พิจารณาสูตรของ LWE ที่เราได้รับเช่นกัน $(x,S x+e)$ หรือ $(x,u)$ --- ที่ไหน $S$ เป็น $m \คูณ n$ เมทริกซ์ลับ / ซ่อนเร้น $x$ เป็นการสุ่มตัวอย่าง $n \คูณ 1$ เวกเตอร์, $e$ เป็น $m \คูณ 1$ เวกเตอร์ข้อผิดพลาด Gaussian และ $u$ เป็นตัวอย่างสุ่มแบบสม่ำเสมอ --- และบอกให้แยกแยะระหว่างสองกรณีนี้ สิ่งนี้น่าจะยากสำหรับอัลกอริธึมแบบคลาสสิก ตามโพสต์ ที่นี่. เรียกปัญหานี้ว่า "reverse-LWE"
ฉันมีคำถามสองสามข้อเกี่ยวกับการตั้งค่า
เป็นปัญหาที่แตกต่างยากโดยไม่ต้อง $e$?
โปรดทราบว่าในมาตรฐาน LWE เมื่อเราได้รับ $(ก,ก+จ)$ หรือ $(x,u)$และบอกให้แยกความแตกต่างระหว่างทั้งสองกรณี ปัญหาจะง่าย โดยไม่มีข้อผิดพลาด เราแค่แก้ระบบสมการเชิงเส้นเพื่อให้ได้ $n$ รายการของ $s$.
อย่างไรก็ตามที่นี่เราต้องค้นหา $m \คูณ n$ รายการเมทริกซ์ลับของเรา $S$. ฉันไม่เห็นวิธีการทำเช่นนั้นด้วย $m$ สมการ
พิจารณาความแตกต่างของปัญหาที่เราได้รับ $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$
$$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$
และบอกให้แยกแยะระหว่างทั้งสองกรณี เรียกปัญหานี้ว่า "ย้อนกลับ LWE ด้วยความลับซ้ำๆ" $k$ มีขนาดใหญ่เป็นพหุนามใน $n$. ปัญหานี้ยากไหม?
โปรดทราบว่าอาร์กิวเมนต์แบบผสม (เช่นเดียวกับที่ใช้ในคำตอบข้อใดข้อหนึ่ง ที่นี่) แสดงว่าปัญหายังคงยากอยู่ นี่คือไฮบริด $H_i$:
$$H_i = \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_i, Sx_i + e_i), (x_{i+1}, u_{i+1}) \ldots , (x_{k}, u_{k}) \} .$$
จึงมีทางตรงที่จะสรุปได้ว่า ถ้าเราแก้ "reverse LWE ด้วยความลับซ้ำๆ" เราจะสามารถแก้ reverse LWE ได้ เนื่องจากการย้อนกลับ LWE นั้นยาก ปัญหาของเราก็ควรจะยากเช่นกัน
อย่างไรก็ตาม ฉันมีปัญหาในการคาดคะเนข้อเท็จจริงนี้
โปรดทราบว่าหากเราไม่มีคำที่ใช้แสดงข้อผิดพลาด มีวิธีง่ายๆ ในการแยกแยะระหว่างสองกรณี เช่น $k \geq n+1$. โปรดทราบว่าสามารถมีได้เท่านั้น $n$ อิสระเชิงเส้น $x_i$-s. ดังนั้นความแตกต่างเพียงแค่มองหา $n$ แตกต่าง $x_i$-s ในตัวอย่างที่กำหนด ให้บันทึกตำแหน่งเมทริกซ์ $S$ นำเวกเตอร์เหล่านี้ไปหา และสำหรับ $n+1^{\text{th}}$ ตัวอย่างที่แตกต่างกัน ใช้ความเป็นเชิงเส้นเพื่อคำนวณตำแหน่งก่อน $S$ เอาไปตรวจสอบดูว่าตรงกับที่ให้ไปหรือเปล่า
เหตุใดเงื่อนไขข้อผิดพลาดจึงทำให้ตัวแยกความแตกต่างนี้ล้มเหลว แม้จะมีข้อผิดพลาด Gaussian เนื่องจากการพึ่งพาเชิงเส้นก็ไม่ควร $n+1^{\text{th}}$ ตัวอย่างที่แตกต่างกันมีความเข้มข้นเพียงพอกับค่าบางอย่างเพื่อให้ตัวแยกความแตกต่างของฉันประสบความสำเร็จหรือไม่
ปัญหาการแยกแยะด้วยตัวอย่างเดียว $x$ เป็นไปไม่ได้
นี่เป็นเพราะสำหรับสิ่งที่ไม่เป็นศูนย์ $x$ และอื่น ๆ $u$ มีอยู่แล้ว $S$ ดังนั้น $Sx=u$.
กทพ. 20220405:
สำหรับคำถามที่กว้างขึ้นของการแยกแยะ $(\mathbf x_i,S\mathbf x_i+\mathbf e_i)$ จาก $(\mathbf x_i,u_i)$ ด้วยไม่รู้จัก $S$เราสามารถเขียน $X_{i,j}$ สำหรับ $m\ครั้ง m$ เมทริกซ์แนวทแยงที่มีค่าทแยงมุมของ $เจ$รายการที่ $\mathbf x_i$. จากนั้นแถวของ $mn\times km$ เมทริกซ์ $$\left[\begin{matrix} X_{1,1} & X_{2,1} & X_{3,1} &\ldots & X_{k,1}\ X_{1,2} & X_{2,2} & X_{3,2} &\ldots & X_{k,2}\ \vdots & \vdots & \vdots & & \vdots\X_{1,n} & X_{2,n} & X_{3,n} &\ldots & X_{k,n}\end{เมทริกซ์ }\right]$$ สร้างโครงตาข่ายโดยที่เวกเตอร์ $((S\mathbf x_1+\mathbf e_1)^T,(S\mathbf x_2+\mathbf e_2)^T,(S\mathbf x_3+\mathbf e_3)^T,\ldots,(S\mathbf x_k+\mathbf e_k) ^T)$ เป็นเวกเตอร์ปิด (เวกเตอร์ผลต่างมีส่วนประกอบที่เป็นรายการของ $\mathbf e_i$). สำหรับขนาดใหญ่ $k$, เวกเตอร์ที่ปิดนี้ไม่น่าจะเกิดจากการแจกแจงแบบสม่ำเสมอ สิ่งนี้บอกเราว่ามีข้อมูลสำหรับตัวแยกความแตกต่างอยู่เท่านั้น การหาเวกเตอร์ที่ใกล้เคียงกันนั้นจะเป็นเรื่องยากมากในการคำนวณ $n$ เพิ่มขึ้นและความแปรปรวนของการแจกแจงแบบเกาส์เซียนก็เพิ่มขึ้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
