Score:2

การใช้ Gaussian แบบโค้งมนสำหรับ LWE นั้นถูกกฎหมายอย่างไร

ธง in

เท่าที่ฉันเข้าใจ ในกระดาษเริ่มต้นของ Regev การกระจายข้อผิดพลาดถูกสร้างขึ้นก่อนดังนี้:

ป้อนคำอธิบายรูปภาพที่นี่

แล้วปัดเศษด้วยวิธีต่อไปนี้:

ป้อนคำอธิบายรูปภาพที่นี่

การใช้การแจกแจงนี้สามารถลดทฤษฎีบทด้านล่างได้:

ป้อนคำอธิบายรูปภาพที่นี่

ฉันไม่เข้าใจว่าในหลายๆ แอปพลิเคชันในวรรณคดี พวกเขาใช้ปัญหา LWE กับการกระจายข้อผิดพลาดแบบปัดเศษตามปกติอย่างไร:

ป้อนคำอธิบายรูปภาพที่นี่

และยังคงรับประกันความปลอดภัย(หรือการลดความแข็ง) อีกด้วย $D_s(\mathbf{x}) = \frac{1}{\mathbf{s}^n} \exp \left( \frac{-\pi \|\mathbf{x}\|^2}{s^ 2} \right)$ เป็นการแจกแจงแบบปกติต่อเนื่อง

Chris Peikert avatar
in flag
âการแจกแจงแบบปัดเศษตามปกติâ $\Psi_s$, โมดูโลที่ลดลง $p$ (ซึ่งเกิดขึ้นเมื่อสร้างตัวอย่าง LWE) เป็น *ตัวอย่าง* $n$ ที่เป็นอิสระจากการแจกแจงแบบ “ขยายขนาดขึ้นและปัดเศษ” ที่สอดคล้องกัน $\bar{\Psi}_{s/p}$ ส่วน $\mathbb{Z}_p$ สิ่งนี้สามารถเห็นได้จากการทำงานผ่านคำจำกัดความ และสังเกตว่า $D_s$ เป็นการกระจายผลิตภัณฑ์ผ่านพิกัด $n$ ทั้งหมด
C.S. avatar
in flag
@ChrisPeikert ขอบคุณ! แต่จะจัดการกับผลรวมของ $k$ จาก $- \infty$ ถึง $+\infty$ ที่อยู่ภายในอินทิกรัลได้อย่างไร
Chris Peikert avatar
in flag
ผลรวมที่ไม่สิ้นสุดเพียงแค่จับความจริงที่ว่าการแจกแจงแบบปกติ (ต่อเนื่อง) ลดลง âmod 1â; สิ่งนี้สอดคล้องกับการลด mod p หลังจากใช้การปรับมาตราส่วน อินทิกรัลที่มีขอบเขตพร้อมกับผลรวมที่ไม่มีที่สิ้นสุดทำให้ได้อินทิกรัลที่ไม่มีที่สิ้นสุดเหนือจำนวนจริงทั้งหมด
Score:1
ธง ng

ฉันคิดว่านี่เป็นเพียงสิ่งประดิษฐ์ของ Regev ที่แสดงถึงค่าใน $\mathbb{T} \cong \mathbb{Z} / q\mathbb{Z} = \{0, 1/q, \dots, (q-1)/q\}$มากกว่าใน $\{0,1,\dots,q\}$ โดยตรง. ยังมีบางสิ่งที่ต้องพูดถึง:

ประการแรกฉันทามติที่ทันสมัยคือความแข็งของ $\mathsf{LWE}$ [1] การกระจายข้อผิดพลาดเฉพาะที่คุณใช้นั้นไม่สำคัญเท่าไหร่ โดยเฉพาะอย่างยิ่ง ค่าทั่วไป (เนื่องจากง่ายต่อการสุ่มตัวอย่าง) คือ "ทวินามกึ่งกลาง" หรือแม้แต่ค่าเดียวกันในช่วงที่กำหนด ตัวอย่างเช่น ดูผู้เข้ารอบสุดท้ายของ NIST PQC

แน่นอนว่าการแจกแจงเหล่านี้ที่เราใช้ไม่ได้สมเหตุสมผลเสมอไปจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย แล้วให้อะไร? เรา (พูดคร่าวๆ) มีสองทางเลือกในการเลือกพารามิเตอร์:

  1. ถอดรหัส $\mathsf{SIVP}_\gamma$ โดยตรง ค้นหาพารามิเตอร์ที่ปลอดภัย แล้วดันผ่าน $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ ลดลง หรือ

  2. ถอดรหัส $\mathsf{LWE}$ โดยตรงและเลือกพารามิเตอร์เหล่านั้น

ประการที่สองเป็นที่นิยมมากขึ้น โดยไกล. มีเหตุผลสองสามประการสำหรับสิ่งนี้:

  1. การลดลง $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ คือ (เป็นรูปธรรม) ไม่ "แน่น" มากนัก โดยเฉพาะอย่างยิ่งมันนำไปสู่อัตราเงินเฟ้อที่สูงพอสมควร มีการกล่าวถึงในบางสถานที่ เช่น ดูที่ความหนาแน่น 2 อีกครั้ง. แน่นอนว่าสิ่งนี้มักจะเกิดขึ้นเมื่อใครก็ตามวิเคราะห์การพิสูจน์อย่างเป็นรูปธรรมในขั้นต้นโดยไม่สนใจค่าคงที่ มีติดตามผลงานมาบ้างเช่น นี้, นี้, และ นี้แต่ไม่มีอะไรหลักเกินไป ของการทำงาน ฉันได้ดูครั้งแรกเท่านั้น --- iirc ที่พบได้โดยการพองตัว $(n, \log_2 q, \sigma)$ ด้วยปัจจัยของ $\ประมาณ 2$ เมื่อเทียบกับสิ่งที่ผู้คนใช้ในทางปฏิบัติ คุณจะได้รับความปลอดภัยที่เป็นรูปธรรมจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย

  2. ไม่ชัดเจนว่า (กรณีที่เลวร้ายที่สุด) การเข้ารหัส $\mathsf{SIVP}_\gamma$ ง่ายกว่าการเข้ารหัส (กรณีทั่วไป) $\mathsf{LWE}$. นี่เป็นเพียงเพราะไม่มีผู้สมัครที่ชัดเจนสำหรับกรณีเลวร้ายที่สุดของ $\mathsf{SIVP}_\gamma$! แน่นอนว่า เราสามารถใช้การวิเคราะห์กรณีเฉลี่ยเป็นขอบเขตล่างของการวิเคราะห์กรณีที่แย่ที่สุด แต่ทำไมกรณีเฉลี่ยจึงวิเคราะห์ปัญหาที่แตกต่างจากปัญหาที่คุณสนใจ

ทั้งหมดนี้เป็นการบอกว่า $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงคือ (ส่วนใหญ่) เห็นว่าระบุว่า $\mathsf{LWE}$ คือ (เชิงคุณภาพ) "การกระจายที่ถูกต้อง" ที่จะพิจารณา มีการกระจายของอินสแตนซ์แบบสุ่มที่คุณสามารถดูได้ และบางส่วนอาจ "อ่อนแอทางโครงสร้าง" (สำหรับตัวอย่างนี้ โปรดดูงานเกี่ยวกับ "อินสแตนซ์ Poly-LWE ที่อ่อนแอ" หรือ RSA ที่กำหนดโดยใช้การสุ่ม $n$จำนวนเต็ม -bit แทนที่จะสุ่ม $n$-bit semiprime จะเป็น "การแจกแจงที่ไม่ถูกต้อง" เพื่อใช้ด้วยเหตุผลทางโครงสร้าง) เดอะ $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงสามารถตีความได้ว่าเป็นการตรึงการกระจายเฉพาะสำหรับ $\mathsf{LWE}$ซึ่งเรานั้น เชิงปริมาณ ปรับพารามิเตอร์ผ่านการเข้ารหัส (โดยตรง)

[1] โปรดทราบว่าสำหรับลายเซ็น การกระจาย ทำ แต่นี่เป็นเพราะรายละเอียดการสร้าง/หลักฐานความปลอดภัยของลายเซ็น ไม่ใช่นามธรรมเพราะเราคิดว่า $\mathsf{LWE}$ เป็นเรื่องยากเมื่อคุณใช้ Gaussians แยกและไม่ปัดเศษ Gaussians / ตัวแปรสุ่มแบบเดียวกันหรืออะไรก็ตาม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา