จะพิสูจน์การลดลงจากการตัดสินใจเลือก LWE ได้อย่างไร

zxcv

6/7/23 09:16

ฉันยังใหม่กับการเข้ารหัสและพยายามเข้าใจแนวคิดของ LWE (การเรียนรู้จากข้อผิดพลาด) อย่างเป็นทางการ ฉันจะระบุความเข้าใจของฉันเกี่ยวกับคำจำกัดความซึ่งอาจไม่ถูกต้อง

คำจำกัดความตามความเข้าใจของฉัน

อนุญาต $R$ เป็นวงแหวนการสับเปลี่ยนหน่วยที่มีจำกัดซึ่งมีความน่าจะเป็น $\mu$ (ของใคร $\sigma$-พีชคณิตไม่ต่อเนื่อง) $R$ กล่าวเพื่อตอบสนองความ สมมติฐาน LWE ของการค้นหาในกรณีที่เลวร้ายที่สุด ถ้าสำหรับพหุนามทั้งหมด $n$ และอัลกอริธึมสุ่มพหุนาม-เวลาทั้งหมด $S$, แผนที่ \begin{สมการ} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{สมการ} ที่ไหน \begin{สมการ} p(m,s) = \Pr\{(A,e)\in R^{m\times n(m)} \times R^{n(m)}: S (-sA+e,A)= s\}\ข้อความ{,} \end{สมการ} เป็นเรื่องเล็กน้อย ในสมการข้างต้น $A$ สุ่มตัวอย่างจากความน่าจะเป็นแบบเดียวกัน และ $e$ สุ่มตัวอย่างจากความน่าจะเป็นของผลิตภัณฑ์ $\mu^{n(ม)}$.

$R$ กล่าวเพื่อตอบสนองความ การตัดสินใจในกรณีที่เลวร้ายที่สุด สมมติฐาน LWE ถ้าสำหรับพหุนามทั้งหมด $n$ และอัลกอริธึมสุ่มพหุนาม-เวลาทั้งหมด $D$, แผนที่ \begin{สมการ} m\mapsto \min_{s\in R^m} |p_1(m,s)-p_2(m)|\text{,} \end{สมการ} ที่ไหน \begin{สมการ} \begin{แยก} p_1(m,s) &= \Pr\{(A,e)\in R^{m\times n(m)}\times R^{n(m)}: D (-sA+e,A) =1\},\ p_2(m) &= \Pr\{(b,A)\in R^{n(m)}\times R^{m\times n(m)}\times: D (b,A)=1\ }\ข้อความ{,} \end{แยก} \end{สมการ} เป็นเรื่องเล็กน้อย ในสมการข้างต้น $A$ และ $ข$ มีการสุ่มตัวอย่างจากความน่าจะเป็นแบบเดียวกัน และ $e$ สุ่มตัวอย่างจากความน่าจะเป็นของผลิตภัณฑ์ $\mu^{n(ม)}$.

คำถาม

ฉันพิสูจน์แล้วว่าหาก $R$ เป็นเขตข้อมูลจำกัดที่มีความน่าจะเป็น $\mu$ (ของใคร $\sigma$-พีชคณิตไม่ต่อเนื่อง) และถ้า $R$ เป็นไปตามสมมติฐานการค้นหา LWE กรณีที่เลวร้ายที่สุด $R$ ยังเป็นไปตามข้อสันนิษฐาน LWE ของการตัดสินใจในกรณีที่เลวร้ายที่สุด แต่จะพิสูจน์การสนทนาได้อย่างไร? วรรณกรรมทั้งหมดที่ฉันเคยเห็นบอกเพียงว่ามันเป็นเรื่องเล็กน้อย แต่ฉันไม่สามารถพิสูจน์ได้ ให้ชัดเจนยิ่งขึ้น ฉันต้องการหลักฐานของข้อความต่อไปนี้:

ถ้า $R$ เป็นวงแหวนการสับเปลี่ยนหน่วยจำกัดที่มีความน่าจะเป็น $\mu$ (ของใคร $\sigma$-พีชคณิตไม่ต่อเนื่อง) และถ้า $R$ เป็นไปตามข้อสันนิษฐาน LWE ของการตัดสินใจในกรณีที่เลวร้ายที่สุด $R$ ยังเป็นไปตามสมมติฐานการค้นหา LWE กรณีที่แย่ที่สุด

ความพยายามของฉัน

สมมติว่า $R$ เป็นไปตามข้อสันนิษฐาน LWE ของการตัดสินใจในกรณีที่เลวร้ายที่สุด อนุญาต $n$ เป็นพหุนามและปล่อยให้ $S$ เป็นอัลกอริทึมแบบสุ่มเวลาพหุนาม (ซึ่งอินพุตเป็นองค์ประกอบใน $R^{n(m)}\times R^{m\times n(m)}$ และผลลัพธ์ของใครเป็นองค์ประกอบใน $R^m$). เราต้องแสดงแผนที่นั้น \begin{สมการ} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{สมการ} ที่ไหน $p(m,s)$ กำหนดไว้ข้างต้นเล็กน้อย ได้รับอินพุต $(b,A)\in R^{n(m)}\times R^{m\times n(m)}$ ที่ไหน $b=-sA+e$, $S$ จะกลับมาคาดเดา $g\in R^m$ ที่อาจหรือไม่เท่ากับก็ได้ $s$. สามารถคำนวณได้ $b+gA$ และแสดงโดย $e'$. ถ้า $g=s$, แล้ว $e'=e$. ถ้า $ก\neq ส$, แล้ว $e'=e$ อาจจะถือหรือไม่ถือก็ได้ฉันไม่รู้ว่าจะทำอย่างไรตอนนี้

0 + 0

ฉัน

Score:1

Crypto

Mark

6/7/23 17:30

เนื่องจากคุณเกือบจะได้คำตอบที่ถูกต้องแล้ว เราจึงไม่ให้คำตอบที่ถูกต้องแก่คุณ แต่จะให้คำอธิบายเชิงคุณภาพของขั้นตอนสุดท้ายที่คุณต้องทำแทน

ขึ้นอยู่กับการกระจายข้อผิดพลาดที่แม่นยำที่เราเลือก $e$ จากการแจกแจง LWE $(ก, ส + จ)$ สามารถเป็นได้ทั้ง:

การกระจายแบบสม่ำเสมอทุกประการ (พูดว่า ถ้า $e$ เป็นการสุ่มแบบสม่ำเสมอ)
แยกแยะความแตกต่างจากเครื่องแบบ (พูด if $e$ ได้รับการสนับสนุนบน $\{0\}$), หรือ
(คิดว่าจะ) แยกไม่ออกจากเครื่องแบบโดยคำนวณ (ถ้า $e$ เป็น "ขอบเขต" --- คุณสามารถดูได้อย่างชัดเจนว่าหมายถึงการมี i.i.d. พิกัด Gaussian ของพารามิเตอร์ $\ประมาณ n$).

ทั้งสามกรณีนี้มีประโยชน์ในการจดจำเมื่อพิจารณาตัวแปรสุ่ม $(ก, สะ+จ)$. โปรดทราบว่า (สำหรับ fixed $A$) แผนที่ $s\mapsto sA$ กำหนดตาข่าย ปัญหา LWE ในการตัดสินใจคือ (คร่าวๆ) เกี่ยวกับการตรวจจับโครงสร้างขัดแตะนี้ ตัวอย่างเช่น

ในกรณีแรก $sA+e$ เป็นเครื่องแบบมากกว่า $R$, เช่น. ข้อผิดพลาด $e$ "ล้าง" โครงสร้างตาข่ายใด ๆ (ข้อมูลในทางทฤษฎี)
ในกรณีที่สอง $sA$ เป็นจุดในโครงตาข่าย และมีวิธีที่มีประสิทธิภาพในการทดสอบการเป็นสมาชิกของจุดตัวเลือกบางจุด $b = sA$ ในตาข่ายในกรณีนี้และ
ในกรณีที่สาม $sA$ เป็นจุดรบกวนของโครงตาข่าย และเป็นไปได้ยากที่จะตัดสินว่าคุณ "ใกล้" กับโครงตาข่าย

ทั้งหมดนี้เป็นการบอกว่าคำถามของคุณมี มาก คำตอบที่แตกต่างกันขึ้นอยู่กับลักษณะเฉพาะของการกระจายข้อผิดพลาด ดังนั้นการกระจายข้อผิดพลาดจึงต้องคำนึงถึงคำตอบของคุณด้วย สำหรับคำใบ้ว่าจะเป็นอย่างไรคุณพูด

ถ้า $ก\neq ส$, แล้ว $eâ²=e$ อาจจะถือหรือไม่ถือก็ได้ ฉันไม่รู้ว่าจะทำอย่างไรตอนนี้

เมื่อไร $ก\neq ส$, แล้ว $b + gA = (g-s)A+e$. พูดประมาณว่า สิ่งที่คุณทำต่อไปคือการโต้แย้งว่ามันไม่น่าเป็นไปได้สำหรับ $(ก-ส)ก+จ$ ที่จะดึงมาจากการกระจายข้อผิดพลาด นี้เป็นเพราะ

การกระจายข้อผิดพลาดจะกระจุกตัวอยู่ที่ศูนย์ (หรืออาจมีขอบเขต) เช่น องค์ประกอบใด ๆ ของการกระจายข้อผิดพลาดจะมี $|จ|$ "เล็ก" และ
เมื่อไร $ก\neq ส$, $(ก-ส)A$ จะมากกว่า $\lambda_1(\mathcal{L}(A))$, เวกเตอร์ที่สั้นที่สุดของแลตทิซ $\mathcal{L}(A)$. สำหรับการสุ่ม $A$ซึ่งโดยปกติจะเป็น "ขนาดใหญ่"

ดูเหมือนว่าจะเป็นไปได้ว่าคุณสามารถกำหนดพารามิเตอร์เชิงปริมาณได้โดยใช้เวอร์ชันเชิงปริมาณของสองข้อความข้างต้น ซึ่งไม่น่าเป็นไปได้ที่ $ก\neq ส$>

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to prove reduction from decision to seach LWE?

TH: จะพิสูจน์การลดลงจากการตัดสินใจเลือก LWE ได้อย่างไร

RO: Cum demonstrez reducerea de la decizie la căutarea LWE?

RU: Как доказать отстранение от решения об розыске LWE?

VI: Làm thế nào để chứng minh giảm từ quyết định tìm kiếm LWE?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา