Регистрация Войти
Рейтинг:0
Morbius avatar Crypto

Вычислительная неразличимость двух образцов типа LWE

флаг cn
Morbius

Рассмотрим задачу различения полиномиально многих выборок либо \begin{уравнение} (x, b, As + e) ​​~~\text{or}~~\left(x, b, ~Ax + b\cdot(As + e) ​​+ e'\right). \end{уравнение}

Здесь, $А$ является публичной матрицей и $s$ является секретным вектором, выбранным равномерно случайным образом. $е$ и $e'$ являются гауссовыми ошибками. $х$ и $b$ отбираются равномерно случайным образом.

Размеры различных объектов:

\начать{выравнивать} б &\в \{0, 1\}, \ х &\in \mathbb{Z}_{q}^{n}, \ s &\in \mathbb{Z}_{q}^{n}, \ A &\in \mathbb{Z}_{q}^{m \times n}, \ е, е' &\in \mathbb{Z}_{q}^{m}, \ \end{выравнивание}

$q \geq 2$ является простым целым числом.

Являются ли эти два случая (вычислительно) неразличимыми, когда нам дано полиномиальное количество выборок? Я думаю, что они есть, но я не мог связать их с гипотезой.

Обратите внимание, что LWE,

\begin{уравнение} (x, b, As + e) ​​~~\text{and}~~\left(x, b, u\right), \end{уравнение} вычислительно неразличимы, и поэтому \begin{уравнение} (x, b, ~Ax + b\cdot(As + e) ​​+ e') ~~\text{and}~~\left(x, b, ~Ax + b\cdot u + e'\right). \end{уравнение}

$u$ представляет собой равномерно случайную выборку. Однако я не мог свести свой случай к LWE.

56
0 + 0
Рейтинг:0
Daniel S avatar Crypto
флаг ru
Daniel S

Можно тривиально отличить $(х,0,у)$ от $(х,0,Ах+е)$ путем вычитания $топор$ из третьей записи и посмотреть, выглядят ли записи однородными или гауссовыми.

Различение $(х,1,у)$ от $(x,1,A(x+s)+(e+eâ))$ является стандартной проблемой LWE (отмечая, что дисперсия $е+е$ представляет собой сумму дисперсий $е$ и $e$.

Таким образом, образцы с $б=0$ тривиальны, а образцы с $б=1$ Предположительно нет. Взятие полиномиального количества выборок практически наверняка даст по крайней мере одну с $б=0$ и поэтому позволяют нам различать тривиально.

0 + 0
Morbius avatar
флаг cn
Morbius
Просто для проверки работоспособности, если было полиномиально много выборок из любого \begin{equation} (x, b_1, b_2, \ldots, b_k, ~Ax + b_1\cdot(As_1 + e_1) + b_2\cdot(As_2 + e_2) + \cdots + b_k\cdot(As_k + e_k) + e') ~~ \text{или}~~\left(x, b_1, b_2, \ldots, b_k, u \right), \end{equation} для $b_i \in \{0, 1\}$, для полиномиально большого $k$ и для секретных векторов $s_1, \ldots, s_k$, то они будут неразличимы, верно?
0
Ответить
Morbius avatar
флаг cn
Morbius
Аргумент состоит в том, что когда каждый $b_i$ равен $0$, их легко различить, но такой случай экспоненциально маловероятен. В любом другом случае при любом выборе $k$ мы можем свести его к LWE.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Нет, аргумент в том, что если хотя бы $b_i$ равно 0, множество легко различимо.
0
Ответить
Morbius avatar
флаг cn
Morbius
Как это может быть правдой? Скажем, только $b_1 = 0$. Затем мы существенно различаем $A(x + s_2 + s_3 + \cdots + s_k) + (e_1 + e_2 + \cdots + e_k) + e'$ и $u$. Разве это не просто вариант LWE? Итак, разве нам не нужно, чтобы каждый $b_i$ равнялся $0$, чтобы выборки можно было различить, а не хотя бы один $b_i$ равнялся $0$?
0
Ответить
Morbius avatar
флаг cn
Morbius
*Мы различаем $A(x + s_2 + \cdots + s_k) + (e_2 + \cdots + e_k + e')$ и $u$....
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Я предлагаю перенести обсуждение [в этот чат] (https://chat.stackexchange.com/rooms/135597/discussion-on-computational-indistinguiability).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.