Score:1

ความสัมพันธ์ระหว่างผลหารข้อความรหัสและระดับพหุนามใน RLWE คืออะไร

ธง es

ในปัญหา Ring Learning with Errors ขนาดของผลหารข้อความไซเฟอร์ $คิว$ กำหนดขนาดของดีกรีพหุนาม $n$ หรือในทางกลับกัน กล่าวอีกนัยหนึ่ง ปัญหา rlwe นั้นยากก็ต่อเมื่อมีการตั้งค่าระดับพหุนามเมื่อเทียบกับผลหาร อย่างไรก็ตาม ฉันไม่แน่ใจว่าค่าของพารามิเตอร์ทั้งสองมีความสัมพันธ์กันอย่างไร

ใครช่วยอธิบายให้ฉันหรือชี้ให้ฉันดูแหล่งข้อมูลได้บ้าง

Mark avatar
ng flag
คุณสามารถอธิบายความหมายของคุณอย่างละเอียดได้หรือไม่? สำหรับฉันแล้ว ดูเหมือนว่าคุณอาจกำลังพูดถึง *โมดูล* LWE บนวงแหวน $R$ ที่มีอันดับไม่สำคัญในฐานะกลุ่มอาเบลเลียน แต่ฉันไม่แน่ใจทั้งหมด
muhammad haris avatar
es flag
เฮ้ @Mark ฉันแก้ไขคำถามที่ฉันกำลังพูดถึงระดับพหุนามซึ่งเรียกอีกอย่างว่าไซเฟอร์เท็กซ์ในวรรณกรรมบางเล่ม ขอโทษสำหรับความสับสน
Score:1
ธง ng

ไม่มี "ความสัมพันธ์" ระหว่างพารามิเตอร์ทั้งสองนี้ เนื่องจากสิ่งที่เรียกว่า การสลับโมดูลัส. ประมาณได้รับตัวอย่าง LWE $\bmod q$เราสามารถเปลี่ยนเป็นอินสแตนซ์ LWE ได้ $\bmod p$ ด้วยต้นทุนที่ค่อนข้างน้อยสำหรับความหลากหลาย $p$. มีผลลัพธ์มากมายตามบรรทัดเหล่านี้ แต่ฉันจะอธิบายจาก การลดขนาดตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ที่สุดสำหรับโมดูล Lattices.

อนุญาต $\psi$ เป็นการกระจายความน่าจะเป็นบน $\mathbb{T}_{R^\vee}$, และ $s\in(R^\vee_q)^d$ เป็นเวกเตอร์ เรากำหนด $A^{(M)}_{q,s,\psi}$ เป็น จัดจำหน่ายเมื่อ $(R_q)^d à \mathbb{T}_{R^\vee}$ ได้จากการเลือกเวกเตอร์ a $s\in(R_q)^d$ สุ่มอย่างเท่าเทียมกันและ $e \in \mathbb{T}_{R^\vee}$ ตาม $\psi$, และกลับมา $(a, \frac{1}{q}\langle a, s\rangle + e)$.

ม.ล.ว: สำหรับจำนวนเต็ม $q \geq 2$ และจัดจำหน่าย $\Psi$ ในครอบครัวของการกระจายมากกว่า $K_\mathbb{R}$. รุ่นการตัดสินใจของ ปัญหาการเรียนรู้โมดูลด้วยข้อผิดพลาด $M-LWE_{q, \Psi}$ มีดังนี้ ให้ $s \in (R^\vee_q)^d$ สุ่มอย่างเท่าเทียมกันและ $\psi$ ได้รับตัวอย่างจาก $\Psi$ ; เป้าหมายคือเพื่อแยกความแตกต่างระหว่างตัวอย่างอิสระจำนวนมากโดยพลการจาก $A^{(M)}_{q, s, \psi}$และกลุ่มตัวอย่างอิสระจำนวนเท่ากันจาก $U(R^d_q, \mathbb{T}_{R^\vee})$.

นี่เป็นเรื่องกว้างกว่า RLWE และลดเป็น RLWE เมื่อ $d = 1$. ครอบครัวของการกระจาย $\Psi_a$ เป็นการแจกแจงแบบเกาส์แบบวงรี ดูหัวข้อ 2.3

อย่างไรก็ตาม ผลการสลับโมดูลัสคือทฤษฎีบท 4.8 ที่นี่, $N = nd$ คือ "มิติรวม" ของอินสแตนซ์ MLWE การตั้งค่า $n = 1$ กู้คืนกรณีของ RLWE ที่คุณสนใจ

อนุญาต $p, q \in [2, 2^{N^{O(1)}} ]$ และ $\alpha, \beta â (0, 1)$ ดังนั้น $\beta \geq \alpha \max(1, \frac{q}{p})n^{1/4}N^{1/2}\omega(\log_2 N)$ และ $\alpha q \geq \omega(\sqrt{\log(N)/n})$. มีการลดเวลาพหุนามจาก $M-LWE_{q,\Psi_\alpha}$ ถึง $M-LWE_{p,\Psi_\beta}$.

ทั้งหมดนี้เป็นการบอกว่าคุณสามารถลดค่าโมดูลัสตามอำเภอใจได้ $คิว$ ไปยังโมดูลัสอื่นโดยพลการ $p$ในราคาที่สูงเกินจริงอัตราเสียงจาก $\alpha\mapsto \frac{q}{p}\alpha\sqrt{N}\omega(\log_2 N)$. นี่ไม่ใช่ โดยสิ้นเชิง ฟรี (มีเพิ่มเติม $\sqrt{N}$ แฟกเตอร์) แต่กำหนดว่าโมดูลี $q, p$ โดยทั่วไปจะเป็นพหุนามขนาดเล็กใน $N$ค่าใช้จ่ายที่คุณจ่ายค่อนข้างน้อยเมื่อเทียบกับขนาดพารามิเตอร์

ด้วยเหตุนี้ จึงไม่มีความสัมพันธ์ระหว่างโมดูลัสไซเฟอร์เท็กซ์เพียงอย่างเดียว (ตามที่เรียกโดยทั่วไป ไม่ใช่ผลหารของไซเฟอร์เท็กซ์) และมิติ เหมือนกับความสัมพันธ์ใดๆ อีกด้วย ต้องคำนึงถึงขนาดของการกระจายข้อผิดพลาด

สำหรับวิธีตั้งค่าสิ่งเหล่านี้จริง ๆ ผู้คนมักจะป้อนพารามิเตอร์ของตนลงใน ตัวประมาณ LWEซึ่งให้ค่าประมาณการรักษาความปลอดภัยบิตสำหรับชุดพารามิเตอร์เฉพาะแต่ละชุด

muhammad haris avatar
es flag
ขอบคุณสำหรับคำตอบ ใช่ ฉันเข้าใจว่าคุณสามารถเปลี่ยนจาก mod $q$ เป็น mod $p$ ได้เมื่อ $pq$ ตามความเข้าใจและการปฏิบัติของฉันที่จะลดความปลอดภัยสำหรับ $N$ คงที่หรือไม่
muhammad haris avatar
es flag
กล่าวอีกนัยหนึ่ง ถ้าฉันใช้ตัวอย่าง RLWE สองตัวอย่าง โดยมี $N$ เหมือนกันและมีข้อผิดพลาดที่สุ่มตัวอย่างจากการแจกแจงเดียวกัน แต่โมดูลัสไซเฟอร์เท็กซ์ของตัวอย่างแรกคือ $q$ และอีกตัวอย่างหนึ่งคือ $p$ โดยที่ $p >q$ พวกเขาจะมีระดับความปลอดภัยเท่ากันหรือไม่ ฉันเชื่อว่าตัวอย่าง RLWE ที่มีโมดูลัส $q$ จะมีระดับความปลอดภัยที่สูงกว่า .. และนั่นคือสิ่งที่ฉันต้องการที่จะเข้าใจว่าทำไม
Mark avatar
ng flag
เมื่อเปลี่ยนโมดูลิ จะเป็นการดีที่สุดที่จะคิดถึงสิ่งต่างๆ ในแง่ของผลหารของ $\sigma/q$ เช่น *ค่อนข้าง* $\sigma$ ใหญ่แค่ไหนเมื่อเทียบกับ $q$ ดูเหมือนว่าคุณกำลังพูดถึงเรื่องนี้ ซึ่งอาจทำให้เกิดปัญหาได้ โดยเฉพาะอย่างยิ่ง หากคุณเพิ่ม $q$ โดยไม่เปลี่ยน $\sigma$ พร้อมกัน ผลหาร $\sigma/q'$ จะลดลง ทำให้ความปลอดภัยลดลง หากคุณลด $q$ โดยไม่เปลี่ยน $\sigma$ พร้อมกัน ผลหาร $\sigma/q'$ จะเพิ่มขึ้น ซึ่งเป็นการเพิ่มความปลอดภัย หากต้องการทราบอย่างแม่นยำว่าการเปลี่ยนแปลง (ประมาณ) ของความปลอดภัยเป็นอย่างไร ให้ใช้ตัวประมาณค่า LWE
muhammad haris avatar
es flag
โอเค เข้าใจแล้ว ไม่มีสมการที่ประดิษฐ์ขึ้นซึ่งให้ความสัมพันธ์ของ $N,q,\sigma$ และระดับความปลอดภัย
Mark avatar
ng flag
มี แต่ใช้ LWE estimator ง่ายที่สุด สมการคร่าวๆ คือ $\mathsf{seclevel}(N, q, \sigma) = \min_i (f_i(N, q, \sigma)$ โดยที่แต่ละ $f_i(N, q, \sigma)$ อธิบายถึง โจมตี (R)LWE โดยเฉพาะ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ $f_i$ แต่ละรายการ คุณสามารถอ่าน[NewHope Specification, section 4.2](https://www.newhopecrypto.org/data/NewHope_2020_04_10.pdf) NewHope (เดิม) ระบบเข้ารหัสที่ใช้ RLWE ที่ได้รับความนิยมสูงสุดซึ่งส่งไปยังมาตรฐาน PQC ของ NIST ไม่ได้ผ่านเข้าสู่รอบสุดท้าย เนื่องจาก NIST ชอบ MLWE และ "ธรรมดา LWE" มากกว่า RLWE

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา