ฉันกำลังพยายามทำความเข้าใจฟังก์ชันสุ่มเทียมต่อไปนี้ซึ่งสร้างโดย Banerjee, Peikert และ Rosen ใน นี้ กระดาษโดยสมมติว่ามีความแข็งเท่ากับ LWE พิจารณาฟังก์ชันสุ่มเทียมตาม LWE/LWR ต่อไปนี้:
$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p,$$
ที่ไหน $A \in \mathbb{Z}_q^{m\times n}$ และแต่ละคน $S_i \in \mathbb{Z}_q^{n\times n}$.
ฉันมีคำถามเกี่ยวกับการก่อสร้างนี้
เพื่อหลีกเลี่ยงการโจมตีที่มีประสิทธิภาพ (ตามที่อธิบายไว้ในบทนำ) การกระจาย $\psi$ ควรเลือกให้เป็นสินค้าของหลายๆ $S_i \ลูกศรขวา \psi$ ไม่ลดเอนโทรปีของ \begin{equation} A\prod_{i =1}^k S_i. \end{สมการ}
ผลลัพธ์ของ $F$ เป็นเมทริกซ์เอนโทรปีของเมทริกซ์หมายถึงอะไร? และข้อความนี้ระบุว่า $F$ ฟังก์ชันหนึ่งต่อหนึ่งคืออะไร
ประการแรก มีการติดตามงาน BPR รวมถึงภาคปฏิบัติ ภปร และ พีอาร์จี. ที่นี่ "ปฏิบัติ" หมายถึง เร็วมาก --- ~5 รอบต่อไบต์ (และเล็กถึง ~3 สำหรับ PRG iirc) ซึ่งอยู่ในปัจจัย 10 ของ AES ที่ใช้ AES-NI มีข้อแม้บางประการเกี่ยวกับเรื่องนี้:
พารามิเตอร์ขนาดเล็กเหล่านี้ทำให้การสมมูล LWR/LWE ไม่เป็นที่ทราบกันว่ามี [1] อีกต่อไป และยิ่งไปกว่านั้น ไม่มีการลดลงที่มีความหมายใดๆ สำหรับปัญหา hard lattice ดังนั้น ความปลอดภัย/พารามิเตอร์จึงถูกเลือกอย่างชัดเจนโดยการวิเคราะห์การโจมตีที่รู้จักจำนวนหนึ่ง ดูเหมือนว่าจะเป็นที่สนใจของคุณ
- ความสัมพันธ์ระหว่าง k, n และ m คืออะไร? p และ q ต้องมีค่าเท่าใด
ขึ้นอยู่กับว่าอยากให้เป็นไหม ปลอดภัยแน่นอน หรือ ปลอดภัยแบบฮิวริสติก. เพื่อความปลอดภัยที่พิสูจน์ได้ ทฤษฎีบท 5.2 ของเอกสารที่คุณเชื่อมโยงดูเหมือนจะให้ความสัมพันธ์ที่คุณต้องการอย่างแม่นยำ สำหรับการรักษาความปลอดภัยแบบฮิวริสติก (โดยใช้พารามิเตอร์ที่เล็กลง) สิ่งที่เกี่ยวข้องที่ควรพิจารณาคือ:
แต่พวกมันไม่ได้ให้อสมการที่ดีอย่างที่คุณอาจต้องการ เพราะไม่รู้จักอสมการดังกล่าว แต่จะประเมินการโจมตีที่รู้จักจำนวนหนึ่งสำหรับตัวเลือกพารามิเตอร์เฉพาะ
- เวลาที่อัลกอริทึมที่รู้จักกันดีที่สุดใช้ในการทำลายความปลอดภัยของมาตราส่วนฟังก์ชันนี้ด้วย k, n และ m เป็นอย่างไร
ดูส่วนที่ 4 ของเอกสาร PRF และส่วนที่ 3 ของเอกสาร PRG ซึ่งมีการคำนวณที่เกี่ยวข้องหลายอย่าง
3.a ผลลัพธ์ของ F เป็นเมทริกซ์ เอนโทรปีของเมทริกซ์หมายถึงอะไร?
พูดอย่างเคร่งครัดไม่มีอะไร เอนโทรปีเป็นสมบัติของ การกระจายความน่าจะเป็นดังนั้นการอ้างสิทธิ์จะสมเหตุสมผลก็ต่อเมื่อมีผู้ดูเท่านั้น $F$ ไม่ใช่เมทริกซ์ แต่เป็นการกระจายตัวของเมทริกซ์ เพื่อให้เข้าใจว่าผู้เขียนหมายถึงอะไร $q = p_0 p_1$ เป็นกึ่งไพรม์ แล้วถ้า $A, S_1,\จุด S_k$ มีการกระจายเช่นนั้น (ด้วยความน่าจะเป็น 1):
แล้ว $F(A, S_1,\จุด, S_k) \equiv 0\bmod q$ อย่างต่อเนื่อง ดังนั้น PRF จะสามารถคาดเดาได้ ข้อจำกัดในการ $A, S_i$ กลับด้าน $\bmod q$ หยุดปัญหาเฉพาะ (ที่อาจเกิดขึ้น) นี้ (และอาจมากกว่านั้น)
3.b และข้อความนี้ระบุว่า F เป็นฟังก์ชันหนึ่งต่อหนึ่งหรือไม่
ไม่ แต่ก็ไม่คาดว่าจะเป็นพวกเราต้องการ $F$ แยกไม่ออกจากก ฟังก์ชั่นสุ่ม. โปรดทราบว่าฟังก์ชันสุ่มไม่ใช่ 1-1 (คุณสามารถหาปริมาณโดยใช้เทคนิคที่เรียกว่า "การสลับ PRP-PRF" แต่ไม่เกี่ยวข้องอย่างยิ่ง)
[1] โปรดทราบว่าสำหรับรูปแบบดั้งเดิมแบบขัดแตะที่ "ใช้งานได้จริง" ส่วนใหญ่ นี่เป็นกรณีอยู่แล้ว --- ตัวอย่างเช่น SABER ยึดหลักความปลอดภัยที่เป็นรูปธรรมของ MLWR โมดูลขนาดเล็ก แม้ว่าโมดูลัสของ $2^{13}\ประมาณ 8k$ เป็น มาก ใหญ่กว่าโมดูลาลีของ $q = 257$ ที่ PRF/PRG เหล่านี้ใช้ สิ่งนี้ค่อนข้างมีความเกี่ยวข้อง เนื่องจากมีการพูดคุยกันเมื่อเร็วๆ นี้ว่าโมดูล LWR ขนาดเล็กไม่ได้รับการเข้ารหัสเป็นอย่างดี ดู เธรดกลุ่ม Google NIST PQC นี้. ตั้งแต่เธรดนี้ใน ~เดือนธันวาคม ผู้คนได้ทำการทดลองบางอย่าง (และไม่พบสิ่งที่ไม่คาดคิด) แต่จากเธรด ดูเหมือนว่าผู้คนจะไม่ได้พยายามเข้ารหัส LWR โมดูลขนาดเล็กโดยตรงจนกว่าจะถึงหนึ่งหรือสองเดือนก่อน
มีสถานการณ์บางอย่างที่เราสามารถใช้พื้นฐาน LWR ที่ใช้งานได้จริงและได้รับความปลอดภัยที่พิสูจน์ได้จากปัญหาขัดแตะ แต่ "มาตรฐาน" เดียวที่ฉันรู้คือของ Sam Kim (คีย์โฮโมมอร์ฟิก) PRF แบบแลตทิซ. Hart Montgomery ยังมี LWR เวอร์ชันที่ไม่ได้มาตรฐาน เขาสามารถพิสูจน์ความปลอดภัยสำหรับ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
