Bằng chứng của tôi về tính duy nhất của bí mật vòng-LWE có đúng không?

Chito Miranda

02:52, 09/11/2022

Giả sử rằng $n$ là lũy thừa của hai, $q=3\pmod 8$, số nguyên tố và $R=\mathbb{Z}[X]/(X^n+1)$. Chứng tỏ $\Vert\cdot\Vert$ như chuẩn vô cực trong $R_q=R/qR$ về hệ số của các phần tử trong $R_q$. Các hệ số được giả định là trong $[-\frac{q-1}{2},\frac{q-1}{2}]$. Tôi sẽ chỉ trích dẫn một số sự thật mà tôi sẽ sử dụng trong bằng chứng của mình:

$X^n+1$ thừa số thành hai thừa số bất khả quy modulo $q$, trong đó mỗi yếu tố có mức độ $n/2$ xem Bổ đề 3 của đây
Như một hệ quả của thực tế trên, đưa ra một cố định $s\in R_q$, $s\neq 0$, số lượng khác biệt $a\cdot s\in R_q$, tổng thể $a\trong R_q$ là ít nhất $q^{n/2}$, như đã tuyên bố nhưng không có bằng chứng chặt chẽ từ trang 7.

Bây giờ yêu cầu của tôi là được đưa ra một cách ngẫu nhiên thống nhất $a\trong R_q$, một mẫu RLWE $b=as+e$ (ở đâu $s,e$ được chọn từ một phân phối Gaussian rời rạc trên $\mathbb{Z}^n$ để với xác suất áp đảo, $\Vert s\Vert, \Vert e\Vert\leq \beta$, đối với một số $\beta$) có một bí mật độc đáo $s$. Vì vậy, bằng chứng đi theo mâu thuẫn:

Giả sử rằng đã cho một ngẫu nhiên thống nhất $a\trong R_q$, giả sử $b=as+e=as^\prime+e^\prime$, ở đâu $s\neq s^\prime$ và $s,s^\prime,e,e^\prime$ được chọn từ phân phối Gaussian rời rạc ở trên để tất cả các chỉ tiêu của chúng là $\leq \beta$ với xác suất áp đảo.
Do đó, chúng ta có thể viết lại phương trình trên dưới dạng $a(s-s^\prime)=(e^\prime-e)$ và chúng tôi tuyên bố rằng điều này chỉ xảy ra với xác suất không đáng kể trên tất cả các $a,s,s^\prime,e,e^\prime$.
Chúng tôi tiến hành theo một số bước: Đầu tiên, sửa $e,e^\prime,s,s^\prime$ và hỏi xác suất để phương trình trên đúng với tất cả $a\trong R_q$, nghĩa là, xác suất mà $a(s-s^\prime)=(e^\prime-e)$ cho một thống nhất ngẫu nhiên $a\trong R_q$? Câu trả lời của tôi cho câu hỏi này là vì $a(s-s^\prime)$ mất ít nhất $q^{n/2}$ các giá trị khác nhau trên tất cả $a\trong R_q$, thì phương trình trên đúng với xác suất $\leq \dfrac{1}{q^{n/2}}$.
Cuối cùng, chúng tôi đưa công đoàn ràng buộc trên tất cả $s,s^\prime,e,e^\prime$ được lấy từ phân phối Gaussian rời rạc để tất cả chúng đều có chuẩn $\leq \beta$ với xác suất áp đảo, thì xác suất chung mà $a(s-s^\prime)=(e^\prime-e)$ Là $\leq \dfrac{(2\beta+1)^{4n}}{q^{n/2}}$, vì số phần tử trong $R_q$ có chuẩn vô cực nhỏ hơn $\beta$ Là $(2\beta+1)^n$ và bằng bất đẳng thức tam giác.

Tôi đã đưa chứng minh này cho giáo sư của mình xem nhưng ông ấy thấy vô nghĩa và nói rằng tôi đang mắc một lỗi ngớ ngẩn, đặc biệt ở bước 3 của chứng minh.

Ngay bây giờ, tôi không hiểu tại sao chứng minh của tôi không chính xác và anh ấy không đề cập đến lý do tại sao chứng minh của tôi sai. Tôi đã cố gắng giải thích cho anh ấy bằng chứng của mình nhưng đã bị tắt vì đối với anh ấy, tôi đã phạm một sai lầm khủng khiếp.

Vì vậy, bất kỳ ai có thể giúp đỡ và làm sáng tỏ vấn đề này đều được đánh giá cao.

0 + 3

mật mã hậu lượng tử

lưới-crypto

chúng tôi

vòng-lwe

Mark

06:03, 09/11/2022

Tôi có thể thấy vấn đề sau --- bạn đang (ngầm) phân tích hàm $T_a(s) = as$. Tuyên bố của bạn về số giá trị mà $as$ có thể nhận chính là $\mathsf{im}(T_a) \geq q^{n/2}$. Trong ngôn ngữ này, điều gì xảy ra với đối số của bạn khi $e\in R_q\setminus \mathsf{im}(T_a)$? Chúng ta có nên mong đợi những điểm như vậy tồn tại? (gợi ý --- vâng. Tại sao?)

Hồi đáp

Chito Miranda

21:59, 09/11/2022

Rất có thể $R_q\setminus \mathsf{im}(T_a)$ không trống và trên thực tế, có lực lượng $\leq q^n-q^{n/2}$. Vì vậy, đối với tôi bây giờ, có vẻ như khi tôi thực hiện ràng buộc liên kết, nó phải ở trong điều kiện là $e^\prime-e\in \mathsf{im} (T_a)$, điều này có đúng không?

Hồi đáp

Mark

05:24, 10/11/2022

Bạn sẽ làm gì nếu e'-e không có trong bộ này? Đây là mấu chốt của vấn đề với lập luận của bạn.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is my proof about uniqueness of ring-LWE secret correct?

TH: หลักฐานของฉันเกี่ยวกับเอกลักษณ์ของความลับของ Ring-LWE ถูกต้องหรือไม่

RO: Este corectă dovada mea despre unicitatea secretului ring-LWE?

RU: Верно ли мое доказательство уникальности секрета кольцевого LWE?

VI: Bằng chứng của tôi về tính duy nhất của bí mật vòng-LWE có đúng không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.