บรรจวบ เข้าสู่ระบบ
Score:0
vids avatar Crypto

ค้นหา LWE เพื่อลด SVP

ธง fr
vids

ดังนั้นสำหรับวิทยานิพนธ์อนุปริญญาของฉัน ฉันกำลังเขียนเกี่ยวกับระบบการเข้ารหัสลับ LWE ของ Regev จากเอกสารต้นฉบับของเขาในปี 2005 ฉันทำเสร็จแล้วด้วยความถูกต้องและปลอดภัย (เฉพาะการลดจากการค้นหา LWE ผ่านการลดค่าเฉลี่ยถึงแย่ที่สุดและการลดการตัดสินใจในการค้นหา อย่างไรก็ตาม ประเด็นหลักของเอกสารนั้น - การลด GapSVP เป็น LWE-search อยู่นอกขอบเขตของฉัน ทำงาน) แต่ตอนนี้ฉันต้องการสาธิตการโจมตีระบบเข้ารหัสดังกล่าวด้วยการโจมตีคีย์สาธารณะ ฉันต้องการทำเช่นนั้นโดยลดการค้นหา LWE เป็น SVP (หรือ CVP หรือสิ่งที่คล้ายกัน) จากนั้นใช้อัลกอริทึมบางอย่างเพื่อแก้ไข SVP โดยเฉพาะอย่างยิ่งสิ่งที่คลาสสิกเช่น LLL (แม้ว่าฉันจะยังไม่แน่ใจด้วยซ้ำว่า LLL นั้นถูกต้องหรือไม่ ทางเลือก) ในขณะที่ฉันกำลังดำเนินการเพื่อความชัดเจนและเนื้อหามากมายเพื่อศึกษาจากการปรับปรุงประสิทธิภาพการโจมตีเพียงเล็กน้อย (ในทางทฤษฎี) คุณช่วยชี้ให้ฉันเห็นเอกสารที่ถูกต้องสำหรับการลด LWE เป็น SVP หรือบางอย่างที่คุณคิดว่าน่าจะเกี่ยวข้องและเหมาะสมกับระดับวุฒิภาวะและประสบการณ์ (ใน) ของฉันในสาขานี้ได้ไหม ขอบคุณล่วงหน้า.

69
0 + 0
kelalaka avatar
in flag
kelalaka
โพสต์ข้ามกับ [math.se](https://math.stackexchange.com/q/4409174/338051) เป็น [so] นโยบายที่คุณควรเก็บไว้หนึ่งสำเนา
1
ตอบกลับ
vids avatar
fr flag
vids
ลบออกจาก math.se
0
ตอบกลับ
Score:1
Mark avatar Crypto
ธง ng
Mark

คุณบังเอิญไปสะดุดกับหัวข้อที่มีหนามแหลมคม/โพลาไรซ์โดยเฉพาะอย่างยิ่งในการเข้ารหัสแบบขัดแตะ ซึ่งก็คือสิ่งที่เรียกว่า ความรัดกุม ของการค้นหาเพื่อการตัดสินใจที่ลดลง

ในระยะสั้นคำสั่งของแบบฟอร์ม

อัลกอริทึมใดๆ $A$ กับปัญหา $A$ ที่ดำเนินไปอย่างทันท่วงที $T_A$ ด้วยความได้เปรียบ $\epsilon_A$ หมายถึงอัลกอริทึม $B$ กับปัญหา $B$ ที่ดำเนินไปอย่างทันท่วงที $T_B$ ของข้อได้เปรียบ $\epsilon_B$.

เป็นวิธีที่ง่ายในการสรุปการลดการเข้ารหัส เป็นการดีที่การลดลงคือ แน่นหมายความว่าทั้ง:

  1. $T_A\ประมาณ T_B$ (ดีที่สุดคือเมื่อ $T_B = T_A$ บวกค่าโสหุ้ยเล็กน้อยเพื่อดำเนินการลด) และ
  2. $\epsilon_A\ประมาณ \epsilon_B$.

มี (โดยประมาณ) สองแนวคิดของความรัดกุม ไม่มีอาการ (ไหนบอก $T_B= O(T_A)$, และ คอนกรีต. โปรดทราบว่าการลดลงด้วยเวลาทำงาน $T_A = 2^{512}T_B$ แน่นแบบไม่แสดงอาการ แต่ไม่แน่นอย่างเป็นรูปธรรม

การลดลงของ Regev นั้น "ไม่แน่นหนา" อย่างแน่นอน มีความซับซ้อนทางเทคนิคในการระบุความหมายอย่างแม่นยำ ดังนั้นฉันจะเชื่อมโยงไปยังวรรณกรรมที่เกี่ยวข้องเท่านั้น

  1. ดูความรัดกุมอีกครั้ง 2ซึ่งตอนแรกได้หยิบยกประเด็นความรัดกุมในการลดหย่อน (คิดว่าในภาค 6 หรือ 7 แต่จำไม่ได้)

  2. วิทยานิพนธ์ปริญญาโท อ้างว่าให้การลดที่เข้มงวดมากขึ้น (และกำหนดพารามิเตอร์ของระบบ crypto ตาม SVP โดยตรง ตามที่คุณกำลังพูดถึง) แต่

  3. (ส่วนย่อยของ) ผู้เขียนบทความแรกออกมา กระดาษอื่นในเดือนนี้โดยอ้างว่าการคำนวณของวิทยานิพนธ์ผิดพลาดและการลดลงยังไม่รัดกุม มีการอ้างสิทธิ์ที่น่าสนใจอื่น ๆ ที่นี่เช่นกัน --- การลดลงของ Regev เป็นอัลกอริทึม BQP พวกเขาสังเกตเห็นว่ามันไม่ใช่เรื่องเล็กน้อย โดยเฉพาะอย่างยิ่ง อัลกอริทึมของ Shor (โดยสมบูรณ์) นั้นง่ายกว่ามากในการดำเนินการ ซึ่งอาจจะไม่ดีนัก

นอกจากนี้ยังมี การสนทนาเกี่ยวกับกลุ่ม Google NIST-PQC ที่อาจสนใจ. โดยคร่าวๆ แดน เบิร์นสไตน์พบว่าช่องว่างความหนาแน่นเป็นปัญหา Chris Peikert ได้ร่างความแตกต่างระหว่าง "ความรัดกุมที่ได้เปรียบ" ($\epsilon_A\ประมาณ \epsilon_B$) และ "ความรัดกุมของเวลาทำงาน" ($T_A\ประมาณ T_B$). แม้ว่าดูเหมือนว่าใคร ๆ อาจพยายามสร้างความแตกต่างนี้อย่างเป็นทางการ แต่ฉันไม่ทราบว่ามีการเขียนใด ๆ เกี่ยวกับเรื่องนี้นอกเหนือจากเธรดอีเมลที่เชื่อมโยง

ทั้งหมดนี้เป็นการบอกว่าผู้เขียนหลายคนได้เสนอว่า นัยที่เป็นรูปธรรม ของกรณีที่เลวร้ายที่สุดไปจนถึงการลดขนาดกรณีเฉลี่ยเป็น SVP ไม่นำไปสู่แนวคิดด้านความปลอดภัยที่มีความหมาย เว้นแต่จะมีคนเลือก เหลือเชื่อ พารามิเตอร์ขนาดใหญ่ที่ไม่ได้ใช้งานจริง "พารามิเตอร์ที่เล็กที่สุด" ที่ผู้คนจัดการกับกลยุทธ์นี้ยังคงมีขนาดใหญ่ (ดูวิทยานิพนธ์ปริญญาโท) และเมื่อเร็ว ๆ นี้ ผู้เขียนบางคนอ้างว่าพารามิเตอร์ "ใหญ่ แต่เพียงปัจจัย 2x - 3x" เหล่านี้ไม่ถูกต้อง

ในขณะที่งานเหล่านี้ทั้งหมดมีคำอธิบายของการลด LWE ถึง SVP ฉันไม่แน่ใจว่าสิ่งใดจะเป็นประโยชน์อย่างยิ่งจากมุมมองของการอธิบาย ถึงกระนั้น ข้อเสนอของคุณสมเหตุสมผลที่สุดภายใต้สมมติฐานว่าการลดจำนวนลงนั้นเข้มงวด --- น่าเสียดายที่สิ่งนี้ไม่เป็นเช่นนั้น (สมมติว่าเอกสารฉบับแรกและฉบับที่สามถูกต้องข้างต้น ซึ่งฉันยังไม่ได้อ่านอย่างละเอียด) ดังนั้น ข้อเสนอของคุณอาจมีมากกว่านี้ ยากกว่าที่คุณคิด

โปรดทราบว่าการมีอยู่ของช่องว่างความหนาแน่นไม่ ไม่ หมายความว่า LWE ไม่ปลอดภัย เพียงแค่นั้น (โดยสรุป) บนพื้นฐานของความปลอดภัยของ LWE บน SVP นั้นเป็นไปไม่ได้ ดังนั้นผู้เสนอการเข้ารหัสแบบตาข่ายส่วนใหญ่จึงดำเนินการดังนี้:

  1. ใช้การมีอยู่ของกรณีเลวร้ายที่สุดเพื่อลดกรณีเฉลี่ยเพื่อโต้แย้ง ในเชิงคุณภาพ ว่า "การกระจาย LWE" ไม่ใช่ "ข้อบกพร่องทางโครงสร้าง" เป็นตัวอย่างของการแจกแจง "ข้อบกพร่องทางโครงสร้าง" สำหรับปัญหา เป็นที่ทราบกันดีว่า RSA เป็นเรื่องง่ายหาก $N = pq$ เป็นเช่นนั้น $|p-q|$ มีขนาดเล็ก (ผ่าน อัลกอริธึมการแยกตัวประกอบของแฟร์มาต์). สิ่งนี้ไม่ควรเกิดขึ้นจริงหากมีการสร้างสิ่งต่างๆ อย่างถูกต้อง แต่ลิงก์ก่อนหน้าพบคีย์ที่สร้างขึ้นอย่างไม่ถูกต้อง

  2. ตั้งค่าพารามิเตอร์อย่างเป็นรูปธรรมตามการเข้ารหัสโดยตรงของ LWE พูดโดยใช้ ตัวประมาณ LWE.

หากเป้าหมายหลักของคุณคือการโจมตีอินสแตนซ์ LWE เท่านั้น ฉันขอแนะนำให้อ่านตัวประมาณค่า LWE โดยประมาณ ใช้สำหรับกำหนดพารามิเตอร์อินสแตนซ์ LWE ทำสิ่งนี้โดยการประมาณค่าใช้จ่าย (เป็นรูปธรรม) ของการโจมตี LWE ที่รู้จักต่างๆ อาจเหมาะสมที่สุดสำหรับคุณที่จะตรวจสอบการโจมตีที่รู้จักเหล่านี้ มีแหล่งข้อมูลที่ดีมากมายเกี่ยวกับการโจมตี LWE ที่รู้จัก เอกสารตัวประมาณค่า LWE น่าจะเป็นข้อมูลล่าสุด

0 + 0
Chris Peikert avatar
in flag
Chris Peikert
ฉันคิดว่า OP กำลังถามเกี่ยวกับสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิง: วิธีแก้ไขการค้นหา-LWE ด้วยความช่วยเหลือของ SVP oracle (โดยประมาณ) นี่เป็นแอปพลิเคชันที่ตรงไปตรงมา เช่น การฝังของ Kannanความรัดกุมของการลดลงของกรณีที่เลวร้ายที่สุดถึงค่าเฉลี่ย (ในอีกทางหนึ่ง) ไม่มีผลต่อคำถามนี้
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา