Score:2

คำถามเกี่ยวกับการสร้างฟังก์ชันสุ่มเทียมของ Banerjee, Peikert และ Rosen

ธง sy

ฉันกำลังพยายามทำความเข้าใจฟังก์ชันสุ่มเทียมต่อไปนี้ซึ่งสร้างโดย Banerjee, Peikert และ Rosen ใน นี้ กระดาษโดยสมมติว่ามีความแข็งเท่ากับ LWE พิจารณาฟังก์ชันสุ่มเทียมตาม LWE/LWR ต่อไปนี้:

$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p,$$

ที่ไหน $A \in \mathbb{Z}_q^{m\times n}$ และแต่ละคน $S_i \in \mathbb{Z}_q^{n\times n}$.

ฉันมีคำถามเกี่ยวกับการก่อสร้างนี้

  1. มีความสัมพันธ์กันอย่างไร $k$, $n$ และ $m$? ใหญ่แค่ไหน $p$ และ $คิว$ ต้องเป็น?
  2. เวลาที่อัลกอริทึมที่รู้จักกันดีที่สุดจะทำลายความปลอดภัยของระดับฟังก์ชันนี้ด้วยเวลาเท่าใด $k$, $n$, และ $m$?
  3. ในกระดาษเชื่อมโยงหน้า 22 ได้กล่าวไว้ว่า

เพื่อหลีกเลี่ยงการโจมตีที่มีประสิทธิภาพ (ตามที่อธิบายไว้ในบทนำ) การกระจาย $\psi$ ควรเลือกให้เป็นสินค้าของหลายๆ $S_i \ลูกศรขวา \psi$ ไม่ลดเอนโทรปีของ \begin{equation} A\prod_{i =1}^k S_i. \end{สมการ}

ผลลัพธ์ของ $F$ เป็นเมทริกซ์เอนโทรปีของเมทริกซ์หมายถึงอะไร? และข้อความนี้ระบุว่า $F$ ฟังก์ชันหนึ่งต่อหนึ่งคืออะไร

Score:3
ธง ng

ประการแรก มีการติดตามงาน BPR รวมถึงภาคปฏิบัติ ภปร และ พีอาร์จี. ที่นี่ "ปฏิบัติ" หมายถึง เร็วมาก --- ~5 รอบต่อไบต์ (และเล็กถึง ~3 สำหรับ PRG iirc) ซึ่งอยู่ในปัจจัย 10 ของ AES ที่ใช้ AES-NI มีข้อแม้บางประการเกี่ยวกับเรื่องนี้:

  1. กุญแจมีขนาดใหญ่มาก
  2. ฉันเชื่อว่ามีการใช้คำแนะนำ AVX ดังนั้น บาง ใช้การเร่งด้วยฮาร์ดแวร์
  3. ขนาดเล็กมาก มีการเลือกพารามิเตอร์

พารามิเตอร์ขนาดเล็กเหล่านี้ทำให้การสมมูล LWR/LWE ไม่เป็นที่ทราบกันว่ามี [1] อีกต่อไป และยิ่งไปกว่านั้น ไม่มีการลดลงที่มีความหมายใดๆ สำหรับปัญหา hard lattice ดังนั้น ความปลอดภัย/พารามิเตอร์จึงถูกเลือกอย่างชัดเจนโดยการวิเคราะห์การโจมตีที่รู้จักจำนวนหนึ่ง ดูเหมือนว่าจะเป็นที่สนใจของคุณ

  1. ความสัมพันธ์ระหว่าง k, n และ m คืออะไร? p และ q ต้องมีค่าเท่าใด

ขึ้นอยู่กับว่าอยากให้เป็นไหม ปลอดภัยแน่นอน หรือ ปลอดภัยแบบฮิวริสติก. เพื่อความปลอดภัยที่พิสูจน์ได้ ทฤษฎีบท 5.2 ของเอกสารที่คุณเชื่อมโยงดูเหมือนจะให้ความสัมพันธ์ที่คุณต้องการอย่างแม่นยำ สำหรับการรักษาความปลอดภัยแบบฮิวริสติก (โดยใช้พารามิเตอร์ที่เล็กลง) สิ่งที่เกี่ยวข้องที่ควรพิจารณาคือ:

  • ส่วนที่ 4 ของเอกสาร PRF และ
  • ส่วนที่ 3 ของเอกสาร PRG

แต่พวกมันไม่ได้ให้อสมการที่ดีอย่างที่คุณอาจต้องการ เพราะไม่รู้จักอสมการดังกล่าว แต่จะประเมินการโจมตีที่รู้จักจำนวนหนึ่งสำหรับตัวเลือกพารามิเตอร์เฉพาะ

  1. เวลาที่อัลกอริทึมที่รู้จักกันดีที่สุดใช้ในการทำลายความปลอดภัยของมาตราส่วนฟังก์ชันนี้ด้วย k, n และ m เป็นอย่างไร

ดูส่วนที่ 4 ของเอกสาร PRF และส่วนที่ 3 ของเอกสาร PRG ซึ่งมีการคำนวณที่เกี่ยวข้องหลายอย่าง

3.a ผลลัพธ์ของ F เป็นเมทริกซ์ เอนโทรปีของเมทริกซ์หมายถึงอะไร?

พูดอย่างเคร่งครัดไม่มีอะไร เอนโทรปีเป็นสมบัติของ การกระจายความน่าจะเป็นดังนั้นการอ้างสิทธิ์จะสมเหตุสมผลก็ต่อเมื่อมีผู้ดูเท่านั้น $F$ ไม่ใช่เมทริกซ์ แต่เป็นการกระจายตัวของเมทริกซ์ เพื่อให้เข้าใจว่าผู้เขียนหมายถึงอะไร $q = p_0 p_1$ เป็นกึ่งไพรม์ แล้วถ้า $A, S_1,\จุด S_k$ มีการกระจายเช่นนั้น (ด้วยความน่าจะเป็น 1):

  1. $A\bmod p_0 \equiv 0$, และ
  2. $S_i\bmod p_1\equiv 0$ สำหรับทุกอย่าง $i$,

แล้ว $F(A, S_1,\จุด, S_k) \equiv 0\bmod q$ อย่างต่อเนื่อง ดังนั้น PRF จะสามารถคาดเดาได้ ข้อจำกัดในการ $A, S_i$ กลับด้าน $\bmod q$ หยุดปัญหาเฉพาะ (ที่อาจเกิดขึ้น) นี้ (และอาจมากกว่านั้น)

3.b และข้อความนี้ระบุว่า F เป็นฟังก์ชันหนึ่งต่อหนึ่งหรือไม่

ไม่ แต่ก็ไม่คาดว่าจะเป็นพวกเราต้องการ $F$ แยกไม่ออกจากก ฟังก์ชั่นสุ่ม. โปรดทราบว่าฟังก์ชันสุ่มไม่ใช่ 1-1 (คุณสามารถหาปริมาณโดยใช้เทคนิคที่เรียกว่า "การสลับ PRP-PRF" แต่ไม่เกี่ยวข้องอย่างยิ่ง)


[1] โปรดทราบว่าสำหรับรูปแบบดั้งเดิมแบบขัดแตะที่ "ใช้งานได้จริง" ส่วนใหญ่ นี่เป็นกรณีอยู่แล้ว --- ตัวอย่างเช่น SABER ยึดหลักความปลอดภัยที่เป็นรูปธรรมของ MLWR โมดูลขนาดเล็ก แม้ว่าโมดูลัสของ $2^{13}\ประมาณ 8k$ เป็น มาก ใหญ่กว่าโมดูลาลีของ $q = 257$ ที่ PRF/PRG เหล่านี้ใช้ สิ่งนี้ค่อนข้างมีความเกี่ยวข้อง เนื่องจากมีการพูดคุยกันเมื่อเร็วๆ นี้ว่าโมดูล LWR ขนาดเล็กไม่ได้รับการเข้ารหัสเป็นอย่างดี ดู เธรดกลุ่ม Google NIST PQC นี้. ตั้งแต่เธรดนี้ใน ~เดือนธันวาคม ผู้คนได้ทำการทดลองบางอย่าง (และไม่พบสิ่งที่ไม่คาดคิด) แต่จากเธรด ดูเหมือนว่าผู้คนจะไม่ได้พยายามเข้ารหัส LWR โมดูลขนาดเล็กโดยตรงจนกว่าจะถึงหนึ่งหรือสองเดือนก่อน

มีสถานการณ์บางอย่างที่เราสามารถใช้พื้นฐาน LWR ที่ใช้งานได้จริงและได้รับความปลอดภัยที่พิสูจน์ได้จากปัญหาขัดแตะ แต่ "มาตรฐาน" เดียวที่ฉันรู้คือของ Sam Kim (คีย์โฮโมมอร์ฟิก) PRF แบบแลตทิซ. Hart Montgomery ยังมี LWR เวอร์ชันที่ไม่ได้มาตรฐาน เขาสามารถพิสูจน์ความปลอดภัยสำหรับ

BlackHat18 avatar
sy flag
เอนโทรปีของฟังก์ชัน $F$ เป็นเท่าใด หากไม่ใช่ค่าสูงสุด คุณมีสัญชาตญาณหรือไม่?
Mark avatar
ng flag
@ BlackHat18 สัญชาตญาณคือมันควรจะสูง ถ้าจำกัดอย่างเหมาะสม (เช่น $S_i$'s กลับด้านได้) หากมีการกระจาย "ตามธรรมชาติ" เหนือ $S_i$ จนทำให้ค่าเอนโทรปีต่ำอย่างคาดไม่ถึง มันจะนำไปสู่การโจมตี แน่นอนว่านี่ไม่ใช่เรื่องที่เป็นไปไม่ได้ แต่ขณะนี้ยังไม่ทราบว่าต้องทำอย่างไร และจะคุ้มค่าที่จะเขียนมันขึ้นมา
Chris Peikert avatar
in flag
ตอบโจทย์ได้ดีเยี่ยม! เกร็ดเล็กเกร็ดน้อย: การเชื่อมต่อ âLWE/LWEâ ไม่ใช่ âequivalenceâ เพราะมันไม่ได้ไปทั้งสองทาง อย่างน้อยที่สุดก็ไม่สูญเสียพารามิเตอร์อย่างมากในการไป-กลับ และ âลด *เป็น* ปัญหาขัดแตะยากควรเป็น *จาก* แน่นอนว่าเรามีการลดปัญหาแลตทิซ โดยเราสามารถทำลาย PRF/PRG ได้โดยใช้ออราเคิลแก้แลตทิซ (ที่แข็งแกร่งมาก)
Chris Peikert avatar
in flag
พิมพ์ผิด: *LWR*/LWE equivalence

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา