Tham gia Đăng nhập
Điểm:0
C.S. avatar Crypto

Mô-đun nhỏ đối với tỷ lệ tiếng ồn trong LWE ngụ ý bảo mật tốt hơn

lá cờ in
C.S.

Tôi hoàn toàn không hiểu tại sao một thương số nhỏ hơn giữa mô đun $q$ và độ lệch chuẩn của tiếng ồn ngụ ý bảo mật tốt hơn trước các cuộc tấn công đã biết.

89
1 + 3
Ievgeni avatar
lá cờ cn
Ievgeni
Bạn có thể cung cấp thêm ngữ cảnh về giả định này không? Bạn thấy nó ở đâu?
1
Hồi đáp
C.S. avatar
lá cờ in
C.S.
Tại đây: https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.455.9719&rep=rep1&type=pdf Trang 14: "Tỷ lệ mô-đun trên tiếng ồn nhỏ hơn mang lại khả năng bảo mật cụ thể mạnh mẽ hơn trước các cuộc tấn công đã biết" Một điều ai cũng biết rằng q nhỏ hơn có nghĩa là bảo mật tốt hơn
0
Hồi đáp
Ievgeni avatar
lá cờ cn
Ievgeni
"tỷ lệ nhỏ hơn" và "q nhỏ hơn" không giống nhau. Tôi đề nghị bạn chỉnh sửa câu hỏi của bạn với các điều khoản tốt.
1
Hồi đáp
Điểm:2
Mark avatar Crypto
lá cờ ng
Mark

Đầu tiên, rõ ràng là người ta luôn có thể tăng tiếng ồn trong phiên bản LWE mà không ảnh hưởng đến bảo mật, do đó (đối với mô-đun cố định), tỷ lệ mô-đun trên nhiễu lớn hơn ngụ ý bảo mật "không tệ hơn". Tất nhiên, điều này không giải thích tại sao bảo mật nên thay đổi đối với $\sigma/q$, thay vì một số biểu thức phức tạp hơn. Có hai lý do để thấy tại sao đây là cách "đúng" để đo kích thước của tiếng ồn.

Đầu tiên là nó là những gì xuất hiện trong trường hợp xấu nhất đến giảm trường hợp trung bình. Ví dụ, Giảm ban đầu của Regev chỉ ra rằng:

Định lý 1.1 (Chính thức) Để cho $n, p$ là số nguyên và $\alpha\in(0,1)$ được như vậy mà $\alpha p >2\sqrt{n}$. Nếu tồn tại một thuật toán hiệu quả để giải quyết $LWE(p, \Psi_\alpha)$ thì tồn tại một thuật toán lượng tử hiệu quả xấp xỉ phiên bản quyết định của bài toán vectơ ngắn nhất (GAPSVP) và bài toán vectơ độc lập ngắn nhất (SIVP) trong phạm vi $\tilde{O}(n/\alpha)$ trong trường hợp xấu nhất.

Lưu ý rằng $1/\alpha$ là tỷ lệ "mô-đun trên tiếng ồn", do đó, hệ số gần đúng mà người ta phải giả định là khó có thể chia tỷ lệ trực tiếp với $1/\alpha$. Tuy nhiên, trong thực tế, người ta không muốn kêu gọi cụ thể việc giảm trường hợp xấu nhất thành trường hợp trung bình khi chọn tham số, vì hai lý do:

  1. $\sigma := \alpha q > 2\sqrt{n}$ là bắt buộc, vì vậy đối với $n> 500$ (là giới hạn dưới thoải mái) người ta cần $\sigma > 40$, lớn hơn nhiều so với người ta sử dụng trong thực tế.

  2. Ngoài ra còn có một "khoảng cách chặt chẽ" trong việc giảm, xem phần 6 của Một cái nhìn khác về sự chặt chẽ 2). Điều này chỉ tác động đến "các hằng số" trong việc giảm, nhưng tác động là khá lớn và để hấp dẫn việc giảm, người ta phải chọn các tham số khá kém hiệu quả.

Vì vậy, làm thế nào chúng ta có thể nói rằng một cách cụ thể rằng tỷ lệ mô-đun trên tiếng ồn nhỏ hơn trong LWE ngụ ý bảo mật tốt hơn? Có hai điểm ở đây:

  1. Mô-đun của LWE không ảnh hưởng nhiều đến tính bảo mật của nó, xem ví dụ cor 3.2 của Độ cứng cổ điển của LWE.

  2. Bạn có thể tham số hóa rõ ràng các cuộc tấn công đã biết theo tỷ lệ mô-đun trên tạp âm, xem chương 4 của Luận án Rachel Player, hoặc công cụ ước tính LWE.

Lưu ý rằng đây là câu chuyện dành cho LWE. Bạn cũng đã sử dụng thẻ cho Ring LWE. Mọi thứ ở đó phức tạp hơn một chút và có thể phụ thuộc vào "hành vi phân tách" của mô đun $q$ trong bất kỳ lĩnh vực số nào bạn đang làm việc, mặc dù tôi là người sai khi viết câu trả lời về chủ đề này.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.