Aprendendo com erros (assinados)

$\underline{\bf Background}$

Em 2005, Regev [1] introduziu o problema de Aprendizagem com Erros (LWE), uma generalização do problema de Paridade de Aprendizagem com Erros. A suposição da dureza desse problema para certas opções de parâmetro agora está subjacente às provas de segurança para uma série de sistemas de criptografia pós-quantum no campo da criptografia baseada em treliça. As versões "canônicas" do LWE são descritas abaixo.

Preliminares:

Seja o grupo aditivo de reais módulo 1, ou seja, usando valores em . Para números inteiros positivos e , um vetor "secreto" , uma distribuição de probabilidade em , deixe é a distribuição em obtida escolhendo uniformemente em aleatório, desenhando um termo de erro e produzindo$\mathbb{T} = \mathbb{R}/\mathbb{Z}$$[0, 1)$$n$$2 \le q \le poly(n)$${\bf s} \in \mathbb{Z}_q^n$$\phi$$\mathbb{R}$$A_{{\bf s}, \phi}$$\mathbb{Z}_q^n \times \mathbb{T}$${\bf a} \in \mathbb{Z}_q^n$$x \leftarrow \phi$$({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$.

Seja seja a "discretização" de . Ou seja, primeiro extraímos uma amostra de e depois produzimos . Aqui indica arredondamento para o valor integral mais próximo, para que possamos ver como .$A_{{\bf s}, \overline{\phi}}$$A_{{\bf s}, \phi}$$({\bf a}, b')$$A_{{\bf s}, \phi}$$({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$$\lfloor\circ\rceil$$\circ$$({\bf a}, b)$$({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$

No cenário canônico, consideramos a distribuição de erro um gaussiano. Para qualquer , a função densidade de uma distribuição de probabilidade Gaussiana unidimensional sobre é dada por . Escrevemos como abreviação para a discretização deα > 0 R D α ( x ) = e - π ( x / α ) 2 / α Um s , α Um s , D $\phi$$\alpha > 0$$\mathbb{R}$$D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$$A_{{\bf s}, \alpha}$$A_{{\bf s}, D_\alpha}$

Definição de LWE:

Na versão de pesquisa , recebemos amostras de , que podemos ver como equações lineares "ruidosas" (Nota: ): N = p o l y ( n ) A s , α a i , s ∈ Z n q , b i ∈ Z$LWE_{n, q, \alpha}$$N = poly(n)$$A_{{\bf s}, \alpha}$${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⋮ ⟨ uma N , s ⟩ ≈ × b

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

onde o erro em cada equação é desenhado independentemente de um Gaussiano discreto (centralizado) de largura . Nosso objetivo é recuperar . (Observe que, sem erros, podemos resolver isso com a eliminação gaussiana, mas na presença desse erro, a eliminação gaussiana falha drasticamente.)$\alpha q$${\bf s}$

Na versão de decisão , temos acesso a um oracle que retorna amostras quando consultado. Prometemos que todas as amostras são de ou da distribuição uniforme . Nosso objetivo é distinguir qual é o caso.O s ( a , b ) A s , α U ( Z n q ) × U ( Z q$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

Acredita-se que ambos os problemas sejam quando .α q > 2 $hard$$\alpha q > 2\sqrt n$

Conexão à teoria da complexidade:

Sabe-se (consulte [1], [2] para obter detalhes) que o LWE corresponde à solução de um problema de decodificação de distância limitada (BDD) na rede dupla de uma instância do GapSVP. Um algoritmo de tempo polinomial para LWE implicaria um algoritmo de tempo polinomial para aproximar certos problemas de rede, como SIVP e SVP dentro de que é um pequeno fator polinomial (por exemplo, ).1/αn$\tilde O(n/\alpha)$$1/\alpha$$n^2$

Limites Algorítmicos Atuais

Quando for estritamente menor que 1/2, Arora e Ge [3] fornecem um algoritmo de tempo subexponencial para LWE. A idéia é que, a partir de propriedades conhecidas do gaussiano, desenhar termos de erro tão pequenos se encaixa em um cenário de "ruído estruturado", exceto com probabilidade exponencialmente baixa. Intuitivamente nesse cenário, toda vez que receberíamos 1 amostra, recebemos um bloco de amostras com a promessa de que não mais que uma fração constante contém erro. Eles usam essa observação para "linearizar" o problema e enumerar no espaço de erro. ϵ $\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

Suponha que, em vez disso, tenhamos acesso a um oracle . Quando consultado, primeiro consulta para obter uma amostra . Se foi extraído de , então retorna uma amostra que representa a "direção" (ou valor "sinal") do termo de erro . Se foi desenhado aleatoriamente, então retorna$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$d $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ . (Como alternativa, poderíamos considerar o caso em que o bit é escolhido adversamente quando é desenhado uniformemente aleatoriamente.)$d$$b$

Seja como antes, exceto que agora para uma constante suficientemente grande , digamos. (Isso é para garantir que o erro absoluto em cada equação permaneça inalterado.) Defina os problemas de Aprendizagem com erro assinado (LWSE) e como antes, exceto que agora temos conselhos adicionais para o sinal de cada termo de erro.α q > c $n, q, \alpha$ cLWSE n , q , α DLWSE n , q , $\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

As duas versões do LWSE são significativamente mais fáceis do que suas contrapartes LWE?

Por exemplo

1. Existe um algoritmo de tempo subexponencial para o LWSE?

2. Que tal um algoritmo de tempo polinomial baseado em, digamos, programação linear?

Além da discussão acima, minha motivação é um interesse em explorar opções algorítmicas para LWE (das quais atualmente temos relativamente poucas opções para escolher). Em particular, a única restrição conhecida por fornecer bons algoritmos para o problema está relacionada à magnitude dos termos do erro. Aqui, a magnitude permanece a mesma, mas o intervalo de erros em cada equação é agora "monótono" de uma certa maneira. (Um comentário final: não conheço essa formulação do problema que aparece na literatura; ele parece ser original.)

Referências:

[1] Regev, Oded. "Sobre estruturas, aprendendo com erros, códigos lineares aleatórios e criptografia", no JACM 2009 (originalmente no STOC 2005) ( PDF )

[2] Regev, Oded. "O problema da aprendizagem com erros", pesquisa convidada no CCC 2010 ( PDF )

[3] Arora, Sanjeev e Ge, Rong. "Novos algoritmos para a aprendizagem na presença de erros" na ICALP 2011 ( PDF )

(uau! depois de três anos, agora é fácil responder. engraçado como é isso! - Daniel)

Esse problema "Aprendendo com erros (assinados)" ( LWSE ), como inventado e declarado acima por mim (três anos atrás), reduz-se trivialmente a partir do problema de Aprendizado estendido com erros ( eLWE ), introduzido pela primeira vez no trabalho Bi-Deniable Public - Criptografia de chave por O'Neill, Peikert e Waters na CRYPTO 2011.

O problema do eLWE é definido de forma análoga à LWE "padrão" (ou seja, [ Regev2005 ]), exceto que o diferenciador (eficiente) das distribuições recebe adicionalmente "dicas" no vetor de erro da amostra LWE , na forma de ( possivelmente barulhentos) produtos internos com um vetor arbitrário . (Nos aplicativos geralmente é o vetor da chave de descriptografia de algum sistema de criptografia.)→ z → $\vec{x}$$\vec{z}$$\vec{z}$

Formalmente, o problema é descrito a seguir:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

---

Para um número inteiro e uma distribuição de erros sobre , o problema de aprendizado estendido com erros é distinguir entre os seguintes pares de distribuições: onde e , onde e$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ A ← Z n × m q , → s ← Z n q , → u ← Z m q , → x , → z ← χ m , x ′ ← D β q D α $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$$x'\leftarrow\mathcal{D}_{\beta q}$$\mathcal{D}_\alpha$é a distribuição Gaussiana discreta (unidimensional) com largura .$\alpha$

---

É fácil ver que o eLWE captura "o espírito" do LWSE , embora uma redução formal possa ser demonstrada com pouco esforço adicional.

As principais idéias de acompanhamento para entender o problema do Extended LWE são desenvolvidas nos trabalhos:

• Segurança circular e KDM para criptografia baseada em identidade de Alperin-Sheriff e Peikert
• Dureza clássica da aprendizagem com erros de Brakerski, Langlois, Peikert, Regev e Stehle

Dependendo de sua chave secreta residir em ou ser binária (e da natureza de várias outras opções de parâmetro), você pode usar as reduções do primeiro ou do segundo artigo para reduzir quantumly / classicamente em última instância / quantumly / classicamente a partir de com fator de aproximação para LWSE .G a p S V P α α≥Ω( n 1,5$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$