Ảnh hưởng của các mạng con kép xếp hạng thấp đối với cuộc tấn công mạng kép trên LWE là gì?

Trong cuộc tấn công mạng kép của Espitau, Joux và Kharchenko (Trên một cách tiếp cận kép/kết hợp với LWE bí mật nhỏ), các tác giả đề xuất phân biệt (và sau đó khôi phục các giá trị bí mật) của các mẫu LWE $(A,\mathbf b)=(A,A\mathbf s+\mathbf e)$ bằng cách tìm các vectơ đối ngẫu $(\mathbf x^T|\mathbf y^T)$ sao cho các thành phần của vectơ là nhỏ (có thể ngoại trừ một tập hợp con nhỏ các thành phần của $\mathbf y$) và $\mathbf x^TA=\mathbf y^T$. Trong trường hợp này nếu $\mathbf b$ được rút ra từ một bản phân phối LWE $\mathbf x^T\mathbf b=\mathbf y^T\mathbf s+\mathbf x^T\mathbf e$ và sự đóng góp cho biểu hiện này từ các thành phần nhỏ của $\mathbf x$ và $\mathbf y$ nên trung bình, nhỏ so với đồng phục $\mathbf b$ trường hợp. Bằng cách tìm nhiều vectơ kép độc lập, điều này sẽ cho phép một người chấm điểm các mẫu $\mathbf b$ và khí thải trên các thành phần của $\mathbf s$ để tìm các giá trị điểm nhỏ.

Trong bài báo gần đây của nhóm MATZOV (Báo cáo về tính bảo mật của cuộc tấn công mạng kép cải tiến LWE) một số biến thể của cuộc tấn công EJK được coi là có thể ảnh hưởng đến tính bảo mật của các sơ đồ KYBER, SABER và DILITHIUM liên alia. Một trong những đề xuất của họ là tạo ra nhiều vectơ kép ngắn trong phần 4 của bài báo của họ. Họ đề xuất giảm các thành phần của cơ sở kép bằng phương pháp khối-Korkine-Zolotarev (BKZ) với kích thước khối $\beta_1$ và sau đó sử dụng mạng "sàng" trên các vectơ cơ sở giảm để tạo ra nhiều vectơ kép ngắn. Phương pháp sàng lọc của họ tự giới hạn ở phương pháp đầu tiên $\beta_2$ các vectơ trong cơ sở BKZ và mặc dù họ tuyên bố rằng các vectơ có thể được tạo ra từ nhiều quá trình khử và sàng, trong Ghi chú 4.3, họ quan sát thấy rằng một quá trình khử và sàng duy nhất có vẻ tối ưu.

Điều này có nghĩa là tất cả các véc tơ đối ngẫu mà họ sử dụng để tạo ra điểm số của họ nằm trong một thứ hạng $\beta_2$ mạng con của không gian kép. Bằng trực giác, người ta cảm thấy rằng nếu $\beta_2$ nhỏ, thì sự đóng góp của các vectơ khác nhau vào điểm số sẽ không độc lập. Điều này sẽ vi phạm giả định 4.4 của họ. Có bất kỳ định lý hoặc kinh nghiệm nào về mức độ nhỏ của một mạng con xếp hạng có thể được sử dụng theo cách này trong khi vẫn tạo ra một điểm số đủ mạnh để phân biệt/khôi phục các mẫu/bí mật của LWE không?

Đây không phải là một câu trả lời.

Với hy vọng hỗ trợ bất kỳ ai nghĩ về điều này và theo nhận xét của @TMM, đây là một chút xác thực hơn xung quanh tuyên bố "Theo trực giác, người ta cảm thấy rằng nếu $\beta_2$ nhỏ, thì sự đóng góp của các vectơ khác nhau vào điểm số sẽ không độc lập".

xem xét trường hợp $\beta_2=1$. Trong trường hợp này tất cả của chúng tôi $(\mathbf x^T,\mathbf y^T)$ các vectơ sẽ là bội số của một vectơ tạo đơn lẻ, giả sử $\alpha(\mathbf x_0^T,\mathbf y_0^T)$ với $\alpha$ có lẽ một số Gaussian rời rạc tùy thuộc vào số lượng vectơ. Bây giờ có $q^{n-1}$ vectơ $\mathbf v$ như vậy mà $\mathbf x_0^T\cdot\mathbf v=0$. Xét bất kỳ vectơ nào có dạng $\mathbf v+\mathbf e$ ở đâu $\mathbf e$ được rút ra từ cùng một phân phối như mẫu LWE. Chúng tôi mong đợi có lẽ $O(\sigma^nq^{n-1})$ các vectơ như vậy (các vectơ có hai cách biểu diễn như vậy rất hiếm) và đối với các vectơ lớn $n$ chúng tôi có thể mong đợi những thứ này sẽ bao phủ hầu hết không gian. Điểm của các vectơ như vậy được cho bởi $\alpha\mathbf x_0^T\mathbf e$ và số điểm của các giải pháp nhân quả được đưa ra bởi $\alpha(\mathbf x_0^T\mathbf e+\mathbf y_0^T\mathbf s)$. Không gian của các vectơ nhân quả sẽ không thể phân biệt được.

Tổng quát hơn cho $\beta_2=k$ cố định, sẽ có cơ sở của $k$ $(\mathbf x_i^T,\mathbf y_i^T)$ các vectơ với tập kiểm tra của chúng tôi được hình thành từ các tổ hợp tuyến tính của các vectơ cơ sở trong đó các hệ số là Gaussian (?). Một lần nữa sẽ có một bộ $q^{n-k}$ vectơ $\mathbf v$ vuông góc với tất cả các $\mathbf x_i^T$ và có lẽ là một vùng lân cận của $O(\sigma^nq^{n-k})$ của các véc tơ phi nhân quả có điểm thấp.

Điều này dường như gợi ý rằng $\beta_2$ nên ít nhất $n\log \sigma/(\log q)$, nhưng có thể có các tập cấu trúc nhưng phi nhân quả khác cũng như các điểm thấp phi cấu trúc. Tương tự như vậy, các lập luận về việc thiếu trùng lặp trong vùng lân cận và giữa các tập hợp nhân quả tốt nhất là theo kinh nghiệm.