Score:1

RLWE พร้อมองค์ประกอบที่พลิกกลับได้

ธง cn

อนุญาต $R = \mathcal{O}_K$ เป็นวงแหวนของจำนวนเต็มของ $K$, ที่ไหน $K$ เป็นเขตข้อมูลจำนวนเกี่ยวกับพีชคณิตและ $คิว$ โมดูลัส อนุญาต $\chi$ เป็นการกระจายข้อผิดพลาดที่ใช้ในการสุ่มตัวอย่างองค์ประกอบ $e$. ตัวอย่าง RLWE เบื้องต้นมีรูปแบบ $(a,a\cdot s+e)\in R_q\times R_q$. ตัวแปรที่ใช้ $a$ กลับด้านได้ถูกนำมาใช้ (เช่น ที่นี่) และตัวแปรที่ใช้ $s$ จะใช้กลับด้านก็ได้ (เช่น ที่นี่). คำถามของฉันคือ:

RLWE ปลอดภัยหรือไม่หากทั้งคู่ $a$ และ $s$ ได้รับเลือกให้เป็นองค์ประกอบแบบวงแหวนกลับด้าน?

Score:1
ธง ng

ใช่ ด้วยเหตุผลทั่วไป กล่าวคือ $a$ กลับด้านได้คือ:

  1. ตรวจสอบได้โดยสาธารณะและ
  2. เกิดขึ้นด้วยความน่าจะเป็นที่ไม่สำคัญ $p$ (มากกว่าการเลือกเครื่องแบบของ $a$), ดู นี้เพื่อดูรายละเอียด.

เมื่อไรก็ตามที่คุณมีเงื่อนไขเช่นนี้ คุณสามารถให้ฝ่ายตรงข้ามที่เป็นสมมุติฐานตรวจสอบก่อนว่าเงื่อนไขนั้นเป็นจริงหรือไม่ และหากไม่เป็นเช่นนั้น ให้ "เดา" คำตอบแบบสุ่ม สิ่งนี้จะลดความได้เปรียบด้วยปัจจัยที่ทวีคูณ $p$แต่เนื่องจากสิ่งนี้ไม่มีนัยสำคัญ จึงไม่สำคัญ (สำหรับแนวคิดด้านความปลอดภัยอย่างน้อยที่สุด)

นี่คือคำอธิบายที่ชัดเจนซึ่งให้ไว้ในกระดาษของ Steinfield และ Stehle ที่คุณเชื่อมโยงไว้ แต่ก็ไม่มีส่วนเกี่ยวข้องกับ "ปัญหาพื้นฐาน" ที่พวกเขากำลังทำงานด้วยการเป็น RLWE ด้วยความลับแบบเดียวกัน และถือเป็นเรื่องทั่วไปที่ฉันกล่าวถึงข้างต้น

เป็นอิสระจากข้างต้นนี่คือ อีกด้วย แรงจูงใจสำหรับการลดกรณีเลวร้ายที่สุดถึงกรณีเฉลี่ยในการเข้ารหัสขัดแตะ บ่อยครั้งที่มีผู้สมัครที่ "ชัดเจน" สำหรับปัญหาหนักๆ (เช่น แฟคตอริ่ง หรือ BDD/CVP สำหรับแลตทิซ) แต่การตรึงการแจกแจงกรณีเฉลี่ยที่แม่นยำเพื่อใช้อาจไม่ชัดเจน การลดกรณีที่เลวร้ายที่สุดถึงกรณีเฉลี่ยแสดงว่าการกระจายกรณีเฉลี่ยจำนวนหนึ่งสำหรับปัญหา LWE ไม่ได้ "ไม่ดีทางโครงสร้าง" ตัวอย่างเช่น:

  1. ชุดยูนิฟอร์ม $a$,ยูนิฟอร์ม $s$เสียน $e$ (ของส่วนเบี่ยงเบนมาตรฐาน $\geq \Omega(\sqrt{n})$มีขนาดใหญ่กว่าที่คนส่วนใหญ่ใช้ในทางปฏิบัติ)
  2. ชุดยูนิฟอร์ม $a$, $s$ ที่เป็นไปตามการกระจายของ $e$

เมื่อเราทราบเครื่องแบบนั้นแล้ว $a$ เป็นการกระจาย "ที่ถูกต้อง" ในการทำงาน เราสามารถกำหนดเงื่อนไข "ขนาดใหญ่" (ความหมายที่เกิดขึ้นด้วยความน่าจะเป็นที่ไม่สำคัญ) ได้อย่างอิสระตามที่เราต้องการ $a$รวมถึงว่ามันกลับด้านได้ (หรือมีพิกัดแรก $1$หรือมี $\sum_i a_i \equiv 0 \bmod q$ สำหรับพหุนามขนาดใหญ่ $คิว$หรือโดยพื้นฐานแล้ว อะไรก็ตาม). โปรดทราบว่านี่เป็นเรื่องจริงเท่านั้น โดยไม่แสดงอาการ แม้ว่า --- การลดกรณีที่เลวร้ายที่สุดถึงกรณีเฉลี่ยจะไม่มีประโยชน์อย่างยิ่งในการทำให้ LWE เป็นพาราเมตริกอย่างเป็นรูปธรรม เนื่องจากเราสามารถปรับพารามิเตอร์ให้เล็กลงได้โดยการเข้ารหัส LWE โดยตรง

a196884 avatar
cn flag
คำตอบที่ดี - ขอบคุณ!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา