Làm thế nào để chứng minh giảm từ quyết định tìm kiếm LWE?

zxcv

09:16, 06/07/2023

Tôi chưa quen với mật mã và đang cố gắng hiểu các khái niệm về LWE (học có lỗi) một cách chính thức. Tôi sẽ nêu hiểu biết của tôi về các định nghĩa, điều này có thể không chính xác.

Các Định Nghĩa Theo Mình Hiểu

Để cho $R$ là một vành giao hoán đơn vị hữu hạn được trang bị xác suất $\mu$ (của ai $\sigma$-đại số rời rạc). $R$ được cho là thỏa mãn giả định LWE tìm kiếm trong trường hợp xấu nhất nếu với mọi đa thức $n$ và tất cả thuật toán ngẫu nhiên thời gian đa thức $S$, bản đô \begin{phương trình} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{phương trình} ở đâu \begin{phương trình} p(m,s) = \Pr\{(A,e)\in R^{m\times n(m)} \times R^{n(m)}: S (-sA+e,A)= s\}\text{,} \end{phương trình} không đáng kể. Trong phương trình trên, $A$ được lấy mẫu từ xác suất thống nhất, và $e$ được lấy mẫu từ xác suất sản phẩm $\mu^{n(m)}$.

$R$ được cho là thỏa mãn quyết định trường hợp xấu nhất LWE giả định nếu với mọi đa thức $n$ và tất cả thuật toán ngẫu nhiên thời gian đa thức $D$, bản đô \begin{phương trình} m\mapsto \min_{s\in R^m} |p_1(m,s)-p_2(m)|\text{,} \end{phương trình} ở đâu \begin{phương trình} \start{split} p_1(m,s) &= \Pr\{(A,e)\in R^{m\times n(m)}\times R^{n(m)}: D (-sA+e,A) =1\},\ p_2(m) &= \Pr\{(b,A)\in R^{n(m)}\times R^{m\times n(m)}\times: D (b,A)=1\ }\chữ{,} \end{tách} \end{phương trình} không đáng kể. Trong phương trình trên, $A$ và $b$ được lấy mẫu từ các xác suất thống nhất, và $e$ được lấy mẫu từ xác suất sản phẩm $\mu^{n(m)}$.

Câu hỏi

Tôi đã chứng minh rằng nếu $R$ là một trường hữu hạn được trang bị xác suất $\mu$ (của ai $\sigma$-đại số rời rạc) và nếu $R$ thỏa mãn giả định LWE tìm kiếm trong trường hợp xấu nhất, sau đó $R$ cũng thỏa mãn giả định LWE quyết định trong trường hợp xấu nhất. Nhưng làm thế nào để chứng minh điều ngược lại? Tất cả các tài liệu tôi đã xem cho đến nay chỉ nói rằng nó tầm thường, nhưng tôi không thể chứng minh điều đó. Rõ ràng hơn, tôi cần một bằng chứng về tuyên bố sau:

Nếu $R$ là một vành giao hoán đơn vị hữu hạn được trang bị xác suất $\mu$ (của ai $\sigma$-đại số rời rạc) và nếu $R$ thỏa mãn giả định LWE quyết định trường hợp xấu nhất, sau đó $R$ cũng thỏa mãn giả định LWE tìm kiếm trong trường hợp xấu nhất.

Nỗ lực của tôi

Giả sử $R$ thỏa mãn giả định LWE quyết định trong trường hợp xấu nhất. Để cho $n$ là một đa thức và để cho $S$ là một thuật toán ngẫu nhiên thời gian đa thức (có đầu vào là các phần tử trong $R^{n(m)}\times R^{m\times n(m)}$ và có đầu ra là các phần tử trong $R^m$). Chúng ta cần chỉ ra rằng bản đồ \begin{phương trình} m\mapsto \min_{s\in R^m} p(m,s)\text{,} \end{phương trình} ở đâu $p(m,s)$ được xác định ở trên, là không đáng kể. Đưa ra một đầu vào $(b,A)\in R^{n(m)}\times R^{m\times n(m)}$ ở đâu $b=-sA+e$, $S$ sẽ trả lại một số dự đoán $g\trong R^m$ điều đó có thể hoặc có thể không bằng $s$. Người ta có thể tính toán $b+gA$ và biểu thị nó bằng $e'$. Nếu $g=s$, sau đó $e'=e$. Nếu $g\neq s$, sau đó $e'=e$ có thể hoặc không thể giữ.Tôi không biết phải làm gì bây giờ.

0 + 0

chúng tôi

Điểm:1

Crypto

Mark

17:30, 06/07/2023

Vì bạn đã khá gần với câu trả lời đúng nên tôi sẽ không đưa ra câu trả lời đúng mà thay vào đó sẽ cung cấp cho bạn một mô tả định tính về bước cuối cùng bạn cần làm.

Tùy thuộc vào phân phối lỗi chính xác mà người ta chọn $e$ từ, bản phân phối LWE $(A, sA + e)$ có thể là:

chính xác phân phối thống nhất (giả sử nếu $e$ là ngẫu nhiên đều)
tính toán có thể phân biệt với thống nhất (giả sử nếu $e$ được hỗ trợ trên $\{0\}$), hoặc
(được cho là) không thể phân biệt được về mặt tính toán với đồng phục (nếu $e$ là "giới hạn" --- bạn có thể xem rõ ràng điều này có nghĩa là có i.i.d. Tọa độ Gaussian của tham số $\xấp xỉ n$).

Ba trường hợp này rất hữu ích cần ghi nhớ khi xem xét biến ngẫu nhiên $(A, sA+e)$. Lưu ý rằng (đối với cố định $A$) bản đô $s\mapsto sA$ xác định một mạng tinh thể. Vấn đề LWE quyết định là (đại khái) về việc phát hiện cấu trúc mạng tinh thể này. Ví dụ

Trong trường hợp đầu tiên, $sA+e$ là thống nhất trên $R$, ví dụ. lỗi $e$ "rửa sạch" bất kỳ cấu trúc mạng nào (thông tin về mặt lý thuyết),
trong trường hợp thứ hai $sA$ chính xác là một điểm trong mạng và tồn tại những cách hiệu quả để kiểm tra tư cách thành viên của một số điểm ứng cử viên $b = sA$ trong mạng trong trường hợp này, và
trong trường hợp thứ ba, $sA$ là một điểm nhiễu loạn của mạng và thật khó để quyết định rằng bạn đang "gần" với mạng.

Tất cả điều này là để nói rằng câu hỏi của bạn có rất các câu trả lời khác nhau tùy thuộc vào các đặc điểm chính xác của phân phối lỗi, do đó, phân phối lỗi phải ảnh hưởng đến câu trả lời của bạn bằng cách nào đó. Đối với một gợi ý làm thế nào nó sẽ, bạn nói

Nếu $g\neq s$, sau đó $eâ²=e$ có thể hoặc không thể giữ. Tôi không biết phải làm gì bây giờ.

Khi nào $g\neq s$, sau đó $b + gA =(g-s)A+e$. Nói một cách đại khái, điều bạn làm tiếp theo là lập luận rằng điều đó rất khó xảy ra đối với $(g-s)A+e$ được rút ra từ phân phối lỗi. Điều này là do

phân phối lỗi tập trung xung quanh 0 (hoặc thậm chí có thể bị chặn), ví dụ: bất kỳ yếu tố nào của phân phối lỗi sẽ có $|e|$ "nhỏ", và
khi nào $g\neq s$, $(g-s)A$ sẽ lớn hơn $\lambda_1(\mathcal{L}(A))$, vectơ ngắn nhất của mạng $\mathcal{L}(A)$. Đối với ngẫu nhiên $A$, đây thường là "lớn".

Có vẻ hợp lý khi bạn có thể tham số hóa một cách định lượng những thứ sao cho, bằng cách sử dụng các phiên bản định lượng của hai tuyên bố trên, rằng không chắc rằng $g\neq s$>

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to prove reduction from decision to seach LWE?

TH: จะพิสูจน์การลดลงจากการตัดสินใจเลือก LWE ได้อย่างไร

RO: Cum demonstrez reducerea de la decizie la căutarea LWE?

RU: Как доказать отстранение от решения об розыске LWE?

VI: Làm thế nào để chứng minh giảm từ quyết định tìm kiếm LWE?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.