Điểm:2

Làm thế nào là hợp pháp để sử dụng Gaussian tròn cho LWE?

lá cờ in

Theo như tôi hiểu, trong bài báo đầu tiên của Regev, phân phối lỗi lần đầu tiên được xây dựng như sau:

nhập mô tả hình ảnh ở đây

Sau đó làm tròn theo cách sau:

nhập mô tả hình ảnh ở đây

Sử dụng phân phối này, có thể đạt được sự rút gọn trong định lý dưới đây:

nhập mô tả hình ảnh ở đây

Tôi không hiểu làm thế nào trong nhiều ứng dụng trong tài liệu, họ sử dụng bài toán LWE với phân phối lỗi làm tròn thông thường:

nhập mô tả hình ảnh ở đây

và vẫn đảm bảo an ninh (hoặc giảm mạnh), với $D_s(\mathbf{x}) = \frac{1}{\mathbf{s}^n} \exp \left( \frac{-\pi \|\mathbf{x}\|^2}{s^ 2} \right)$ là phân phối chuẩn liên tục.

Chris Peikert avatar
lá cờ in
âphân phối làm tròn thông thườngâ $\Psi_s$, giảm modulo $p$ (xảy ra khi tạo các mẫu LWE), là các mẫu độc lập *chính xác* $n$ từ phân phối âđược chia tỷ lệ và làm tròn tương ứng $\bar{\Psi}_{s/p}$ trên $\mathbb{Z}_p$. Điều này có thể được nhìn thấy bằng cách chỉ làm việc thông qua các định nghĩa và lưu ý rằng $D_s$ là một phân phối sản phẩm trên tất cả các tọa độ $n$ của nó.
C.S. avatar
lá cờ in
@ChrisPeikert Cảm ơn! Nhưng làm thế nào để xử lý tổng trên $k$ đi từ $- \infty$ đến $+\infty$ nằm trong tích phân?
Chris Peikert avatar
lá cờ in
Tổng vô hạn chỉ nắm bắt được thực tế là phân phối chuẩn (liên tục) bị giảm âmod 1â; điều này tương ứng với giảm mod p sau khi áp dụng tỷ lệ. Tích phân bị chặn cùng với tổng vô hạn tạo ra tích phân vô hạn trên mọi số thực.
Điểm:1
lá cờ ng

Tôi nghĩ rằng đây chỉ là một tạo tác của Regev đại diện cho các giá trị trong $\mathbb{T} \cong \mathbb{Z} / q\mathbb{Z} = \{0, 1/q, \dots, (q-1)/q\}$, thay vì trong $\{0,1,\dots,q\}$ trực tiếp. Vẫn còn một vài điều cần đề cập mặc dù:

Đầu tiên, sự đồng thuận hiện đại là đối với độ cứng của $\mathsf{LWE}$ [1], phân phối lỗi cụ thể mà bạn sử dụng không quan trọng lắm. Cụ thể, những cái phổ biến (do dễ lấy mẫu) là "nhị thức trung tâm", hoặc thậm chí đồng nhất trong một phạm vi nhất định. Ví dụ, xem những người vào chung kết NIST PQC.

Tất nhiên, những bản phân phối mà chúng tôi sử dụng không phải lúc nào cũng được chứng minh bằng cách giảm trường hợp xấu nhất thành trường hợp trung bình. Vì vậy, những gì cho? Chúng ta (đại khái) có hai lựa chọn trong cách chọn tham số:

  1. phân tích mật mã $\mathsf{SIVP}_\gamma$ trực tiếp, tìm các tham số an toàn, sau đó đẩy chúng qua $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ giảm, hoặc

  2. phân tích mật mã $\mathsf{LWE}$ trực tiếp và chọn các tham số đó.

Thứ hai là phổ biến hơn cho đến nay. Có một vài lý do cho việc này:

  1. Giảm $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ là (cụ thể) không được "chặt chẽ" cho lắm. Đặc biệt, nó dẫn đến sự lạm phát lớn của các tham số. Điều này được đề cập ở một vài nơi, ví dụ một cái nhìn khác về độ kín 2. Tất nhiên, điều này thường xảy ra khi ban đầu người ta phân tích cụ thể một chứng minh mà không quan tâm đến các hằng số. Đã có một số công việc tiếp theo, ví dụ cái này, cái này, và cái này, nhưng không có gì quá chủ đạo. Trong số tác phẩm, tôi chỉ thực sự xem xét phần đầu tiên --- iirc nó được tìm thấy bằng cách thổi phồng $(n, \log_2 q, \sigma)$ bởi một yếu tố của $\khoảng 2$ so với những gì mọi người sử dụng trong thực tế, bạn có thể nhận được bảo mật cụ thể từ giảm trường hợp xấu nhất đến trường hợp trung bình.

  2. Không rõ ràng rằng (trường hợp xấu nhất) phân tích mật mã $\mathsf{SIVP}_\gamma$ dễ dàng hơn (trường hợp trung bình) phân tích mật mã $\mathsf{LWE}$. Điều này đơn giản là vì không có ứng cử viên rõ ràng nào cho trường hợp xấu nhất của $\mathsf{SIVP}_\gamma$! Tất nhiên, người ta luôn có thể sử dụng phân tích trường hợp trung bình làm giới hạn dưới của phân tích trường hợp xấu nhất, nhưng tại sao trường hợp trung bình lại phân tích một vấn đề khác với vấn đề bạn quan tâm?

Đây là tất cả để nói rằng $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ giảm (hầu hết) được coi là nói rằng $\mathsf{LWE}$ là (về mặt chất lượng) "phân phối đúng" được xem xét. Có nhiều bản phân phối của các phiên bản ngẫu nhiên mà bạn có thể xem xét và một số có thể "yếu về mặt cấu trúc" (ví dụ về điều này, xem công việc trên "Các phiên bản Poly-LWE yếu" hoặc RSA được xác định bằng cách sử dụng một phiên bản ngẫu nhiên $n$-bit số nguyên, thay vì ngẫu nhiên $n$-bit semiprime, sẽ là "phân phối sai" để sử dụng vì lý do cấu trúc). Các $\mathsf{SIVP}_\gamma \leq \mathsf{LWE}$ giảm có thể được hiểu là ghim xuống một phân phối cụ thể cho $\mathsf{LWE}$, mà sau đó chúng tôi định lượng tham số hóa thông qua phân tích mật mã (trực tiếp).

[1] Lưu ý rằng đối với chữ ký, phân phối làm vấn đề, nhưng điều này là do các chi tiết cụ thể của cấu trúc/bằng chứng bảo mật của chữ ký, và không trừu tượng bởi vì chúng tôi nghĩ $\mathsf{LWE}$ khó khi bạn sử dụng Gaussian rời rạc và không làm tròn Gaussian/biến ngẫu nhiên đồng nhất hoặc bất cứ thứ gì.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.