Tham gia Đăng nhập
Điểm:4
Chito Miranda avatar Crypto

Chứng minh rằng một bí mật Ring-LWE nhỏ là duy nhất

lá cờ us
Chito Miranda

Tôi chỉ muốn biết liệu chứng minh của tôi có chính xác hay không, tức là chứng minh rằng nếu bí mật Ring-LWE là nhỏ, thì nó là duy nhất. Trước khi đưa ra bằng chứng của tôi, đây là một sự thật:

Sự thật 1: $\Pr [\Vert r \Vert_\infty \leq \beta: r\xleftarrow{\$} R_q]\leq \left(\dfrac{2\beta+1}{q}\right)^n$, ở đâu $R_q=\mathbb{Z}_q[X]/(X^n+1)$, ở đâu $n$ là lũy thừa của hai, $q$ là một số nguyên tố và $\beta$ là một số thực dương.

Bây giờ, hãy để $D_\sigma$ là phân phối Gaussian rời rạc trên $R=\mathbb{Z}[X]/(X^n+1)$ (cũng có thể được xem như là Gaussian rời rạc trên $\mathbb{Z}^n$ thông qua hệ số nhúng từ $R$ đến $\mathbb{Z}^n$. Một thực tế khác:

Sự thật 2: $\Pr[\Vert z\Vert_\infty \leq \mathcal{O}(\sigma\sqrt{n}): z\leftarrow D_\sigma]>1-2^{-n}$ để có sự lựa chọn phù hợp $\sigma$.

Bây giờ giả sử rằng $a\xleftarrow{\$}R_q$$s,e\leftarrow D_\sigma$ để có thể $b=as+e$, vì thế $(a,b)$ là một mẫu RLWE cho bí mật $s$. Như vậy, $\Vert s\Vert_\infty,\Vert e\Vert_\infty$ cả hai đều ít hơn $\beta=\mathcal{O}(\sigma\sqrt{n})$ với xác suất áp đảo bởi Thực tế 2.

Bây giờ tôi muốn chứng minh rằng không thể tìm thấy cái khác $s^\số nguyên tố, s^\số nguyên tố\neq s$, $\Vert s^\prime\Vert_\infty\leq \beta$ như vậy mà $b=as^\prime+e^\prime$, $\Vert e^\prime \Vert_\infty\leq \beta$ với xác suất áp đảo. Đây là lập luận của tôi:

Tiến hành bằng mâu thuẫn. Giả sử $b=as^\prime+e^\prime$. (Giả sử $a$ là một phần tử khả nghịch của $R_q$, đây là trường hợp có xác suất áp đảo đối với trường hợp $q=3\pmod{8}$). sau đó $s^\prime=a^{-1}(b-e^\prime)=a^{-1}(e-e^\prime)+s$. Như vậy, $(a^{-1},s^\số nguyên tố)$ là một mẫu RLWE cho bí mật $e^\prime-e$ từ $a^{-1}$ là ngẫu nhiên thống nhất bởi thực tế là $a$ là ngẫu nhiên đều. Do đó, như vậy $s^\prime$ không thể phân biệt được với một yếu tố ngẫu nhiên thống nhất trong $R_q$ bởi giả định quyết định-RLWE. Nhưng bởi Thực tế 1, cho $q>4\beta +2$, xác suất mà $\Vert s^\prime \Vert_\infty \leq \beta$$<2^{-n}$. Do đó, nhỏ như vậy $s$ là duy nhất với xác suất áp đảo. (Điều này cũng nói lên rằng nếu chúng ta không đặt bất kỳ hạn chế nào đối với định mức của $s$, bí mật RLWE cho $b$ không phải là duy nhất vì chúng ta có thể đơn giản xây dựng như vậy $s^\prime$).

Vì vậy, tôi muốn biết liệu lập luận của mình có đúng hay không và sẽ đánh giá cao bất kỳ phản hồi hữu ích nào từ bất kỳ ai.

169
1 + 0
Điểm:2
LeoDucas avatar Crypto
lá cờ gd
LeoDucas

Tuyên bố bạn đang cố gắng đưa ra là lý thuyết thông tin (sự tồn tại của một thứ gì đó), không phải tính toán (sự dễ dàng tìm thấy thứ gì đó), vì vậy việc bạn viện dẫn giả định về độ cứng RLWE là điều đáng lo ngại.

Một điều bạn có quyền là thực sự xem xét sự khác biệt của hai giải pháp $[\mathbf A; \mathbf I] \cdot (s-s', e-e') = 0$. Trên thực tế, tập hợp các khác biệt như vậy tạo thành mạng SIS, do đó, về cơ bản, bạn đang cố gắng chứng minh rằng không có giải pháp SIS nào cho tình trạng thiếu $2\beta$ bên trong $\ell_\infty$ chuẩn mực. Nói cách khác, người ta muốn chứng minh rằng khoảng cách tối thiểu của mạng RSIS ở trên $2\beta$.

Chiến lược chứng minh tiêu chuẩn diễn ra như sau:

  • xem xét từng khác không $z$
  • Đối với một ngẫu nhiên $\mathbf A$, Lưu ý rằng $\mathbf Az$ là thống nhất
  • Giới hạn xác suất mà $\mathbf Az$ rơi vào một quả bóng có bán kính $2\beta$ (sử dụng thực tế đầu tiên của bạn)
  • Áp dụng một liên kết ràng buộc trên tất cả các $z$ của tiêu chuẩn ít hơn $2\beta$
  • Kết luận.

Bạn sẽ tìm thấy các chi tiết của một bằng chứng như vậy trong các ghi chú bài giảng khác nhau, (ví dụ: Bổ đề 5 của https://homepages.cwi.nl/~dadush/teaching/lattices-2018/notes/lecture-9.pdf). Điều này thường được đưa ra cho mạng chung (không có cấu trúc vòng), nhưng, ngoài vấn đề không thể đảo ngược (mà bạn đã tìm ra cách xử lý với $q \cong 3 \mod 8$) bằng chứng có thể được điều chỉnh phù hợp với cài đặt chuông.

0 + 6
Chito Miranda avatar
lá cờ us
Chito Miranda
Cảm ơn vì bạn đã phản hồi. Trong trường hợp của tôi, đa thức $a$ tương ứng với ma trận $\mathbf{A}$ bao gồm các cột là sự dịch chuyển ngược chu kỳ của các hệ số của $a$. Vì vậy, với điều kiện $a$ được chọn ngẫu nhiên đều trong $R_q$, chúng ta vẫn có thể coi ma trận tương ứng của nó $\mathbf{A}$ là ngẫu nhiên đều không?
0
Hồi đáp
Chris Peikert avatar
lá cờ in
Chris Peikert
Không, bởi vì các cột trong $\mathbf{A}$ của bạn tương quan với nhau, không độc lập.
1
Hồi đáp
Chito Miranda avatar
lá cờ us
Chito Miranda
Lấy ý tưởng từ Bổ đề 5 của bài giảng-9.pdf, đây là lập luận của tôi: Sửa $x_1,x_2\in R_q,$ cả hai khác không. Xác định bản đồ $f_{x_1,x_2}: R_q\to R_q$ cho bởi $a \mapsto ax_1+x_2$. Rõ ràng $f_{x_1,x_2}$ là ánh xạ 1-1 cho $x_1$ khả nghịch. Do đó, $R_q= x_1 R_q + x_2$ cho $x_1$ khả nghịch.
0
Hồi đáp
Chito Miranda avatar
lá cờ us
Chito Miranda
Do đó, $\Pr \{(ax_1+x_2 = 0 \pmod{q}: a\leftarrow R_q\}=q^{-n}$ cho $x_1$ khả nghịch. Lấy phép hợp trên tất cả $(x_1,x_2 )\in R_q^2$, $x_1$ không thể đảo ngược, trong đó $\Vert x_i\Vert_\infty\leq 2\beta$, thì $\Pr \{ \tồn tại (x_1,x_2): (ax_1+x_2 = 0 \pmod{q} \cap \Vert x_i \Vert_\infty\leq 2\beta \} \leq (4\beta+1)^{2n}\cdot q^{-n}$ về việc lựa chọn đồng phục $a \in R_q$. Đúng không?
0
Hồi đáp
LeoDucas avatar
lá cờ gd
LeoDucas
Vâng, điều này về cơ bản là ổn. Thật vậy, bạn không cần các cột của $A$ độc lập; thực tế là $Ax$ đồng nhất là đủ. Một điều chỉnh nhỏ là cần thiết ở phần kết luận để cũng được tính cho điểm a không thể đảo ngược.
0
Hồi đáp
Chito Miranda avatar
lá cờ us
Chito Miranda
Vâng, tôi đã bỏ lỡ việc đếm số phần tử khả nghịch của $R_q$. Cảm ơn vì đã chỉ ra điều đó! Bây giờ, tôi tự hỏi điều gì sẽ xảy ra với xác suất đầu tiên nếu $x_1$ không khả nghịch.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.