ประการแรก มีการติดตามงาน BPR รวมถึงภาคปฏิบัติ ภปร และ พีอาร์จี. ที่นี่ "ปฏิบัติ" หมายถึง เร็วมาก --- ~5 รอบต่อไบต์ (และเล็กถึง ~3 สำหรับ PRG iirc) ซึ่งอยู่ในปัจจัย 10 ของ AES ที่ใช้ AES-NI มีข้อแม้บางประการเกี่ยวกับเรื่องนี้:
- กุญแจมีขนาดใหญ่มาก
- ฉันเชื่อว่ามีการใช้คำแนะนำ AVX ดังนั้น บาง ใช้การเร่งด้วยฮาร์ดแวร์
- ขนาดเล็กมาก มีการเลือกพารามิเตอร์
พารามิเตอร์ขนาดเล็กเหล่านี้ทำให้การสมมูล LWR/LWE ไม่เป็นที่ทราบกันว่ามี [1] อีกต่อไป และยิ่งไปกว่านั้น ไม่มีการลดลงที่มีความหมายใดๆ สำหรับปัญหา hard lattice ดังนั้น ความปลอดภัย/พารามิเตอร์จึงถูกเลือกอย่างชัดเจนโดยการวิเคราะห์การโจมตีที่รู้จักจำนวนหนึ่ง ดูเหมือนว่าจะเป็นที่สนใจของคุณ
- ความสัมพันธ์ระหว่าง k, n และ m คืออะไร? p และ q ต้องมีค่าเท่าใด
ขึ้นอยู่กับว่าอยากให้เป็นไหม ปลอดภัยแน่นอน หรือ ปลอดภัยแบบฮิวริสติก. เพื่อความปลอดภัยที่พิสูจน์ได้ ทฤษฎีบท 5.2 ของเอกสารที่คุณเชื่อมโยงดูเหมือนจะให้ความสัมพันธ์ที่คุณต้องการอย่างแม่นยำ สำหรับการรักษาความปลอดภัยแบบฮิวริสติก (โดยใช้พารามิเตอร์ที่เล็กลง) สิ่งที่เกี่ยวข้องที่ควรพิจารณาคือ:
- ส่วนที่ 4 ของเอกสาร PRF และ
- ส่วนที่ 3 ของเอกสาร PRG
แต่พวกมันไม่ได้ให้อสมการที่ดีอย่างที่คุณอาจต้องการ เพราะไม่รู้จักอสมการดังกล่าว
แต่จะประเมินการโจมตีที่รู้จักจำนวนหนึ่งสำหรับตัวเลือกพารามิเตอร์เฉพาะ
- เวลาที่อัลกอริทึมที่รู้จักกันดีที่สุดใช้ในการทำลายความปลอดภัยของมาตราส่วนฟังก์ชันนี้ด้วย k, n และ m เป็นอย่างไร
ดูส่วนที่ 4 ของเอกสาร PRF และส่วนที่ 3 ของเอกสาร PRG ซึ่งมีการคำนวณที่เกี่ยวข้องหลายอย่าง
3.a ผลลัพธ์ของ F เป็นเมทริกซ์ เอนโทรปีของเมทริกซ์หมายถึงอะไร?
พูดอย่างเคร่งครัดไม่มีอะไร เอนโทรปีเป็นสมบัติของ การกระจายความน่าจะเป็นดังนั้นการอ้างสิทธิ์จะสมเหตุสมผลก็ต่อเมื่อมีผู้ดูเท่านั้น $F$ ไม่ใช่เมทริกซ์ แต่เป็นการกระจายตัวของเมทริกซ์ เพื่อให้เข้าใจว่าผู้เขียนหมายถึงอะไร $q = p_0 p_1$ เป็นกึ่งไพรม์
แล้วถ้า $A, S_1,\จุด S_k$ มีการกระจายเช่นนั้น (ด้วยความน่าจะเป็น 1):
- $A\bmod p_0 \equiv 0$, และ
- $S_i\bmod p_1\equiv 0$ สำหรับทุกอย่าง $i$,
แล้ว $F(A, S_1,\จุด, S_k) \equiv 0\bmod q$ อย่างต่อเนื่อง ดังนั้น PRF จะสามารถคาดเดาได้ ข้อจำกัดในการ $A, S_i$ กลับด้าน $\bmod q$ หยุดปัญหาเฉพาะ (ที่อาจเกิดขึ้น) นี้ (และอาจมากกว่านั้น)
3.b และข้อความนี้ระบุว่า F เป็นฟังก์ชันหนึ่งต่อหนึ่งหรือไม่
ไม่ แต่ก็ไม่คาดว่าจะเป็นพวกเราต้องการ $F$ แยกไม่ออกจากก ฟังก์ชั่นสุ่ม. โปรดทราบว่าฟังก์ชันสุ่มไม่ใช่ 1-1 (คุณสามารถหาปริมาณโดยใช้เทคนิคที่เรียกว่า "การสลับ PRP-PRF" แต่ไม่เกี่ยวข้องอย่างยิ่ง)
[1] โปรดทราบว่าสำหรับรูปแบบดั้งเดิมแบบขัดแตะที่ "ใช้งานได้จริง" ส่วนใหญ่ นี่เป็นกรณีอยู่แล้ว --- ตัวอย่างเช่น SABER ยึดหลักความปลอดภัยที่เป็นรูปธรรมของ MLWR โมดูลขนาดเล็ก แม้ว่าโมดูลัสของ $2^{13}\ประมาณ 8k$ เป็น มาก ใหญ่กว่าโมดูลาลีของ $q = 257$ ที่ PRF/PRG เหล่านี้ใช้ สิ่งนี้ค่อนข้างมีความเกี่ยวข้อง เนื่องจากมีการพูดคุยกันเมื่อเร็วๆ นี้ว่าโมดูล LWR ขนาดเล็กไม่ได้รับการเข้ารหัสเป็นอย่างดี ดู เธรดกลุ่ม Google NIST PQC นี้. ตั้งแต่เธรดนี้ใน ~เดือนธันวาคม ผู้คนได้ทำการทดลองบางอย่าง (และไม่พบสิ่งที่ไม่คาดคิด) แต่จากเธรด ดูเหมือนว่าผู้คนจะไม่ได้พยายามเข้ารหัส LWR โมดูลขนาดเล็กโดยตรงจนกว่าจะถึงหนึ่งหรือสองเดือนก่อน
มีสถานการณ์บางอย่างที่เราสามารถใช้พื้นฐาน LWR ที่ใช้งานได้จริงและได้รับความปลอดภัยที่พิสูจน์ได้จากปัญหาขัดแตะ แต่ "มาตรฐาน" เดียวที่ฉันรู้คือของ Sam Kim (คีย์โฮโมมอร์ฟิก) PRF แบบแลตทิซ. Hart Montgomery ยังมี LWR เวอร์ชันที่ไม่ได้มาตรฐาน เขาสามารถพิสูจน์ความปลอดภัยสำหรับ