Điểm:2

Các câu hỏi liên quan đến việc xây dựng hàm giả ngẫu nhiên của Banerjee, Peikert và Rosen

lá cờ sy

Tôi đang cố hiểu hàm giả ngẫu nhiên sau do Banerjee, Peikert và Rosen xây dựng trong cái này giấy, giả sử độ cứng của LWE. Xét hàm giả ngẫu nhiên dựa trên LWE/LWR sau:

$$F_{A, S_1,\dots, S_k}(x_1,\dots,x_k) = \left\lfloor A\prod_{i =1}^k S_i^{x_i}\right\rceil_p,$$

ở đâu $A \in \mathbb{Z}_q^{m\times n}$ và mỗi $S_i \in \mathbb{Z}_q^{n\times n}$.

Tôi đã có một số câu hỏi về xây dựng này.

  1. mối quan hệ giữa $k$, $n$$m$? lớn cỡ nào $p$$q$ phải không?
  2. Thời gian mà thuật toán được biết đến nhiều nhất sẽ sử dụng để phá vỡ tính bảo mật của quy mô chức năng này như thế nào với $k$, $n$, và $m$?
  3. Trong bài báo được liên kết, ở trang 22, có đề cập rằng,

Để tránh một cuộc tấn công hiệu quả (như đã nêu trong phần giới thiệu), phân bổ $\psi$ nên được chọn sao cho sản phẩm của nhiều $S_i \rightarrow \psi$ không làm giảm đáng kể entropy của \begin{equation} A\prod_{i =1}^k S_i. \end{phương trình}

đầu ra của $F$ là một ma trận.Entropy của ma trận nghĩa là gì? Và, tuyên bố này có chỉ ra rằng $F$ là một đến một chức năng?

Điểm:3
lá cờ ng

Đầu tiên, đã có công việc tiếp theo đối với BPR, bao gồm cả một nghiên cứu thực tế. PRFPRG. Ở đây "thực tế" có nghĩa là cực nhanh --- ~5 chu kỳ mỗi byte, (và nhỏ bằng ~3 đối với PRG iirc). Điều này nằm trong hệ số 10 của AES khi sử dụng AES-NI. Có một vài cảnh báo về điều này mặc dù:

  1. Các phím rất lớn
  2. Tôi tin rằng hướng dẫn AVX được sử dụng, vì vậy một số tăng tốc phần cứng được sử dụng
  3. Rất nhỏ thông số được chọn.

Các tham số nhỏ này sao cho tương đương LWR/LWE không còn được biết là giữ [1], và hơn nữa, thực sự không có bất kỳ sự giảm thiểu có ý nghĩa nào đối với một vấn đề mạng cứng. Do đó, các thông số/bảo mật được chọn cụ thể bằng cách phân tích một số cuộc tấn công đã biết. Điều này nghe có vẻ như nó sẽ được bạn quan tâm.

  1. Mối quan hệ giữa k, n và m là gì? Làm thế nào lớn p và q phải được?

Nó phụ thuộc vào nếu bạn muốn nó được có thể chứng minh là an toàn hoặc an toàn theo kinh nghiệm. Để bảo mật có thể chứng minh được, định lý 5.2 của bài báo mà bạn liên kết dường như cung cấp cho bạn chính xác mối quan hệ mà bạn muốn. Đối với bảo mật heuristic (sử dụng các tham số nhỏ hơn), những điều liên quan cần xem xét là:

  • phần 4 của bài báo PRF, và
  • phần 3 của bài báo PRG.

nhưng chúng không đưa ra những bất đẳng thức đẹp mà bạn có thể muốn, bởi vì những bất đẳng thức như vậy không được biết đến. Thay vào đó, họ đánh giá một số cuộc tấn công đã biết để có các lựa chọn tham số cụ thể.

  1. Làm thế nào thời gian mà thuật toán được biết đến nhiều nhất để phá vỡ tính bảo mật của chức năng này chia tỷ lệ với k, n và m?

Xem phần 4 của bài báo PRF và phần 3 của bài báo PRG, trong đó một số tính toán có liên quan được thực hiện.

3.a Đầu ra của F là một ma trận. Entropy của ma trận nghĩa là gì?

Nghiêm túc mà nói, không có gì. Entropy là một thuộc tính của phân phối xác suất, vì vậy xác nhận quyền sở hữu sẽ chỉ có ý nghĩa nếu một người xem $F$ không phải là một ma trận, mà là một phân phối trên các ma trận. Để có được một số ý tưởng về ý nghĩa của các tác giả, hãy để $q = p_0 p_1$ là một nửa số nguyên tố. Sau đó nếu $A, S_1,\dots S_k$ được phân phối sao cho (với xác suất 1):

  1. $A\bmod p_0 \equiv 0$, và
  2. $S_i\bmod p_1\equiv 0$ cho tất cả $i$,

sau đó $F(A, S_1,\dots, S_k) \equiv 0\bmod q$ liên tục, vì vậy PRF sẽ có thể dự đoán được. Việc hạn chế để $A, S_i$ không thể đảo ngược $\bmod q$ dừng sự cố cụ thể (tiềm năng) này (và có thể hơn thế nữa).

3.b Và, câu lệnh này có chỉ ra rằng F là hàm một đối một không?

Không, nhưng nó không được mong đợi.Chúng tôi muốn $F$ không thể phân biệt được với một chức năng ngẫu nhiên. Lưu ý rằng các hàm ngẫu nhiên không phải là 1-1 (bạn có thể định lượng điều này thông qua một kỹ thuật gọi là "chuyển đổi PRP-PRF", nhưng điều này không đặc biệt phù hợp).


[1] Lưu ý rằng đối với hầu hết các nguyên mẫu dựa trên mạng "thực tế", đây đã là trường hợp --- ví dụ: SABER tự dựa trên tính bảo mật cụ thể của MLWR mô-đun nhỏ, mặc dù mô-đun của nó là $2^{13}\xấp xỉ 8k$nhiều lớn hơn mô đun của $q = 257$ mà các PRF/PRG này sử dụng. Điều này phần nào có liên quan, vì gần đây người ta đã thảo luận rằng LWR mô-đun nhỏ không được phân tích mật mã tốt. Nhìn thấy chủ đề nhóm google NIST PQC này. Kể từ chủ đề này vào khoảng tháng 12, mọi người đã chạy một số thử nghiệm (và không tìm thấy bất kỳ điều gì bất ngờ), nhưng từ chủ đề này, có vẻ như mọi người chưa thử phân tích trực tiếp LWR mô-đun nhỏ cho đến một hoặc hai tháng trước.

Có một số tình huống mà người ta có thể sử dụng các nguyên mẫu dựa trên LWR thực tế và có được sự bảo mật có thể chứng minh được dựa trên các vấn đề về mạng, nhưng "tiêu chuẩn" duy nhất mà tôi biết về điều này là của Sam Kim (Key Homomorphic) PRF dựa trên lưới. Hart Montgomery cũng có một Phiên bản không chuẩn của LWR ông có thể chứng minh an ninh cho.

BlackHat18 avatar
lá cờ sy
Khi đó entropy của hàm $F$ là bao nhiêu, nếu không phải là cực đại? Bạn có bất kỳ trực giác?
Mark avatar
lá cờ ng
@BlackHat18 Trực giác là nó phải cao, nếu bị hạn chế phù hợp (chẳng hạn như $S_i$ là không thể đảo ngược). Nếu có một số phân phối "tự nhiên" trên $S_i$ sao cho entropy thấp bất ngờ, nó sẽ dẫn đến một cuộc tấn công. Tất nhiên, điều này không phải là không thể, nhưng hiện tại vẫn chưa biết cách thực hiện và sẽ đáng để viết ra.
Chris Peikert avatar
lá cờ in
Câu trả lời tuyệt vời! Một số nits: kết nối LWE/LWEâ không phải là tương đươngâ bởi vì nó không đi cả hai chiều, ít nhất là không có sự mất mát lớn về thông số trong chuyến đi khứ hồi. Và âreduction *to* a hard latice problemsâ nên là *từ*. Tất nhiên, chúng tôi đã giảm bớt một vấn đề về mạng, trong đó chúng tôi có thể phá vỡ PRF/PRG bằng cách sử dụng một lời tiên tri giải quyết mạng (rất mạnh).
Chris Peikert avatar
lá cờ in
Lỗi đánh máy: *LWR*/LWE tương đương.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.