Bằng chứng rằng bí mật (ring-)LWE là duy nhất

Chito Miranda

19:41, 08/11/2022

Tôi đã đọc bài báo của Regev vào năm 2005 về Học với Lỗi và anh ấy đã đề cập rằng bí mật của một mẫu LWE là duy nhất nhưng tôi chưa thấy bằng chứng cho tuyên bố này. Ai đó có thể chỉ cho tôi một bài báo chứng minh yêu cầu này? Ngoài ra, đối với trường hợp vòng-LWE, đặc biệt là đối với sức mạnh của hai cyclotomics, bí mật có luôn là duy nhất không?

110

1 + 0

chúng tôi

vòng-lwe

Điểm:3

Crypto

Mark

23:37, 08/11/2022

của Regev Khảo sát LWE chứa một bản phác thảo của bằng chứng.

thuật toán. Một cách đơn giản để giải quyết LWE là thông qua thuật toán khả năng tối đa. Giả sử cho đơn giản rằng $q$ là đa thức và phân phối lỗi là bình thường, như trên. Khi đó, không khó để chứng minh rằng sau khoảng $O(n)$ phương trình, nhiệm vụ duy nhất để $s$ rằng "thỏa mãn gần đúng" các phương trình là phương trình đúng. Điều này có thể được chứng minh bằng một đối số chuẩn dựa trên giới hạn Chernoffâ và liên kết giới hạn trên tất cả $s\in\mathbb{Z}_q^n$. Điều này dẫn đến một thuật toán chỉ sử dụng $O(n)$ mẫu, và chạy trong thời gian $2^{O(n \log n)}$. Như một hệ quả tất yếu, chúng tôi nhận được rằng LWE được "xác định rõ" theo nghĩa là với xác suất cao giải pháp $s$ là duy nhất, giả sử số phương trình là $\Omega(n)$.

Cũng có thể hữu ích khi xem LWE từ một góc nhìn khác --- cụ thể là phạm vi tham số cho SIS ở vị trí của nó tiên nghiệm không rõ liệu một giải pháp có nên tồn tại hay không, vì vậy người ta "trồng" một giải pháp. Nhìn thấy những ghi chú này cho một số quan điểm dọc theo những dòng này. Lưu ý rằng đối với SIS tiêu chuẩn, nhiều giải pháp tồn tại với xác suất cao, vì vậy "LWE = SIS quyết định (trong một số phạm vi tham số)" rất dễ bị nhầm lẫn nếu không cẩn thận, xem ví dụ câu hỏi này.

0 + 5

Chito Miranda

01:46, 09/11/2022

Cảm ơn câu trả lời nhưng tôi vẫn không thấy thuật toán được yêu cầu ở trên hoạt động như thế nào. Có bất kỳ tài liệu tham khảo có sẵn mà điều này đã được chứng minh rõ ràng? Tôi không chắc lắm nhưng ý tưởng của tôi là giả sử $b=A^Ts+e=A^Ts^\prime=e^\prime$, $e,e^\prime$ short. Sau đó, $A^T(s-s^\prime)=(e^\prime-e)$, sau đó tôi không biết điều gì sẽ xảy ra tiếp theo.

Hồi đáp

Mark

02:53, 09/11/2022

@ChitoMiranda Tôi không biết nó được viết ra ở đâu. Đối số (như tôi giải thích) hơi đơn giản. Xem xét xác suất (trên sự lựa chọn ngẫu nhiên thống nhất $A$) của $\lVert A(s - s')\rVert$ là nhỏ. Bạn có thể chọn định mức yêu thích của mình tại đây, nhưng định mức $\ell_\infty$ có vẻ là một lựa chọn đặc biệt tốt, khi đó bạn có thể giảm vấn đề xuống $\Pr[\forall i\in [m] \langle a_i, s_i - s_i'\rangle\text{ nhỏ}] = 1 - (1 - \Pr[\langle a_i, s_i - s_i'\rangle \text{ nhỏ})^m$.

Hồi đáp

Mark

02:57, 09/11/2022

Sau đó, liên kết ràng buộc trên tất cả các lựa chọn của $s'$, ví dụ: show $\Pr[\forall s' : \lVert A(s -s ')\rVert\text{ lớn}] = 1-\Pr[\exists s'\neq s : \lVert A(s -s ' )\rVert\text{ nhỏ}] \geq 1 - q^n \Pr[\lVert A(s-s')\rVert\text{ nhỏ}] = 1 - q^n (1 - \Pr[ \langle a_i, s_i-s_i'\rangle\text{ nhỏ}])^m$.Điều đó đang được nói, việc tìm ra các chi tiết có vẻ khá khó chịu, vì vậy tôi sẽ để bạn (hoặc người khác) làm việc đó.

Hồi đáp

Chito Miranda

03:02, 09/11/2022

cảm ơn đã giúp đỡ. Tôi chắc chắn sẽ thử ý tưởng của bạn và xem liệu tôi có đưa ra được bằng chứng chặt chẽ hay không. Tôi gặp khó khăn khi đọc các bài báo liên quan đến LWE vì họ bỏ qua rất nhiều chi tiết có vẻ tầm thường đối với họ nhưng với một người mới như tôi thì không. Cảm ơn một lần nữa và có thể sẽ đăng một bằng chứng nếu tôi thành công.

Hồi đáp

Mark

03:46, 09/11/2022

@ChitoMiranda Cũng tồn tại những cách gián tiếp để chứng minh điều này. Cụ thể, nó đủ để chỉ ra rằng $\lambda_1(\Lambda_q(A))$/2 lớn hơn $\lVert e\Rvert$ với xác suất cao. Đây phải là hệ quả của bổ đề 7.9.2 trong *Mã hóa lưới cho tín hiệu và mạng* của Zamir, trong đó chỉ ra rằng đối với các mã $q$-ary ngẫu nhiên $A$, số điểm của $\Lambda_q(A)$ trong $S$ tiến gần đến mật độ của $\Lambdaa_q(A)$ lần $\mathsf{Vol}(S)$, ví dụ: người ta sẽ mong đợi điều gì nếu các điểm mạng "độc lập".

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Proof that (ring-)LWE secret is unique

TH: พิสูจน์ว่าความลับ (ring-)LWE นั้นไม่เหมือนใคร

RO: Dovada că secretul (ring-)LWE este unic

RU: Доказательство того, что (кольцевой) секрет LWE уникален

VI: Bằng chứng rằng bí mật (ring-)LWE là duy nhất

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.