Nauka z (podpisanymi) błędami


9

Background_

W 2005 r. Regev [1] wprowadził problem uczenia się z błędami (LWE), uogólnienie problemu parzystości uczenia się z błędem. Założenie o twardości tego problemu dla niektórych wyborów parametrów leży obecnie u podstaw dowodów bezpieczeństwa dla wielu kryptosystemów post kwantowych w dziedzinie kryptografii opartej na sieci. „Kanoniczne” wersje LWE opisano poniżej.

Czynności wstępne:

Niech będzie addytywną grupą reals modulo 1, tzn. Przyjmującą wartości w . Dla dodatnich liczb całkowitych i , wektor „tajny” , rozkład prawdopodobieństwa na , niech to dystrybucja w uzyskana przez wybranie jednolicie w losowo, rysując wyrażenie błędu i wyprowadzającT=R/Z[0,1)n2qpoly(n)sZqnϕRAs,ϕZqn×TaZqnxϕ(a,b=a,s/q+x)Zqn×T.

Niech będzie „dyskretyzacją” . Oznacza to, że najpierw pobieramy próbkę z a następnie wyprowadzamy . Tutaj oznacza zaokrąglenie do najbliższej wartości całkowitej, dzięki czemu możemy zobaczyć jako .As,ϕ¯As,ϕ(a,b)As,ϕ(a,b)=(a,bq)Zqn×Zq(a,b)(a,b=a,s+qx)

W ustawieniu kanonicznym bierzemy rozkład błędów za Gaussa. Dla dowolnego funkcję gęstości 1-wymiarowego rozkładu prawdopodobieństwa Gaussa nad podano jako . Piszemy jako skrót do dyskretyzacjiϕα>0RDα(x)=eπ(x/α)2/αAs,αAs,Dα

Definicja LWE:

W wersji wyszukiwania otrzymujemy próbki z , które możemy postrzegać jako „zaszumione” równania liniowe (Uwaga: ):LWEn,q,αN=poly(n)As,αai,sZqn,biZq

a1,sχb1modq
aN,sχbNmodq

gdzie błąd w każdym równaniu jest niezależnie rysowany z (wyśrodkowanego) dyskretnego Gaussa o szerokości . Naszym celem jest odzyskanie . (Zauważ, że bezbłędnie możemy to rozwiązać za pomocą eliminacji Gaussa, ale w przypadku tego błędu eliminacja Gaussa dramatycznie się nie udaje.)αqs

W wersji decyzyjnej mamy dostęp do wyroczni która zwraca próbki po zapytaniu. Obiecujemy, że wszystkie próbki pochodzą albo z albo z jednolitego rozkładu . Naszym celem jest rozróżnienie, co się dzieje.DLWEn,q,αOs(a,b)As,αU(Zqn)×U(Zq)

Uważa się, że oba problemy są gdy .hardαq>2n

Związek z teorią złożoności:

Wiadomo (patrz [1], [2] w celu uzyskania szczegółów), że LWE odpowiada rozwiązaniu problemu dekodowania ograniczonej odległości (BDD) na podwójnej sieci instancji GapSVP. Algorytm wielomianu czasu dla LWE sugerowałby wielomianowy algorytm czasu do przybliżenia pewnych problemów z siecią, takich jak SIVP i SVP w gdzie jest małym czynnikiem wielomianowym (powiedzmy, ).O~(n/α)1/αn2

Aktualne limity algorytmiczne

Kiedy dla ściśle mniej niż 1/2, Arora i Ge [3] podają algorytm czasu podwykładniczego dla LWE. Chodzi o to, że z dobrze znanych właściwości Gaussa, rysując terminy błędów, to małe mieści się w ustawieniu „szumu strukturalnego” z wyjątkiem wykładniczo niskiego prawdopodobieństwa. Intuicyjnie w tym ustawieniu, za każdym razem, gdy otrzymalibyśmy 1 próbkę, otrzymujemy blok próbek z obietnicą, że nie więcej niż jakaś stała część zawiera błąd. Wykorzystują tę obserwację do „linearyzacji” problemu i wyliczenia w przestrzeni błędów.αqnϵϵm

Question_

Załóżmy, że zamiast tego mamy dostęp do wyroczni . Po zapytaniu pierwsze zapytania celu uzyskania próbki . Jeśli zostało sporządzone z , to zwraca próbkę gdzie oznacza „kierunek” (lub -wartościowy „znak”) terminu błędu . Jeśli zostało narysowane losowo, to zwracaOs+Os+Os(a,b)(a,b)As,αOs+(a,b,d)Zqn×Zq×Z2d±(a,b)Os+(a,b,d)U(Zqn)×U(Zq)×U(Z2) . (Alternatywnie, moglibyśmy rozważyć przypadek, w którym bit jest wybierany przeciwnie, gdy jest losowane równomiernie losowo.)db

Niech będzie jak poprzednio, z tym wyjątkiem, że teraz dla wystarczająco dużej stałej , powiedzmy. (Ma to na celu zapewnienie, że błąd bezwzględny w każdym równaniu pozostaje nienaruszony.) Zdefiniuj problemy z uczeniem się z błędem podpisania (LWSE) i jak poprzednio, z tym wyjątkiem, że teraz mamy dodatkową poradę dotyczącą znaku każdego terminu błędu.n,q,ααq>cncLWSEn,q,αDLWSEn,q,α

Czy którakolwiek wersja LWSE jest znacznie łatwiejsza niż ich odpowiedniki LWE?

Na przykład

1. Czy istnieje algorytm czasu podwykładniczego dla LWSE?
2. Co z algorytmem wielomianowym opartym na powiedzmy na programowaniu liniowym?

Oprócz powyższej dyskusji moją motywacją jest zainteresowanie badaniem opcji algorytmicznych dla LWE (z których obecnie mamy stosunkowo niewiele do wyboru). W szczególności jedyne znane ograniczenie zapewniające dobre algorytmy związane z problemem związane jest z wielkością terminów błędu. Tutaj wielkość pozostaje taka sama, ale zakres błędu w każdym równaniu jest teraz w pewnym sensie „monotoniczny”. (Ostatni komentarz: nie jestem świadomy tego sformułowania problemu pojawiającego się w literaturze; wydaje się być oryginalny).

Bibliografia:

[1] Regev, Oded. „O kratach, uczenie się na błędach, losowych kodach liniowych i kryptografii” w JACM 2009 (pierwotnie na STOC 2005) ( PDF )

[2] Regev, Oded. „The Learning with Errors Problem”, zaproszona ankieta na CCC 2010 ( PDF )

[3] Arora, Sanjeev i Ge, Rong. „Nowe algorytmy uczenia się w obecności błędów” na ICALP 2011 ( PDF )

Odpowiedzi:


7

(wow! po trzech latach minęło, teraz łatwo jest na nie odpowiedzieć. zabawne, jak to idzie! - Daniel)

Ten problem „Uczenie się z (podpisanymi) błędami” ( LWSE ), jak to wymyśliłem i stwierdziłem powyżej (trzy lata temu), trywialnie redukuje problem rozszerzonego uczenia się z błędami ( eLWE ) po raz pierwszy wprowadzony w pracy Bi-Deniable Public - Kluczowe szyfrowanie autorstwa O'Neilla, Peikerta i Watersa na CRYPTO 2011.

ELWE problemem jest zdefiniowany w sposób analogiczny do „standardowej” LWE (tj [ Regev2005 ]), z wyjątkiem rozkładu (wydajne) Wyróżnikiem dodatkowo otrzymali «wskazówki» On Error wektora w próbce lwex, w postaci (możliwie hałaśliwych) produktów wewnętrznych z dowolnym wektorem z. (W aplikacjachz jest często wektorem klucza deszyfrującego w niektórych kryptosystemach).

Formalnie eLWEn,m,q,χ,β problem opisano w następujący sposób:


Dla liczby całkowitej q=q(n)2oraz rozkład błędów χ=χ(n) nad Zq, problem rozszerzonej nauki z błędami polega na rozróżnieniu następujących par dystrybucji:

{A,b=ATs+x,z,z,x+x},
{A,u,z,z,x+x},
gdzie AZqn×m,sZqn,uZqm,x,zχm, i xDβq, i gdzie Dα to (1-wymiarowy) dyskretny rozkład Gaussa z szerokością α.


Łatwo zauważyć, że eLWE wychwytuje „ducha” LWSE , chociaż formalną redukcję można wykazać przy niezbyt dużym wysiłku.

W pracach opracowano główne pomysły dotyczące zrozumienia problemu Extended-LWE:

W zależności od tego, czy mieszka twój tajny klucz Zq lub jest binarny (i charakter różnych innych parametrów), możesz użyć redukcji pierwszego lub drugiego papieru, aby ostatecznie kwantowo / klasycznie zmniejszyć od GapSVPα ze współczynnikiem przybliżenia αΩ(n1.5)do LWSE .


PS Lub w jednym zdaniu „LWE jest mocny” lub w jednym dokumencie, który najlepiej oddaje tego ducha: people.csail.mit.edu/vinodv/robustlwe.pdf
Daniel Apon

PPS Teraz odpowiedni dystans od głównej odpowiedzi ... tutaj jest ostatnia praca, która „poszerza” nasze rozumienie rozszerzonego uczenia się z błędami: eprint.iacr.org/2015/993.pdf
Daniel Apon
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.