เท่าที่ฉันเข้าใจ ในกระดาษเริ่มต้นของ Regev การกระจายข้อผิดพลาดถูกสร้างขึ้นก่อนดังนี้:
แล้วปัดเศษด้วยวิธีต่อไปนี้:
การใช้การแจกแจงนี้สามารถลดทฤษฎีบทด้านล่างได้:
ฉันไม่เข้าใจว่าในหลายๆ แอปพลิเคชันในวรรณคดี พวกเขาใช้ปัญหา LWE กับการกระจายข้อผิดพลาดแบบปัดเศษตามปกติอย่างไร:
และยังคงรับประกันความปลอดภัย(หรือการลดความแข็ง) อีกด้วย $D_s(\mathbf{x}) = \frac{1}{\mathbf{s}^n} \exp \left( \frac{-\pi \|\mathbf{x}\|^2}{s^ 2} \right)$ เป็นการแจกแจงแบบปกติต่อเนื่อง
ฉันคิดว่านี่เป็นเพียงสิ่งประดิษฐ์ของ Regev ที่แสดงถึงค่าใน $\mathbb{T} \cong \mathbb{Z} / q\mathbb{Z} = \{0, 1/q, \dots, (q-1)/q\}$มากกว่าใน $\{0,1,\dots,q\}$ โดยตรง. ยังมีบางสิ่งที่ต้องพูดถึง:
ประการแรกฉันทามติที่ทันสมัยคือความแข็งของ $\mathsf{LWE}$ [1] การกระจายข้อผิดพลาดเฉพาะที่คุณใช้นั้นไม่สำคัญเท่าไหร่ โดยเฉพาะอย่างยิ่ง ค่าทั่วไป (เนื่องจากง่ายต่อการสุ่มตัวอย่าง) คือ "ทวินามกึ่งกลาง" หรือแม้แต่ค่าเดียวกันในช่วงที่กำหนด ตัวอย่างเช่น ดูผู้เข้ารอบสุดท้ายของ NIST PQC
แน่นอนว่าการแจกแจงเหล่านี้ที่เราใช้ไม่ได้สมเหตุสมผลเสมอไปจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย แล้วให้อะไร? เรา (พูดคร่าวๆ) มีสองทางเลือกในการเลือกพารามิเตอร์:
ถอดรหัส $\mathsf{SIVP}_\gamma$ โดยตรง ค้นหาพารามิเตอร์ที่ปลอดภัย แล้วดันผ่าน $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ ลดลง หรือ
ถอดรหัส $\mathsf{LWE}$ โดยตรงและเลือกพารามิเตอร์เหล่านั้น
ประการที่สองเป็นที่นิยมมากขึ้น โดยไกล. มีเหตุผลสองสามประการสำหรับสิ่งนี้:
การลดลง $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ คือ (เป็นรูปธรรม) ไม่ "แน่น" มากนัก โดยเฉพาะอย่างยิ่งมันนำไปสู่อัตราเงินเฟ้อที่สูงพอสมควร มีการกล่าวถึงในบางสถานที่ เช่น ดูที่ความหนาแน่น 2 อีกครั้ง. แน่นอนว่าสิ่งนี้มักจะเกิดขึ้นเมื่อใครก็ตามวิเคราะห์การพิสูจน์อย่างเป็นรูปธรรมในขั้นต้นโดยไม่สนใจค่าคงที่ มีติดตามผลงานมาบ้างเช่น นี้, นี้, และ นี้แต่ไม่มีอะไรหลักเกินไป ของการทำงาน ฉันได้ดูครั้งแรกเท่านั้น --- iirc ที่พบได้โดยการพองตัว $(n, \log_2 q, \sigma)$ ด้วยปัจจัยของ $\ประมาณ 2$ เมื่อเทียบกับสิ่งที่ผู้คนใช้ในทางปฏิบัติ คุณจะได้รับความปลอดภัยที่เป็นรูปธรรมจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย
ไม่ชัดเจนว่า (กรณีที่เลวร้ายที่สุด) การเข้ารหัส $\mathsf{SIVP}_\gamma$ ง่ายกว่าการเข้ารหัส (กรณีทั่วไป) $\mathsf{LWE}$. นี่เป็นเพียงเพราะไม่มีผู้สมัครที่ชัดเจนสำหรับกรณีเลวร้ายที่สุดของ $\mathsf{SIVP}_\gamma$! แน่นอนว่า เราสามารถใช้การวิเคราะห์กรณีเฉลี่ยเป็นขอบเขตล่างของการวิเคราะห์กรณีที่แย่ที่สุด แต่ทำไมกรณีเฉลี่ยจึงวิเคราะห์ปัญหาที่แตกต่างจากปัญหาที่คุณสนใจ
ทั้งหมดนี้เป็นการบอกว่า $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงคือ (ส่วนใหญ่) เห็นว่าระบุว่า $\mathsf{LWE}$ คือ (เชิงคุณภาพ) "การกระจายที่ถูกต้อง" ที่จะพิจารณา มีการกระจายของอินสแตนซ์แบบสุ่มที่คุณสามารถดูได้ และบางส่วนอาจ "อ่อนแอทางโครงสร้าง" (สำหรับตัวอย่างนี้ โปรดดูงานเกี่ยวกับ "อินสแตนซ์ Poly-LWE ที่อ่อนแอ" หรือ RSA ที่กำหนดโดยใช้การสุ่ม $n$จำนวนเต็ม -bit แทนที่จะสุ่ม $n$-bit semiprime จะเป็น "การแจกแจงที่ไม่ถูกต้อง" เพื่อใช้ด้วยเหตุผลทางโครงสร้าง) เดอะ $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงสามารถตีความได้ว่าเป็นการตรึงการกระจายเฉพาะสำหรับ $\mathsf{LWE}$ซึ่งเรานั้น เชิงปริมาณ ปรับพารามิเตอร์ผ่านการเข้ารหัส (โดยตรง)
[1] โปรดทราบว่าสำหรับลายเซ็น การกระจาย ทำ แต่นี่เป็นเพราะรายละเอียดการสร้าง/หลักฐานความปลอดภัยของลายเซ็น ไม่ใช่นามธรรมเพราะเราคิดว่า $\mathsf{LWE}$ เป็นเรื่องยากเมื่อคุณใช้ Gaussians แยกและไม่ปัดเศษ Gaussians / ตัวแปรสุ่มแบบเดียวกันหรืออะไรก็ตาม
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
