Tham gia Đăng nhập
Điểm:1
BlackHat18 avatar Crypto

Các câu hỏi về LWE với ma trận bí mật lặp đi lặp lại S

lá cờ sy
BlackHat18

Hãy xem xét một công thức của LWE nơi chúng tôi được đưa ra một trong hai $(x,S x+e)$ hoặc $(x,u)$ --- ở đâu $S$ là một $m \times n$ ma trận bí mật/ẩn, $x$ là một mẫu ngẫu nhiên $n \times 1$ vectơ, $e$ là một $m \times 1$ Vectơ lỗi Gaussian và $u$ là một mẫu ngẫu nhiên thống nhất --- và được yêu cầu phân biệt giữa hai trường hợp này. Điều này sẽ khó đối với các thuật toán cổ điển, theo bài đăng đây. Gọi vấn đề này là "đảo ngược-LWE."

Tôi có một vài câu hỏi về cài đặt.

Vấn đề phân biệt có khó không $e$?

Lưu ý rằng trong LWE tiêu chuẩn, khi chúng tôi được cung cấp $(A,A s+e)$ hoặc $(x,u)$, và bảo phân biệt giữa 2 trường hợp thì đề dễ mà không bị lỗi. Chúng tôi chỉ giải một hệ phương trình tuyến tính để có được $n$ các mục của $s$.

Tuy nhiên, ở đây chúng ta cần tìm $m \times n$ mục của ma trận bí mật của chúng tôi $S$. Tôi không thấy làm thế nào để làm điều đó chỉ với $m$ phương trình.

Hãy xem xét một biến thể của vấn đề, trong đó chúng tôi được đưa ra một trong hai $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$

$$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$

và bảo phân biệt giữa hai trường hợp. Gọi vấn đề này là "LWE đảo ngược với một bí mật lặp đi lặp lại." $k$ là đa thức lớn trong $n$. Vấn đề này có khó không?

Lưu ý rằng một đối số kết hợp (như đối số được sử dụng trong một trong các câu trả lời đây) chỉ ra rằng vấn đề vẫn còn khó khăn. Đây là con lai $H_i$:

$$H_i = \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_i, Sx_i + e_i), (x_{i+1}, u_{i+1}) \ldots , (x_{k}, u_{k}) \} .$$

Sau đó, có một cách trực tiếp để kết luận rằng nếu chúng ta giải "LWE ngược với một bí mật được lặp lại", thì chúng ta có thể giải LWE ngược. Vì LWE ngược là khó nên bài toán của chúng ta cũng khó.

Tuy nhiên, tôi đang gặp khó khăn trong việc xoay quanh sự thật này.

Lưu ý rằng nếu chúng ta không có thuật ngữ lỗi, thì có một cách rất dễ dàng để phân biệt giữa hai trường hợp, ví dụ: $k \geq n+1$. Lưu ý rằng chỉ có thể có $n$ độc lập tuyến tính $x_i$-S. Vì vậy, người phân biệt chỉ tìm kiếm $n$ riêng biệt $x_i$-s trong các mẫu đã cho, lưu ý nơi ma trận $S$ đưa các vectơ này đến và cho $n+1^{\text{th}}$ mẫu riêng biệt, sử dụng tuyến tính để tính toán đầu tiên trong đó $S$ đưa nó đến, và sau đó kiểm tra xem điều đó có phù hợp với những gì được đưa ra hay không.

Tại sao các điều khoản lỗi làm cho bộ phân biệt này không thành công? Ngay cả với lỗi Gaussian, do sự phụ thuộc tuyến tính, không nên $n+1^{\text{th}}$ mẫu riêng biệt có đủ tập trung xung quanh một số giá trị để bộ phân biệt của tôi thành công không?

60
0 + 0
Điểm:3
Daniel S avatar Crypto
lá cờ ru
Daniel S

Vấn đề phân biệt với một mẫu duy nhất $x$ là không thể.

Điều này là do đối với bất kỳ khác không $x$ và bất kỳ $u$ tồn tại một $S$ như vậy mà $Sx=u$.

ETA 20220405:

Đối với câu hỏi rộng hơn về việc phân biệt $(\mathbf x_i,S\mathbf x_i+\mathbf e_i)$ từ $(\mathbf x_i,u_i)$ với chưa biết $S$, chúng tôi có thể viết $X_{i,j}$ cho $m\times m$ ma trận đường chéo với đường chéo không đổi của $j$mục nhập thứ $\mathbf x_i$. Sau đó các hàng của $mn\lần km$ ma trận $$\left[\begin{matrix} X_{1,1} & X_{2,1} & X_{3,1} &\ldots & X_{k,1}\ X_{1,2} & X_{2,2} & X_{3,2} &\ldots & X_{k,2}\ \vdots & \vdots & \vdots & & \vdots\X_{1,n} & X_{2,n} & X_{3,n} &\ldots & X_{k,n}\end{ma trận }\right]$$ tạo thành một mạng trong đó vectơ $((S\mathbf x_1+\mathbf e_1)^T,(S\mathbf x_2+\mathbf e_2)^T,(S\mathbf x_3+\mathbf e_3)^T,\ldots,(S\mathbf x_k+\mathbf e_k) ^T)$ là một vectơ gần (vectơ khác nhau có các thành phần là các mục của $\mathbf e_i$). Cho lớn $k$, một vectơ gần như vậy rất khó có khả năng phát sinh từ phân phối đồng đều. Điều này chỉ cho chúng tôi biết rằng thông tin cho một sự phân biệt tồn tại; việc tìm kiếm một vectơ gần như vậy sẽ rất khó tính toán vì $n$ tăng lên và phương sai của phân bố Gaussian tăng lên.

0 + 0
BlackHat18 avatar
lá cờ sy
BlackHat18
Điều này khiến tôi rất bối rối. Xét bài toán phân biệt $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}.$$ Vậy thì điều này cũng khó, bởi một đối số lai. Tuy nhiên, chúng tôi biết rằng vấn đề này dễ dàng đối với $k > n +1$ bởi bộ phân biệt mà tôi đã vạch ra (kiểm tra sự phụ thuộc tuyến tính và lưu ý rằng chỉ có thể có $n$ độc lập tuyến tính $x_i$-s.) Làm thế nào cả hai có thể đúng ?
0
Hồi đáp
Daniel S avatar
lá cờ ru
Daniel S
Đó là bởi vì các hệ thống tuyến tính có sự chuyển đổi rõ nét giữa $k chưa được xác địnhn$ (không hoặc một giải pháp). Một hệ thống được xác định quá mức rất có khả năng không có giải pháp, vì vậy sự tồn tại của một giải pháp duy nhất là một điểm khác biệt mạnh mẽ.
1
Hồi đáp
BlackHat18 avatar
lá cờ sy
BlackHat18
Tôi đã không làm theo. Nó có nghĩa là hai trường hợp: $$ \{ (x_1, Sx_1), (x_2, Sx_2), \ldots, (x_k, Sx_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\},$$ thực sự không thể phân biệt được? Không phải đối số lai nói rằng họ là?
0
Hồi đáp
Daniel S avatar
lá cờ ru
Daniel S
Chúng không thể phân biệt được $k$ độc lập tuyến tính $x_i$ với $k
1
Hồi đáp
BlackHat18 avatar
lá cờ sy
BlackHat18
Cảm ơn! Bây giờ thì rõ ràng. Một câu hỏi cuối cùng, đối với trường hợp ồn ào, chúng ta có thể nói gì về trường hợp $k > n$? Tức là $$ \{ (x_1, Sx_1 + e_1), (x_2, Sx_2 + e_2), \ldots, (x_k, Sx_k + e_k)\} ~~\text{or}$$ $$\{ (x_1, u_1), (x_2, u_2), \ldots, (x_k, u_k)\}$$ có thể phân biệt được với $k > n$? Tôi không thể chứng minh bất cứ điều gì, như bạn đã nói, việc giảm liên quan đến việc sản xuất các mẫu bổ sung không hiệu quả.
0
Hồi đáp
Daniel S avatar
lá cờ ru
Daniel S
Có một Vấn đề Vector Đóng có thể được thiết lập cho $k$ lớn, nhưng các lựa chọn sáng suốt về $e$ và $n$ sẽ khiến nó hoàn toàn khó chữa.
0
Hồi đáp
BlackHat18 avatar
lá cờ sy
BlackHat18
Bạn có thể giải thích về trường hợp này (tức là trường hợp ồn ào cho $k > n$) trong câu trả lời của bạn không?
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.