Регистрация Войти
Рейтинг:1
zxcv avatar Crypto

Как доказать отстранение от решения об розыске LWE?

флаг cn
zxcv

Я новичок в криптографии и пытаюсь формально понять концепции LWE (обучение с ошибками). Я изложу свое понимание определений, которые могут быть неверными.

Определения согласно моему пониманию

Позволять $R$ — конечное унитальное коммутативное кольцо с вероятностью $\му$ (чья $\сигма$-алгебра дискретна). $R$ говорят, чтобы удовлетворить допущение LWE поиска в наихудшем случае если для всех многочленов $n$ и все рандомизированные алгоритмы с полиномиальным временем $S$, карта \begin{уравнение} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{уравнение} куда \begin{уравнение} p(m,s) = \Pr\{(A,e)\in R^{m\times n(m)} \times R^{n(m)}: S (-sA+e,A)= с\}\текст{,} \end{уравнение} незначительно. В приведенном выше уравнении $А$ выбирается из равномерной вероятности, и $е$ выбирается из вероятности произведения $\му^{п(м)}$.

$R$ говорят, чтобы удовлетворить решение для наихудшего случая, предположение LWE если для всех многочленов $n$ и все рандомизированные алгоритмы с полиномиальным временем $Д$, карта \begin{уравнение} m\mapsto \min_{s\in R^m} |p_1(m,s)-p_2(m)|\text{,} \end{уравнение} куда \begin{уравнение} \начать{разделить} p_1(m,s) &= \Pr\{(A,e)\in R^{m\times n(m)}\times R^{n(m)}: D (-sA+e,A) =1\},\ p_2(m) &= \Pr\{(b,A)\in R^{n(m)}\times R^{m\times n(m)}\times: D (b,A)=1\ }\текст{,} \конец{разделить} \end{уравнение} незначительно. В приведенном выше уравнении $А$ и $b$ выбираются из равномерных вероятностей, и $е$ выбирается из вероятности произведения $\му^{п(м)}$.

Вопрос

Я доказал, что если $R$ — конечное поле, снабженное вероятностью $\му$ (чья $\сигма$-алгебра дискретна) и если $R$ удовлетворяет допущению LWE поиска наихудшего случая, тогда $R$ также удовлетворяет допущению LWE о принятии решения для наихудшего случая. Но как доказать обратное? Вся литература, которую я видел до сих пор, просто говорит, что это тривиально, но я не мог этого доказать. Точнее, мне нужно доказательство следующего утверждения:

Если $R$ является конечным унитальным коммутативным кольцом, снабженным вероятностью $\му$ (чья $\сигма$-алгебра дискретна) и если $R$ удовлетворяет наихудшему предположению решения LWE, тогда $R$ также удовлетворяет допущению LWE поиска для наихудшего случая.

Моя попытка

Предположим, что $R$ удовлетворяет допущению LWE для решения наихудшего случая. Позволять $n$ быть многочленом и пусть $S$ быть рандомизированным алгоритмом с полиномиальным временем (входами которого являются элементы $R^{n(m)}\times R^{m\times n(m)}$ и чьи выходы являются элементами в $R^m$). Нам нужно показать, что карта \begin{уравнение} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{уравнение} куда $р(м,с)$ определен выше, пренебрежимо мал. Учитывая ввод $(b,A)\in R^{n(m)}\times R^{m\times n(m)}$ куда $b=-sA+e$, $S$ вернет некоторые предположения $г\в R^m$ который может или не может быть равным $s$. Можно вычислить $b+gA$ и обозначим его через $e'$. Если $г=с$, тогда $е'=е$. Если $g\neq с$, тогда $е'=е$ может держать, а может и не держать.Я не знаю, что теперь делать.

50
0 + 0
Рейтинг:1
Mark avatar Crypto
флаг ng
Mark

Поскольку вы очень близки к правильному ответу, я не дам вам правильный ответ, а вместо этого дам вам качественное описание последнего шага, который вам нужно сделать.

В зависимости от точного распределения ошибок выбирают $е$ из, распределение LWE $(А, сА + е)$ может быть:

  1. точно равномерное распределение (скажем, если $е$ равномерно случайно)
  2. вычислительно отличим от однородного (скажем, если $е$ поддерживается на $\{0\}$), или же
  3. (считается) вычислительно неотличимым от однородного (если $е$ является "ограниченным" --- вы можете явно рассматривать это как наличие i.i.d. Гауссовы координаты параметра $\приблизительно n$).

Эти три случая полезно иметь в виду при рассмотрении случайной величины $(А, сА+е)$. Обратите внимание, что (для фиксированного $А$) карта $s\mapsto sA$ определяет решетку. Проблема решения LWE заключается (примерно) в обнаружении этой решетчатой ​​структуры. Например

  1. в первом случае $sA+e$ является однородным по $R$, например Ошибка $е$ "вымывает" любую решетчатую структуру (информацию теоретически),
  2. во втором случае $sA$ является точно точкой в ​​решетке, и существуют эффективные способы проверки принадлежности некоторой точки-кандидата $б = сА$ в решетке в этом случае и
  3. в третьем случае, $sA$ является возмущенной точкой решетки, и, вероятно, трудно решить, что вы «близки» к решетке.

Все это говорит о том, что ваш вопрос очень разные ответы в зависимости от точных характеристик распределения ошибок, поэтому распределение ошибок должно каким-то образом учитываться в вашем ответе. Для подсказки, как это будет, вы говорите

Если $g\neq с$, тогда $eâ²=e$ может держать, а может и не держать. Я не знаю, что теперь делать.

Когда $g\neq с$, тогда $b + gA = (g-s)A+e$. Грубо говоря, то, что вы делаете дальше, это аргументируете, что это очень маловероятно для $(г-с)А+е$ получить из распределения ошибок. Это потому что

  1. распределение ошибок сосредоточено вокруг нуля (или, возможно, даже ограничено), например. любой элемент распределения ошибок будет иметь $|е|$ «маленький», и
  2. когда $g\neq с$, $(g-s)A$ будет больше, чем $\lambda_1(\mathcal{L}(A))$, кратчайший вектор решетки $\mathcal{L}(A)$. Для случайного $А$, это обычно "большой".

Должно показаться правдоподобным, что вы можете количественно параметризовать вещи таким образом, что, используя количественные версии двух приведенных выше утверждений, маловероятно, что $g\neq с$>

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.