Điểm:1

Mối quan hệ giữa thương số bản mã và mức độ đa thức trong RLWE là gì?

lá cờ es

Trong bài toán Ring Learning with Errors, kích thước của thương số bản mã $q$ quyết định độ lớn của bậc đa thức $n$ hoặc ngược lại. Nói cách khác, bài toán chỉ khó khi bậc đa thức được đặt so với thương. Tuy nhiên, tôi không chắc mối quan hệ giữa các giá trị của hai tham số là gì?

Ai đó có thể giải thích cho tôi hoặc chỉ cho tôi một số tài nguyên không?

Mark avatar
lá cờ ng
Bạn có thể giải thích những gì bạn có ý nghĩa? Đối với tôi, có vẻ như bạn đang nói về *mô-đun* LWE, qua một vòng $R$ có thứ hạng không tầm thường nào đó như một nhóm abelian. Nhưng tôi không hoàn toàn chắc chắn.
muhammad haris avatar
lá cờ es
Này @Mark Tôi đã chỉnh sửa câu hỏi mà tôi đang nói về mức độ đa thức còn được gọi là bản mã trong một số tài liệu. Xin lỗi vì sự nhầm lẫn
Điểm:1
lá cờ ng

Thực sự không có "mối quan hệ" giữa hai tham số này, do cái được gọi là chuyển đổi mô-đun. Đại khái, đưa ra một ví dụ LWE $\bmod q$, người ta có thể thay đổi nó thành một phiên bản LWE $\bmod p$ với chi phí tương đối thấp, cho nhiều loại $p$. Có nhiều kết quả dọc theo những dòng này, nhưng tôi sẽ mô tả một kết quả từ Mức giảm từ trường hợp xấu nhất đến trường hợp trung bình đối với mạng mô-đun.

Để cho $\psi$ là một số phân phối xác suất trên $\mathbb{T}_{R^\vee}$, và $s\in(R^\vee_q)^d$ là một véc tơ. Chúng tôi xác định $A^{(M)}_{q,s,\psi}$ như phân phối trên $(R_q)^d à \mathbb{T}_{R^\vee}$ thu được bằng cách chọn một vectơ a $s\in(R_q)^d$ ngẫu nhiên đều và $e \in \mathbb{T}_{R^\vee}$ dựa theo $\psi$, và trở về $(a, \frac{1}{q}\langle a, s\rangle + e)$.

MLWE: Cho một số nguyên $q \geq 2$ và phân phối $\Psi$ trên một họ phân phối trên $K_\mathbb{R}$. Phiên bản quyết định vấn đề học mô-đun có lỗi $M-LWE_{q, \Psi}$ như sau: Hãy $s \in (R^\vee_q)^d$ là ngẫu nhiên thống nhất và $\psi$ được lấy mẫu từ $\Psi$ ; Mục đích là để phân biệt giữa nhiều mẫu độc lập tùy ý từ $A^{(M)}_{q, s, \psi}$và cùng một số mẫu độc lập từ $U(R^d_q, \mathbb{T}_{R^\vee})$.

Điều này tổng quát hơn RLWE và giảm xuống RLWE khi $d = 1$. Gia đình phân phối $\Psi_a$ là một phân phối Gaussian hình elip nhất định, xem phần 2.3.

Dù sao, kết quả chuyển đổi mô đun là định lý 4.8. Đây, $N = thứ$ là "tổng kích thước" của phiên bản MLWE. Cài đặt $n = 1$ khôi phục trường hợp của RLWE mà bạn quan tâm.

Để cho $p, q \in [2, 2^{N^{O(1)}} ]$$\alpha, \beta â (0, 1)$ như vậy mà $\beta \geq \alpha \max(1, \frac{q}{p})n^{1/4}N^{1/2}\omega(\log_2 N)$$\alpha q \geq \omega(\sqrt{\log(N)/n})$. Tồn tại một giảm thời gian đa thức từ $M-LWE_{q,\Psi_\alpha}$ đến $M-LWE_{p,\Psi_\beta}$.

Đây là tất cả để nói rằng bạn có thể giảm từ một mô đun tùy ý $q$ đến một mô đun tùy ý khác $p$, với chi phí tăng tốc độ tiếng ồn từ $\alpha\mapsto \frac{q}{p}\alpha\sqrt{N}\omega(\log_2 N)$. Đây không phải là Tổng cộng miễn phí (có thêm $\sqrt{N}$ yếu tố), nhưng cho rằng các mô đun $q, p$ thường là các đa thức nhỏ trong $N$, chi phí bạn phải trả là tương đối nhỏ so với kích thước thông số.

Kết quả là, thực sự không có mối quan hệ giữa duy nhất mô đun bản mã (như nó thường được gọi, không phải thương số bản mã) và thứ nguyên, như bất kỳ mối quan hệ nào. Mà còn cần phải tính đến kích thước của phân phối lỗi.

Đối với cách thực sự thiết lập tất cả những thứ này, mọi người thường đưa các tham số của họ vào Công cụ ước tính LWE, đưa ra một số ước tính bảo mật bit cho từng bộ tham số cụ thể.

muhammad haris avatar
lá cờ es
Cảm ơn bạn đã phản hồi, vâng, tôi hiểu rằng bạn có thể chuyển từ mod $q$ sang mod $p$ khi $pq$, theo sự hiểu biết và thực tiễn của tôi, điều đó sẽ làm giảm tính bảo mật cho $N$ cố định?
muhammad haris avatar
lá cờ es
Nói cách khác, nếu tôi lấy hai mẫu RLWE, có cùng $N$ và có lỗi được lấy mẫu từ cùng một bản phân phối, nhưng mô đun bản mã của mẫu đầu tiên là $q$ và mẫu còn lại là $p$ , trong đó $p >q$ , chúng có cùng cấp độ bảo mật không? Tôi tin rằng mẫu RLWE với mô-đun $q$ sẽ có mức độ bảo mật cao hơn.. và đó là điều tôi muốn hiểu tại sao lại như vậy
Mark avatar
lá cờ ng
Khi thay đổi mô đun, tốt nhất là nghĩ về mọi thứ theo thương số của $\sigma/q$, ví dụ: *tương đối* $\sigma$ lớn như thế nào so với $q$. Có vẻ như bạn không nói về điều này, điều này có thể gây ra sự cố. Đặc biệt, nếu bạn tăng $q$ mà không đồng thời thay đổi $\sigma$, thương số $\sigma/q'$ sẽ co lại, làm giảm tính bảo mật. Nếu bạn giảm $q$ mà không đồng thời thay đổi $\sigma$, thương số $\sigma/q'$ sẽ tăng lên, tăng tính bảo mật. Để xác định chính xác mức độ thay đổi (ước tính) của bảo mật, hãy sử dụng công cụ ước tính LWE.
muhammad haris avatar
lá cờ es
được rồi, vì vậy không có phương trình giả tạo nào đưa ra mối quan hệ của $N,q,\sigma$ và mức độ bảo mật?
Mark avatar
lá cờ ng
Có, nhưng dễ nhất là sử dụng công cụ ước tính LWE. Đại khái, phương trình giả định là $\mathsf{seclevel}(N, q, \sigma) = \min_i (f_i(N, q, \sigma)$, trong đó mỗi $f_i(N, q, \sigma)$ mô tả một cuộc tấn công cụ thể vào (R)LWE. Để biết thêm thông tin về từng $f_i$, bạn có thể đọc [Thông số kỹ thuật của NewHope, phần 4.2](https://www.newhopecrypto.org/data/NewHope_2020_04_10.pdf). NewHope (là) hệ thống mật mã dựa trên RLWE phổ biến nhất đã đệ trình lên tiêu chuẩn hóa PQC của NIST. Nó đã không lọt vào vòng cuối cùng, vì NIST đã ưu tiên MLWE và "LWE đơn giản" hơn RLWE.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.