Рейтинг:1

Какая связь между коэффициентом зашифрованного текста и полиномиальной степенью в RLWE?

флаг es

В задаче кольцевого обучения с ошибками размер частного зашифрованного текста $q$ определяет размер степени полинома $n$ или наоборот. Другими словами, проблема rlwe сложна только тогда, когда степень полинома задана по сравнению с частным. Однако я не уверен, какова связь между значениями двух параметров?

Может ли кто-нибудь объяснить мне или указать мне на какой-то ресурс?

Mark avatar
флаг ng
Можете ли вы уточнить, что вы имеете в виду? Мне кажется, вы говорите о *модуле* LWE над кольцом $R$, которое имеет некоторый нетривиальный ранг как абелева группа. Но я не совсем уверен.
muhammad haris avatar
флаг es
Привет, @Mark, я отредактировал вопрос. Я говорю о степени полинома, которую в некоторой литературе также называют зашифрованным текстом. Извините за путаницу
Рейтинг:1
флаг ng

На самом деле между этими двумя параметрами нет «отношения» из-за того, что известно как переключение модуля. Грубо говоря, для экземпляра LWE $\bmod q$, можно изменить его на экземпляр LWE $\bмод р$ при относительно небольших затратах для широкого круга $р$. Есть много результатов в этом направлении, но я опишу один из Сокращение от наихудшего к среднему случаю для модульных решеток.

Позволять $\psi$ быть некоторым распределением вероятностей на $\mathbb{T}_{R^\vee}$, и $s\in(R^\vee_q)^d$ быть вектором. Мы определяем $A^{(M)}_{q,s,\psi}$ как распространение на $(R_q)^d à \mathbb{T}_{R^\vee}$ полученный выбором вектора a $s\in(R_q)^d$ равномерно случайным образом и $e \in \mathbb{T}_{R^\vee}$ согласно с $\psi$, и возвращение $(а, \frac{1}{q}\langle a, s\rangle + e)$.

MLWE: для целого числа $q \geq 2$ и дистрибутив $\пси$ над семейством распределений над $K_\mathbb{R}$. Версия решения о проблема обучения модуля с ошибкой $M-LWE_{q, \Psi}$ выглядит следующим образом: пусть $s \in (R^\vee_q)^d$ быть равномерно случайным и $\psi$ быть отобранным из $\пси$ ; Цель состоит в том, чтобы различить произвольное количество независимых выборок из $A^{(M)}_{q, s, \psi}$, и столько же независимых выборок из $U(R^d_q, \mathbb{T}_{R^\vee})$.

Это более общее значение, чем RLWE, и сокращается до RLWE, когда $д = 1$. Семейство дистрибутивов $\Psi_a$ являются некоторым эллиптическим распределением Гаусса, см. раздел 2.3.

В любом случае, результат переключения модуля — это теорема 4.8. Здесь, $N = без $ — «общая размерность» экземпляра MLWE. Параметр $n = 1$ восстанавливает интересующий вас случай RLWE.

Позволять $p, q \in [2, 2^{N^{O(1)}} ]$ и $\альфа, \бета (0, 1)$ такой, что $\beta \geq \alpha \max(1, \frac{q}{p})n^{1/4}N^{1/2}\omega(\log_2 N)$ и $\alpha q \geq \omega(\sqrt{\log(N)/n})$. Существует полиномиальное сокращение времени от $M-LWE_{q,\Psi_\alpha}$ к $M-LWE_{p,\Psi_\beta}$.

Это все говорит о том, что вы можете уменьшить произвольный модуль $q$ к другому произвольному модулю $р$, ценой завышения уровня шума от $\alpha\mapsto \frac{q}{p}\alpha\sqrt{N}\omega(\log_2 N)$. это не полностью бесплатно (есть доп. $\sqrt{N}$ фактор), но учитывая, что модули $q, р$ обычно малые полиномы в $N$, стоимость, которую вы платите, относительно невелика по сравнению с размерами параметров.

В результате на самом деле не существует связи между исключительно модулем зашифрованного текста (как его обычно называют, а не коэффициентом зашифрованного текста) и размерностью, как любая связь также необходимо учитывать размер распределения ошибок.

Что касается того, как на самом деле установить все эти вещи, люди обычно вводят свои параметры в LWE оценщик, что дает некоторую оценку битовой безопасности для каждого конкретного набора параметров.

muhammad haris avatar
флаг es
Спасибо за ответ да, я понимаю, что вы можете переключиться с мода $q$ на мод $p$, когда $pq$, согласно моему пониманию и практике, это уменьшит безопасность для фиксированного $N$?
muhammad haris avatar
флаг es
Другими словами, если я возьму две выборки RLWE с одним и тем же $N$ и выберу ошибку из одного и того же распределения, но модуль зашифрованного текста первой выборки равен $q$, а другой — $p$, где $p >q$ , будет ли у них одинаковый уровень безопасности? Я считаю, что образец RLWE с модулем $ q $ будет иметь более высокий уровень безопасности ... и это то, что я хочу понять, почему это так.
Mark avatar
флаг ng
При изменении модулей лучше всего думать о вещах с точки зрения частного $\sigma/q$, например. *относительно* насколько велика $\sigma$ по сравнению с $q$. Не похоже, что вы говорите об этом, что может вызвать проблемы. В частности, если вы увеличиваете $q$ без одновременного изменения $\sigma$, частное $\sigma/q'$ уменьшается, что снижает безопасность. Если вы уменьшаете $q$ без одновременного изменения $\sigma$, частное $\sigma/q'$ растет, повышая безопасность. Чтобы точно определить, насколько изменится (по оценкам) ценная бумага, используйте оценщик LWE.
muhammad haris avatar
флаг es
хорошо, понял, значит, нет надуманного уравнения, которое дает отношение $N,q,\sigma$ и уровня безопасности?
Mark avatar
флаг ng
Есть, но проще всего использовать оценку LWE. Грубо говоря, придуманное уравнение имеет вид $\mathsf{seclevel}(N, q, \sigma) = \min_i (f_i(N, q, \sigma)$, где каждый $f_i(N, q, \sigma)$ описывает конкретная атака на (R)LWE. Чтобы узнать больше о каждом $f_i$, вы можете прочитать [Спецификация NewHope, раздел 4.2](https://www.newhopecrypto.org/data/NewHope_2020_04_10.pdf). самая популярная криптосистема на основе RLWE, представленная на стандартизацию PQC NIST. Она не прошла в финальный раунд, поскольку NIST предпочел MLWE и «простую LWE» RLWE.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.