю, что используются инструкции AVX, поэтому некоторый используется аппаратное ускорение
  3. Очень маленький выбираются параметры.

Эти малые параметры таковы, что больше не известно, что эквивалентность LWR/LWE соблюдается [1], и, кроме того, на самом деле нет никакого значимого сведения к проблеме жесткой решетки. Поэтому безопасность/параметры выбираются конкретно путем анализа нескольких известных атак. Похоже, это будет вам интересно.

  1. Какова связь между k, n и m? Насколько большими должны быть p и q?

Это зависит от того, хотите ли вы, чтобы это было доказуемо безопасный или же эвристически безопасный. Для доказуемой безопасности теорема 5.2 статьи, на которую вы ссылаетесь, кажется, дает вам именно то соотношение, которое вы хотите. Для эвристической безопасности (с использованием меньших параметров) следует обратить внимание на следующие моменты:

  • раздел 4 документа PRF, и
  • раздел 3 документа PRG.

но они не дают хороших неравенств, которые вам могут понадобиться, потому что такие неравенства неизвестны. Вместо этого они оценивают несколько известных атак по определенному выбору параметров.

  1. Как масштабируется время, затрачиваемое самым известным алгоритмом на взлом безопасности этой функции, с k, n и m?

См. раздел 4 документа PRF и раздел 3 документа PRG, где выполняется несколько соответствующих вычислений.

3.a Выходом F является матрица. Что означает энтропия матрицы?

Строго говоря, ничего. Энтропия – это свойство распределение вероятностей, поэтому утверждение будет иметь смысл, только если рассматривать $F$ не как матрица, а как распределение по матрицам. Чтобы получить некоторое представление о том, что имеют в виду авторы, давайте $q = p_0 p_1$ быть полупростым. Тогда, если $A, S_1,\dots S_k$ распределяются так, что (с вероятностью 1):

  1. $A\bmod p_0 \экв 0$, и
  2. $S_i\bmod p_1\экв 0$ для всех $я$,

тогда $F(A, S_1,\dots, S_k) \equiv 0\bmod q$ постоянно, поэтому PRF будет предсказуемым. Ограничение на $А, S_i$ быть обратимым $\bmod q$ останавливает эту конкретную (потенциальную) проблему (и, возможно, больше).

3.b И указывает ли это утверждение на то, что F является взаимно однозначной функцией?

Нет, но и не ожидается.Мы хотим $F$ быть неотличимым от случайная функция. Обратите внимание, что случайные функции не являются 1-1 (вы можете количественно определить это с помощью метода, называемого «переключение PRP-PRF», но это не имеет особого значения).


[1] Обратите внимание, что для большинства «практичных» примитивов на основе решетки это уже имеет место — например, SABRE основывается на конкретной безопасности MLWR с малыми модулями, хотя его модули $2^{13}\приблизительно 8 тыс.$ является много больше, чем модули $q = 257$ которые используют эти PRF/PRG. Это в некоторой степени актуально, поскольку недавно обсуждалось, что LWR с малыми модулями не подвергались особенно хорошему криптоанализу. Видеть этот поток группы Google NIST PQC. Начиная с этой ветки в декабре, люди проводили некоторые эксперименты (и не обнаружили ничего неожиданного), но из ветки кажется, что люди не пытались напрямую криптоанализировать LWR с малыми модулями до месяца или двух назад.

Есть несколько ситуаций, в которых можно использовать практические примитивы на основе LWR и получить доказуемую безопасность на основе проблем с решеткой, но единственная известная мне «стандартная» ситуация — это пример Сэма Кима. (Ключевой гомоморфный) PRF на основе решетки. У Харта Монтгомери также есть Нестандартная версия LWR он может оказаться безопасным для.

BlackHat18 avatar
флаг sy
Чем же тогда равна энтропия функции $F$, если не максимальной? Есть ли у вас интуиция?
Mark avatar
флаг ng
@ BlackHat18 Интуиция подсказывает, что он должен быть высоким, если он соответствующим образом ограничен (например, $S_i$ является обратимым). Если бы существовало какое-то "естественное" распределение по $S_i$, такое, что энтропия была бы неожиданно низкой, это привело бы к атаке. Это, конечно, не невозможно, но в настоящее время неизвестно, как это сделать, и стоило бы написать.
Chris Peikert avatar
флаг in
Отличный ответ! Некоторые гниды: соединение «LWE/LWE» не является «эквивалентностью», потому что оно не работает в обе стороны, по крайней мере, не без значительной потери параметров при двустороннем обходе. И «сведение *к* задаче о жесткой решетке» должно быть *из*. У нас, конечно, есть сведение к задаче о решетке, поскольку мы можем разбить PRF/PRG, используя (очень сильный) оракул, решающий решетку.
Chris Peikert avatar
флаг in
Опечатка: эквивалентность *LWR*/LWE.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.