ฉันคิดว่านี่เป็นเพียงสิ่งประดิษฐ์ของ Regev ที่แสดงถึงค่าใน $\mathbb{T} \cong \mathbb{Z} / q\mathbb{Z} = \{0, 1/q, \dots, (q-1)/q\}$มากกว่าใน $\{0,1,\dots,q\}$ โดยตรง.
ยังมีบางสิ่งที่ต้องพูดถึง:
ประการแรกฉันทามติที่ทันสมัยคือความแข็งของ $\mathsf{LWE}$ [1] การกระจายข้อผิดพลาดเฉพาะที่คุณใช้นั้นไม่สำคัญเท่าไหร่ โดยเฉพาะอย่างยิ่ง ค่าทั่วไป (เนื่องจากง่ายต่อการสุ่มตัวอย่าง) คือ "ทวินามกึ่งกลาง" หรือแม้แต่ค่าเดียวกันในช่วงที่กำหนด ตัวอย่างเช่น ดูผู้เข้ารอบสุดท้ายของ NIST PQC
แน่นอนว่าการแจกแจงเหล่านี้ที่เราใช้ไม่ได้สมเหตุสมผลเสมอไปจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย แล้วให้อะไร? เรา (พูดคร่าวๆ) มีสองทางเลือกในการเลือกพารามิเตอร์:
ถอดรหัส $\mathsf{SIVP}_\gamma$ โดยตรง ค้นหาพารามิเตอร์ที่ปลอดภัย แล้วดันผ่าน $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ ลดลง หรือ
ถอดรหัส $\mathsf{LWE}$ โดยตรงและเลือกพารามิเตอร์เหล่านั้น
ประการที่สองเป็นที่นิยมมากขึ้น โดยไกล. มีเหตุผลสองสามประการสำหรับสิ่งนี้:
การลดลง $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ คือ (เป็นรูปธรรม) ไม่ "แน่น" มากนัก โดยเฉพาะอย่างยิ่งมันนำไปสู่อัตราเงินเฟ้อที่สูงพอสมควร มีการกล่าวถึงในบางสถานที่ เช่น ดูที่ความหนาแน่น 2 อีกครั้ง. แน่นอนว่าสิ่งนี้มักจะเกิดขึ้นเมื่อใครก็ตามวิเคราะห์การพิสูจน์อย่างเป็นรูปธรรมในขั้นต้นโดยไม่สนใจค่าคงที่ มีติดตามผลงานมาบ้างเช่น นี้, นี้, และ นี้แต่ไม่มีอะไรหลักเกินไป ของการทำงาน ฉันได้ดูครั้งแรกเท่านั้น --- iirc ที่พบได้โดยการพองตัว $(n, \log_2 q, \sigma)$ ด้วยปัจจัยของ $\ประมาณ 2$ เมื่อเทียบกับสิ่งที่ผู้คนใช้ในทางปฏิบัติ คุณจะได้รับความปลอดภัยที่เป็นรูปธรรมจากการลดกรณีเลวร้ายที่สุดไปจนถึงกรณีเฉลี่ย
ไม่ชัดเจนว่า (กรณีที่เลวร้ายที่สุด) การเข้ารหัส $\mathsf{SIVP}_\gamma$ ง่ายกว่าการเข้ารหัส (กรณีทั่วไป) $\mathsf{LWE}$. นี่เป็นเพียงเพราะไม่มีผู้สมัครที่ชัดเจนสำหรับกรณีเลวร้ายที่สุดของ $\mathsf{SIVP}_\gamma$! แน่นอนว่า เราสามารถใช้การวิเคราะห์กรณีเฉลี่ยเป็นขอบเขตล่างของการวิเคราะห์กรณีที่แย่ที่สุด แต่ทำไมกรณีเฉลี่ยจึงวิเคราะห์ปัญหาที่แตกต่างจากปัญหาที่คุณสนใจ
ทั้งหมดนี้เป็นการบอกว่า $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงคือ (ส่วนใหญ่) เห็นว่าระบุว่า $\mathsf{LWE}$ คือ (เชิงคุณภาพ) "การกระจายที่ถูกต้อง" ที่จะพิจารณา มีการกระจายของอินสแตนซ์แบบสุ่มที่คุณสามารถดูได้ และบางส่วนอาจ "อ่อนแอทางโครงสร้าง" (สำหรับตัวอย่างนี้ โปรดดูงานเกี่ยวกับ "อินสแตนซ์ Poly-LWE ที่อ่อนแอ" หรือ RSA ที่กำหนดโดยใช้การสุ่ม $n$จำนวนเต็ม -bit แทนที่จะสุ่ม $n$-bit semiprime จะเป็น "การแจกแจงที่ไม่ถูกต้อง" เพื่อใช้ด้วยเหตุผลทางโครงสร้าง) เดอะ $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ การลดลงสามารถตีความได้ว่าเป็นการตรึงการกระจายเฉพาะสำหรับ $\mathsf{LWE}$ซึ่งเรานั้น เชิงปริมาณ ปรับพารามิเตอร์ผ่านการเข้ารหัส (โดยตรง)
[1] โปรดทราบว่าสำหรับลายเซ็น การกระจาย ทำ แต่นี่เป็นเพราะรายละเอียดการสร้าง/หลักฐานความปลอดภัยของลายเซ็น ไม่ใช่นามธรรมเพราะเราคิดว่า $\mathsf{LWE}$ เป็นเรื่องยากเมื่อคุณใช้ Gaussians แยกและไม่ปัดเศษ Gaussians / ตัวแปรสุ่มแบบเดียวกันหรืออะไรก็ตาม