Score:4

Crypto

พิสูจน์ว่าความลับ Ring-LWE ขนาดเล็กนั้นไม่เหมือนใคร

Chito Miranda

5/12/22 20:48

ฉันแค่ต้องการทราบว่าการพิสูจน์ของฉันถูกต้องหรือไม่ ซึ่งเป็นการพิสูจน์ว่าหากความลับของ Ring-LWE มีขนาดเล็ก แสดงว่าเป็นความลับ ก่อนที่จะให้หลักฐานของฉัน นี่คือข้อเท็จจริง:

ข้อเท็จจริง 1: $\Pr [\Vert r \Vert_\infty \leq \beta: r\xleftarrow{\$} R_q]\leq \left(\dfrac{2\beta+1}{q}\right)^n$, ที่ไหน $R_q=\mathbb{Z}_q[X]/(X^n+1)$, ที่ไหน $n$ เป็นกำลังสอง $คิว$ เป็นนายกและ $\เบต้า$ เป็นจำนวนจริงบวก

ตอนนี้ปล่อยให้ $D_\ซิกม่า$ เป็นการกระจายแบบเกาส์แบบไม่ต่อเนื่อง $R=\mathbb{Z}[X]/(X^n+1)$ (ซึ่งสามารถมองเป็น Gaussian แยกบน $\mathbb{Z}^n$ ผ่านค่าสัมประสิทธิ์การฝังตัวจาก $R$ ถึง $\mathbb{Z}^n$. ข้อเท็จจริงอีกประการหนึ่ง:

ข้อเท็จจริง 2: $\Pr[\Vert z\Vert_\infty \leq \mathcal{O}(\sigma\sqrt{n}): z\leftarrow D_\sigma]>1-2^{-n}$ เพื่อเป็นทางเลือกที่เหมาะสมของ $\sigma$.

ตอนนี้สมมติว่า $a\xleftarrow{\$}R_q$ และ $s,e\ลูกศรซ้าย D_\sigma$ ดังนั้น $b=เป็น+e$, เพราะฉะนั้น $(ก,ข)$ เป็นตัวอย่าง RLWE สำหรับความลับ $s$. ดังนั้น, $\Vert s\Vert_\infty,\Vert e\Vert_\infty$ ต่างก็น้อยกว่า $\beta=\mathcal{O}(\sigma\sqrt{n})$ ด้วยความน่าจะเป็นอย่างท่วมท้นด้วย Fact 2

ตอนนี้ฉันต้องการพิสูจน์ว่ามันเป็นไปไม่ได้ที่จะหาที่อื่น $s^\ไพรม์, s^\ไพรม์\neq s$, $\Vert s^\prime\Vert_\infty\leq \beta$ ดังนั้น $b=เป็น^\prime+e^\prime$, $\Vert e^\prime \Vert_\infty\leq \beta$ ด้วยความเป็นไปได้อย่างล้นหลาม นี่คือข้อโต้แย้งของฉัน:

ดำเนินการโดยความขัดแย้ง สมมติ $b=เป็น^\prime+e^\prime$. (สมมุติว่า $a$ เป็นองค์ประกอบที่ผันกลับได้ของ $R_q$นี่เป็นกรณีที่มีความเป็นไปได้สูงสำหรับกรณีนี้ $q=3\pmod{8}$). แล้ว $s^\prime=a^{-1}(b-e^\prime)=a^{-1}(e-e^\prime)+s$. ดังนั้น, $(a^{-1},s^\prime)$ เป็นตัวอย่าง RLWE สำหรับความลับ $e^\ไพรม์-e$ เนื่องจาก $a^{-1}$ เป็นการสุ่มอย่างเท่าเทียมกันโดยข้อเท็จจริงที่ว่า $a$ เป็นการสุ่มอย่างเท่าเทียมกัน ดังนั้นจึงเป็นเช่นนั้น $s^\ไพรม์$ แยกไม่ออกจากองค์ประกอบสุ่มที่สม่ำเสมอใน $R_q$ โดยสมมติฐานการตัดสินใจ RLWE แต่โดยข้อเท็จจริง 1 สำหรับ $q>4\เบต้า +2$, ความน่าจะเป็นที่ $\Vert s^\prime \Vert_\infty \leq \beta$ เป็น $<2^{-n}$. ดังนั้นขนาดเล็กเช่นนี้ $s$ มีเอกลักษณ์เฉพาะด้วยความน่าจะเป็นที่ท่วมท้น (สิ่งนี้ยังบอกด้วยว่าหากเราไม่วางข้อจำกัดใด ๆ ในบรรทัดฐานของ $s$ความลับ RLWE สำหรับ $ข$ ไม่ซ้ำใครเนื่องจากเราสามารถสร้างได้ $s^\ไพรม์$).

ดังนั้นฉันจึงอยากทราบว่าข้อโต้แย้งของฉันถูกต้องหรือไม่ และขอขอบคุณสำหรับความคิดเห็นที่เป็นประโยชน์จากทุกคน

169

1 + 0

lattice-crypto

ฉัน

แหวน-lwe

Score:2

Crypto

LeoDucas

8/12/22 13:44

ข้อความที่คุณพยายามสร้างเป็นทฤษฎีข้อมูล (การมีอยู่ของบางสิ่ง) ไม่ใช่การคำนวณ (ความง่ายในการค้นหาบางสิ่ง) ดังนั้นข้อเท็จจริงที่คุณเรียกใช้สมมติฐานความแข็งของ RLWE จึงเป็นเรื่องที่เกี่ยวข้อง

สิ่งหนึ่งที่คุณมีสิทธิ์คือพิจารณาความแตกต่างของวิธีแก้ปัญหาสองวิธี $[\mathbf A; \mathbf I] \cdot (s-s', e-e') = 0$. ในความเป็นจริง ชุดของความแตกต่างดังกล่าวก่อตัวเป็น SIS-lattice ดังนั้นคุณจึงพยายามพิสูจน์ว่าไม่มีวิธีแก้ปัญหา SIS สำหรับความสั้นของ $2\เบต้า$ ใน $\ell_\infty$ บรรทัดฐาน กล่าวอีกนัยหนึ่งคือต้องการพิสูจน์ว่าระยะทางขั้นต่ำของโครงตาข่าย RSIS นั้นสูงกว่า $2\เบต้า$.

กลยุทธ์การพิสูจน์มาตรฐานมีดังนี้:

พิจารณาแต่ละรายการที่ไม่ใช่ศูนย์ $z$
สำหรับการสุ่ม $\mathbf A$โปรดทราบว่า $\mathbf แอซ$ เป็นเครื่องแบบ
ผูกมัดความน่าจะเป็นที่ $\mathbf แอซ$ ตกอยู่ในลูกบอลรัศมี $2\เบต้า$ (โดยใช้ข้อเท็จจริงแรกของคุณ)
ใช้สหภาพผูกพันกับทั้งหมด $z$ น้อยกว่าปกติ $2\เบต้า$
สรุป.

คุณจะพบรายละเอียดของหลักฐานดังกล่าวในเอกสารประกอบการบรรยายต่างๆ (เช่น บทแทรก 5 ของ https://homepages.cwi.nl/~dadush/teaching/lattices-2018/notes/lecture-9.pdf). โดยทั่วไปจะมีให้สำหรับโครงตาข่ายทั่วไป (ไม่มีโครงสร้างวงแหวน) แต่นอกเหนือจากปัญหาที่ไม่สามารถกลับด้านได้ (ซึ่งคุณได้ทราบวิธีจัดการแล้ว $q \cong 3 \mod 8$) หลักฐานสามารถปรับให้เข้ากับการตั้งค่าเสียงเรียกเข้าได้

0 + 6

Chito Miranda

8/12/22 17:08

ขอบคุณสำหรับความคิดเห็น. ในกรณีของฉัน พหุนาม $a$ สอดคล้องกับเมทริกซ์ $\mathbf{A}$ ซึ่งประกอบด้วยคอลัมน์ที่ต่อต้านการเปลี่ยนแปลงแบบวนรอบของค่าสัมประสิทธิ์ของ $a$ เนื่องจาก $a$ ถูกสุ่มเลือกแบบสม่ำเสมอใน $R_q$ เรายังคงถือว่าเมทริกซ์ที่สอดคล้องกัน $\mathbf{A}$ เป็นการสุ่มแบบสม่ำเสมอได้หรือไม่

ตอบกลับ

Chris Peikert

8/12/22 18:59

ไม่ เนื่องจากคอลัมน์ของ $\mathbf{A}$ ของคุณมีความสัมพันธ์กัน ไม่เป็นอิสระต่อกัน

ตอบกลับ

Chito Miranda

9/12/22 04:47

รับแนวคิดจาก Lemma 5 ของ lecture-9.pdf นี่คือข้อโต้แย้งของฉัน: แก้ไข $x_1,x_2\in R_q,$ ทั้งที่ไม่ใช่ศูนย์ กำหนดแผนที่ $f_{x_1,x_2}: R_q\to R_q$ กำหนดโดย $a \mapsto ax_1+x_2$ ทันทีที่ $f_{x_1,x_2}$ เป็นแผนที่ 1-1 สำหรับ $x_1$ ที่พลิกกลับได้ ดังนั้น $R_q= x_1 R_q + x_2$ สำหรับ $x_1$ ที่กลับด้าน

ตอบกลับ

Chito Miranda

9/12/22 05:13

ดังนั้น $\Pr \{(ax_1+x_2 = 0 \pmod{q}: a\leftarrow R_q\}=q^{-n}$ สำหรับอินเวอร์ทิเบิล $x_1$ รับยูเนี่ยนที่ผูกไว้กับ $(x_1,x_2 ทั้งหมด )\in R_q^2$, $x_1$ กลับด้าน โดยที่ $\Vert x_i\Vert_\infty\leq 2\beta$ จากนั้น $\Pr \{ \exists (x_1,x_2): (ax_1+x_2 = 0 \pmod{q} \cap \Vert x_i \Vert_\infty\leq 2\beta \} \leq (4\beta+1)^{2n}\cdot q^{-n}$ มากกว่าการเลือกเครื่องแบบ $a \in R_q$ ใช่ไหม

ตอบกลับ

LeoDucas

10/12/22 09:17

ใช่นี่ดูดีเป็นหลัก แน่นอน คุณไม่จำเป็นต้องมีคอลัมน์ของ $A$ เป็นอิสระต่อกัน ความจริงที่ว่า $Ax$ เหมือนกันก็เพียงพอแล้ว จำเป็นต้องมีการปรับเปลี่ยนเล็กน้อยในตอนท้ายเพื่อนับสำหรับ a ที่ไม่สามารถเปลี่ยนกลับได้

ตอบกลับ

Chito Miranda

10/12/22 16:32

ใช่ ฉันพลาดที่จะนับจำนวนขององค์ประกอบที่กลับด้านได้ของ $R_q$ ขอบคุณที่ชี้ให้เห็นว่า! ตอนนี้ ฉันสงสัยว่าจะเกิดอะไรขึ้นกับความน่าจะเป็นแรก ถ้า $x_1$ ไม่สามารถกลับด้านได้

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Prove that a small Ring-LWE secret is unique

TH: พิสูจน์ว่าความลับ Ring-LWE ขนาดเล็กนั้นไม่เหมือนใคร

RO: Demonstrați că un mic secret Ring-LWE este unic

RU: Докажите, что маленький секрет Ring-LWE уникален

VI: Chứng minh rằng một bí mật Ring-LWE nhỏ là duy nhất

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา