Tham gia Đăng nhập
Điểm:3
BlackHat18 avatar Crypto

LWE với ma trận A lặp lại

lá cờ sy
BlackHat18

Hãy xem xét phiên bản sau của Learning With Errors.

Bạn được cho $(A, As_1 + e_1, As_2 + e_2, \ldots, As_k + e_k)$ hoặc $(A, u_1, u_2, \ldots, u_k)$, ở đâu

  • $A$ là một $m \times n$ ma trận có các mục đến từ trường $\mathbb{Z}_q$ --- các mục được lấy mẫu thống nhất một cách ngẫu nhiên.
  • $u_1, u_2, \ldots, u_k$$m \times 1$, mỗi mục nhập của họ đến từ trường $\mathbb{Z}_q$ ngẫu nhiên đều.
  • Mỗi $e_1$, $e_2$, $\ldots$, $e_k$ là một $m \times 1$ Vectơ nhiễu Gaussian.
  • Mỗi $s_1, s_2, \ldots, s_k$ là một $n \times 1$ chuỗi bí mật.

Bạn được yêu cầu phân biệt giữa hai trường hợp này.

Giả sử LWE tiêu chuẩn là khó, vấn đề này có khó không?

Nói chung, một ma trận khác nhau $A$ được lấy mẫu cho từng mẫu LWE. Ở đây, chúng ta có cùng một ma trận $A$ nhưng $k$ bí mật khác nhau.Điều đó có thay đổi bất cứ điều gì về cài đặt không?

67
0 + 0
Điểm:2
Daniel S avatar Crypto
lá cờ ru
Daniel S

Bạn chưa nêu đầy đủ vấn đề, nhưng tôi cho rằng đó là để phân biệt tập hợp được xây dựng từ $\mathbf s_k$ các giá trị.

bên trong công thức thông thường của LWE chúng tôi được cho $m$ mẫu tương ứng với khác nhau $n$-vectơ dài. Chúng có thể được kết hợp thành một $m\lần n$ ma trận $A$ để vấn đề quyết định LWE "tiêu chuẩn" là phân biệt $(A,A\mathbf s_1+\mathbf e_1)$ từ $(A,\mathbf u_1)$.

Với một vấn đề như vậy, một đối thủ có thể tự tạo ra $\mathbf s_j$, $\mathbf e_j$$\mathbf u_k$$j=2,\ldots k$ và tạo hai trường hợp giả định cho vấn đề của bạn bằng cách kết hợp hai đầu vào thành LWE quyết định với đầu vào của riêng chúng, tức là $\{(A,A\mathbf s_1+\mathbf e_1,A\mathbf s_2+\mathbf e_2,\ldots A\mathbf s_K+\mathbf e_k),(A,\mathbf u_1,\ldots,\mathbf u_k)\}$$\{(A,A\mathbf s_1+\mathbf e_1,\mathbf u_2,\ldots,\mathbf u_k),(A,\mathbf u_1,A\mathbf s_2+\mathbf e_2,\ldots,A\mathbf s_K+\mathbf e_k)\}$. Nếu có một phương pháp để giải quyết vấn đề của bạn, thì nó sẽ hoạt động trong trường hợp đầu tiên để phân biệt tập hợp với $\mathbf s_1$ trong đó do đó giải quyết LWE quyết định ban đầu. Có một câu hỏi là bộ giải sẽ hoạt động như thế nào nếu được cung cấp đầu vào không hợp lệ, nhưng một lần nữa chúng ta sẽ có thể phân biệt được lợi thế.

0 + 0
Điểm:1
Mark avatar Crypto
lá cờ ng
Mark

Vâng, nó vẫn còn khó thông qua một đối số lai đơn giản. Về cơ bản, đối với $i\in[k]$ xác định "phân phối hỗn hợp"

$$H_i = (A, A\vec s_1 + \vec e_1,\dots, A\vec s_i + \vec e_i, \vec u_{i+1},\dots, \vec u_k).$$

Sau đó, vấn đề phân biệt giữa $H_i$$H_{i+1}$ có thể được coi là có thể rút gọn thành bài toán LWE. Khi sử dụng điều này để phân tích cụ thể mọi thứ, điều này cho phép người ta tận dụng lợi thế của việc phân biệt giữa $H_0$$H_k$ qua $k$ gấp nhiều lần lợi thế của bộ phân biệt LWE.

Lập luận này (và nói chung là kỹ thuật sử dụng lại $A$) ngày trở lại ít nhất Chức năng Trapdoor tổn hao và ứng dụng của chúng của Peikert và Waters năm 2008. Nó có một số lợi ích hợp lý nhẹ, cụ thể là:

  1. về nguyên tắc người ta có thể tiêu chuẩn hóa một ma trận duy nhất $A$ mà tất cả người dùng sử dụng (tương tự như cách các nhóm DDH được chuẩn hóa) hoặc thậm chí
  2. người ta có thể "tái sử dụng" một $A$ trong một khoảng thời gian tương đối ngắn, nhưng vẫn không tầm thường, chẳng hạn như 1 giờ.

Mặc dù vậy, nó không còn được hấp dẫn nhiều nữa. Điều này là vì hai lý do chính

  1. người ta có thể giảm được kích thước của $A$ bằng cách thu hút các phiên bản có cấu trúc của LWE (đồng thời nâng cao hiệu quả của các hoạt động có liên quan) và
  2. trong thực tế người ta không thường xuyên gửi $A\in\mathbb{Z}_q^{n\times m}$ với chi phí của $nm\log_2q$ bit (lớn, dẫn đến việc tìm kiếm các đối số khấu hao giống như đối số bạn đề xuất). Thay vào đó, bạn chỉ cần gửi một "hạt giống" $\{0,1\}^\lambda$, được mở rộng thành một ma trận ngẫu nhiên $A$ sử dụng chức năng đầu ra có thể mở rộng tại đích. Hầu hết các ứng cử viên NIST PQC sử dụng phương pháp này.

Cũng cần nhắc lại rằng ý tưởng về một "trường hợp LWE được tiêu chuẩn hóa" ở trên có một vài lý do thực tế khiến nó có thể không thông minh trong thời gian dài, cụ thể là

  1. nó mở ra cho bạn các cuộc tấn công tính toán trước (tương tự như các tiêu chuẩn hóa nhóm DDH khác, chẳng hạn như cuộc tấn công LogJam), và quan trọng hơn

  2. người ta có thể xây dựng "các phiên bản LWE có cửa hậu" --- đại khái là phân phối các ma trận ngẫu nhiên $A$ không thể phân biệt về mặt tính toán với ngẫu nhiên, nhưng có một "cửa sập" cho phép một người phá vỡ LWE.

Phiên bản LWE có cửa hậu tương đối đơn giản (không may là tôi không nhớ đã gán nó cho ai). Nhớ lại rằng giả định NTRU tạo khóa một khóa công khai $h$, và khóa bí mật $f$, như vậy mà $hf = g$ nhỏ". Bằng cách sử dụng dạng "ma trận" thích hợp của sự vật, chúng ta có được ma trận $H, F$ như vậy mà:

  • $HF = G$ là nhỏ, và
  • $H$ không thể phân biệt về mặt tính toán với ngẫu nhiên thống nhất.

Sau đó, nếu chúng ta sử dụng $H^t$ dưới dạng ma trận ngẫu nhiên của một cá thể LWE, ví dụ: nhận một mẫu $(H^t, H^t s + E)$, chúng ta có thể dễ dàng phá vỡ giả định LWE bằng cách sử dụng ma trận ngẫu nhiên này, như $F^t H^t s + F^t E = Gs + F^t E$ là "nhỏ" (tôi tin). Đây là tất cả với ma trận $H$ không thể phân biệt về mặt tính toán với ngẫu nhiên theo NTRU, ví dụ: cửa hậu này $H$ rất khó phát hiện.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.