Регистрация Войти
Рейтинг:1
BlackHat18 avatar Crypto

Вопросы по LWE с повторяющейся секретной матрицей S

флаг sy
BlackHat18

Рассмотрим формулировку LWE, где нам дано либо $(х,S х+е)$ или же $(х,у)$ --- куда $S$ является $м \раз п$ секретная/скрытая матрица, $х$ представляет собой случайную выборку $n \раз 1$ вектор, $е$ является $м\раз 1$ вектор ошибки Гаусса и $u$ является равномерно случайной выборкой --- и велел различать эти два случая. Согласно сообщению, это должно быть сложно для классических алгоритмов. здесь. Назовите эту проблему «обратным LWE».

У меня возникло несколько вопросов по настройке.

Трудна ли задача различения без $е$?

Обратите внимание, что в стандартном LWE, когда нам дается $(А,Ас+е)$ или же $(х,у)$, и сказал различать два случая, проблема легко без ошибки. Мы просто решаем систему линейных уравнений, чтобы получить $n$ записи $s$.

Однако здесь нужно найти $м \раз п$ записи нашей секретной матрицы $S$. Я не вижу, как это сделать, просто $м$ уравнения.

Рассмотрим вариант задачи, где нам дано либо $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$

$$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$

и сказал различать два случая. Назовите эту проблему «обратным LWE с повторяющимся секретом». $к$ полиномиально велико в $n$. Трудна ли эта проблема?

Обратите внимание, что гибридный аргумент (например, используемый в одном из ответов здесь) указывает на то, что проблема остается серьезной. вот это гибрид $H_i$:

$$H_i = \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_i, Sx_i + e_i), (x_{i+1}, u_{i+1}) \ldots , (x_{k}, u_{k}) \} .$$

Тогда есть прямой способ заключить, что если мы решим «обратный LWE с повторяющимся секретом», мы сможем решить обратный LWE. Поскольку обратный LWE труден, наша задача также должна быть сложной.

Тем не менее, я с трудом осознаю этот факт.

Обратите внимание, что если у нас нет члена ошибки, то есть очень простой способ различить эти два случая, для $k \geq n+1$. Обратите внимание, что может быть только $n$ линейно независимый $x_i$-с. Итак, различитель просто ищет $n$ отчетливый $x_i$-s в данных образцах, отмечает, где матрица $S$ переводит эти векторы в и для $n+1^{\text{th}}$ отдельный образец, использует линейность, чтобы сначала вычислить, где $S$ принимает его, а затем проверяет, соответствует ли это тому, что было дано.

Почему термины ошибки приводят к сбою этого различителя? Даже при гауссовой ошибке из-за линейной зависимости не должно ли $n+1^{\text{th}}$ быть достаточно сконцентрированной вокруг некоторого значения, чтобы мой различитель смог добиться успеха?

60
0 + 0
Рейтинг:3
Daniel S avatar Crypto
флаг ru
Daniel S

Проблема различения с одним образцом $х$ невозможно.

Это связано с тем, что для любого ненулевого $х$ и любой $u$ существует $S$ такой, что $Sx=u$.

Расчетное время прибытия 20220405:

Что касается более широкого вопроса о различении $(\mathbf x_i,S\mathbf x_i+\mathbf e_i)$ от $(\mathbfx_i,u_i)$ с неизвестным $S$, мы можем написать $X_{i,j}$ для $м\раз м$ диагональная матрица с постоянной диагональю $j$запись $\mathbfx_i$. Затем ряды $мн\раз км$ матрица $$\left[\begin{matrix} X_{1,1} & X_{2,1} & X_{3,1} &\ldots & X_{k,1}\ X_{1,2} & X_{2,2} & X_{3,2} &\ldotts & X_{k,2}\ \vdots & \vdots & \vdots & & \vdots\X_{1,n} & X_{2,n} & X_{3,n} &\ldots & X_{k,n}\end{matrix }\справа]$$ образуют решетку, где вектор $((S\mathbf x_1+\mathbf e_1)^T,(S\mathbf x_2+\mathbf e_2)^T,(S\mathbf x_3+\mathbf e_3)^T,\ldots,(S\mathbf x_k+\mathbf e_k) ^Т)$ является близким вектором (разностный вектор имеет компоненты, являющиеся элементами $\mathbf e_i$). Для больших $к$, маловероятно, что такой близкий вектор возникнет из равномерного распределения. Это только говорит нам о том, что информация для различителя существует; найти такой близкий вектор будет очень сложно с вычислительной точки зрения, поскольку $n$ растет, а дисперсия гауссова распределения растет.

0 + 0
BlackHat18 avatar
флаг sy
BlackHat18
Это меня очень смущает. Рассмотрим задачу различения $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}.$$ Тогда это также должно быть сложно из-за гибридного аргумента. Однако мы знаем, что эта проблема легко решается для $k > n +1$ благодаря выделенному мною различителю (проверка на линейную зависимость и замечание, что может быть только $n$ линейно независимых $x_i$-s). Как оба могут быть истинными? ?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Это связано с тем, что линейные системы имеют резкий переход между недоопределенными $kn$ (ноль или одно решение). У переопределенной системы, скорее всего, нет решений, поэтому наличие единственного решения является сильным отличительным признаком.
1
Ответить
BlackHat18 avatar
флаг sy
BlackHat18
Я не уследил. Означает ли это, что два случая: $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{(x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$ на самом деле неразличимы? Разве гибридный аргумент не говорит, что они есть?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Они неразличимы для $k$ линейно независимых $x_i$ с $k
1
Ответить
BlackHat18 avatar
флаг sy
BlackHat18
Спасибо! Теперь ясно. И последний вопрос для шумного случая, что мы можем сказать для случая $k > n$? То есть $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}$$ различимы при $k > n$? Я ничего не мог доказать, так как, как вы сказали, сокращения, связанные с производством дополнительных образцов, не работают.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Существует задача с близким вектором, которую можно решить для больших $k$, но разумный выбор $e$ и $n$ должен сделать ее совершенно неразрешимой.
0
Ответить
BlackHat18 avatar
флаг sy
BlackHat18
Не могли бы вы подробнее рассказать об этом случае (т. е. о зашумленном случае для $k > n$) в своем ответе?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.