Belajar dengan Kesalahan (Signed)

$\underline{\bf Background}$

Pada tahun 2005, Regev [1] memperkenalkan masalah Learning with Errors (LWE), generalisasi dari Learning Parity with Error error. Asumsi kekerasan masalah ini untuk pilihan parameter tertentu sekarang mendasari bukti keamanan untuk sejumlah kriptografi pasca-kuantum di bidang kriptografi berbasis kisi. Versi "kanonik" LWE dijelaskan di bawah ini.

Persiapan:

Misalkan $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ adalah kelompok aditif real modulo 1, yaitu mengambil nilai dalam $[0, 1)$ . Untuk bilangan bulat positif $n$ dan $2 \le q \le poly(n)$ , "rahasia" vektor ${\bf s} \in \mathbb{Z}_q^n$ , distribusi probabilitas $\phi$ pada $\mathbb{R}$ , mari $A_{{\bf s}, \phi}$ menjadi distribusi pada $\mathbb{Z}_q^n \times \mathbb{T}$diperoleh dengan memilih ${\bf a} \in \mathbb{Z}_q^n$ seragam secara acak, menggambar istilah error $x \leftarrow \phi$ , dan keluaran $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$ .

Mari $A_{{\bf s}, \overline{\phi}}$ menjadi "diskritisasi" dari $A_{{\bf s}, \phi}$ . Yaitu, pertama-tama kita menggambar sampel $({\bf a}, b')$ dari $A_{{\bf s}, \phi}$ dan kemudian output $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ . Di sini $\lfloor\circ\rceil$ menunjukkan pembulatan $\circ$dengan nilai terpisahkan terdekat, sehingga kita dapat melihat $({\bf a}, b)$ sebagai $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$ .

Dalam pengaturan kanonik, kami menganggap distribusi kesalahan menjadi Gaussian. Untuk α > 0 , fungsi kerapatan dari distribusi probabilitas Gaussian 1 dimensi atas R diberikan oleh D α ( x ) = e - π ( x / α ) 2 / α . Kami menulis A s , α sebagai singkatan untuk diskritisasi A s , D $\phi$$\alpha > 0$$\mathbb{R}$$D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$$A_{{\bf s}, \alpha}$$A_{{\bf s}, D_\alpha}$

Definisi LWE:

Dalam versi pencarian kita diberikan N = p o l y ( n ) sampel dari A s , α , yang dapat kita lihat sebagai persamaan linear "berisik" (Catatan: a i , s ∈ Z n q , b i ∈ Z q ):$LWE_{n, q, \alpha}$$N = poly(n)$$A_{{\bf s}, \alpha}$${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⋮ ⟨ sebuah N , s ⟩ ≈ χ b

di mana kesalahan dalam setiap persamaan diambil secara independen dari Gaussian diskrit (tengah) dengan lebar . Tujuan kami adalah memulihkan s . (Amati bahwa, tanpa kesalahan, kita dapat menyelesaikan ini dengan eliminasi Gaussian, tetapi dengan adanya kesalahan ini, eliminasi Gaussian gagal secara dramatis.)$\alpha q$${\bf s}$

Dalam versi keputusan , kita diberi akses ke oracle O s yang mengembalikan sampel ( a , b ) saat ditanyai. Kami berjanji bahwa semua sampel berasal dari A s , α atau dari distribusi seragam U ( Z n q ) × U ( Z q ) . Tujuan kami adalah untuk membedakan mana yang terjadi.$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

Kedua masalah diyakini saat α q > 2 $hard$ .$\alpha q > 2\sqrt n$

Koneksi ke Teori Kompleksitas:

Diketahui (lihat [1], [2] untuk lebih jelasnya) bahwa LWE berhubungan dengan memecahkan masalah Penguraian Jarak Terbatas (BDD) pada kisi ganda instance GapSVP. Algoritma waktu polinomial untuk LWE akan menyiratkan algoritma waktu polinomial untuk memperkirakan masalah kisi tertentu seperti SIVP dan SVP dalam mana 1 / α adalah faktor polinom kecil (katakanlah, n 2 ).$\tilde O(n/\alpha)$$1/\alpha$$n^2$

Batas Algoritma Saat Ini

Ketika untuk ϵ kurang dari 1/2, Arora dan Ge [3] memberikan algoritma waktu subeksponensial untuk LWE. Idenya adalah bahwa, dari properti Gaussian yang terkenal, menggambar istilah kesalahan kecil ini cocok dengan pengaturan "terstruktur" kecuali dengan probabilitas rendah secara eksponensial. Secara intuitif dalam pengaturan ini, setiap kali kami akan menerima 1 sampel, kami menerima blok sampel m dengan janji bahwa tidak lebih dari beberapa fraksi konstan mengandung kesalahan. Mereka menggunakan pengamatan ini untuk "meluruskan" masalah, dan menghitung ruang kesalahan.$\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

Misalkan kita, sebaliknya, diberi akses ke oracle . Ketika ditanya, O + s pertanyaan pertama O s untuk mendapatkan sampel ( a , b ) . Jika ( a , b ) diambil dari A s , α , maka O + s mengembalikan sampel ( a , b , d ) ∈ Z n q × Z q × Z 2 di mana$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ mewakili "arah" (atau ± tanda "bernilai") dari istilah kesalahan. Jika ( a , b ) itu diambil secara acak, kemudian O + s kembali ( a , b , d ) ← U ( Z n q ) × U ( Z q ) × U ( Z 2 ) . (Atau, kita bisa mempertimbangkan kasus ketika bit d dipilih secara berlawanan ketika b ditarik secara acak secara acak.)$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$$d$$b$

Biarkan menjadi seperti sebelumnya, kecuali sekarang α q > c $n, q, \alpha$ untuk konstantac yangcukup besar, katakanlah. (Ini untuk memastikan bahwa kesalahan absolut di setiap persamaan tetap tidak terpengaruh.) Tentukan masalah Learning with Signed Error (LWSE)LWSE n , q , α danDLWSE n , q , α seperti sebelumnya, kecuali bahwa sekarang kami memiliki sedikit saran tambahan untuk setiap tanda istilah kesalahan.$\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

Apakah kedua versi LWSE secara signifikan lebih mudah daripada versi LWE mereka?

Misalnya

1. Apakah ada algoritma waktu subeksponensial untuk LWSE?

2. Bagaimana dengan algoritma waktu polinomial berdasarkan, katakanlah, pemrograman linier?

Selain diskusi di atas, motivasi saya adalah minat dalam mengeksplorasi opsi algoritmik untuk LWE (yang saat ini kami memiliki relatif sedikit untuk dipilih). Secara khusus, satu-satunya batasan yang diketahui menyediakan algoritma yang baik untuk masalah terkait dengan besarnya istilah kesalahan. Di sini, besarnya tetap sama, tetapi rentang kesalahan dalam setiap persamaan sekarang "monoton" dengan cara tertentu. (Komentar terakhir: Saya tidak mengetahui rumusan masalah yang muncul dalam literatur ini, tampaknya asli.)

Referensi:

[1] Regev, Oded. "Tentang Kisi, Belajar dengan Kesalahan, Kode Linier Acak, dan Kriptografi," dalam JACM 2009 (asal di STOC 2005) ( PDF )

[2] Regev, Oded. "Masalah Belajar dengan Kesalahan," undangan survei di CCC 2010 ( PDF )

[3] Arora, Sanjeev dan Ge, Rong. "Algoritma Baru untuk Belajar dalam Kehadiran Kesalahan," di ICALP 2011 ( PDF )

(wow! setelah tiga tahun berlalu, ini sekarang mudah dijawab. lucu bagaimana kelanjutannya! --Daniel)

Masalah "Belajar dengan (Ditandatangani)" ini ( LWSE ), seperti yang saya temukan dan nyatakan di atas (tiga tahun lalu), secara sepele mengurangi masalah Extended Learning with Errors ( eLWE ) yang pertama kali diperkenalkan dalam karya Bi-Deniable Public Enkripsi -Key oleh O'Neill, Peikert, dan Waters di CRYPTO 2011.

Masalah eLWE didefinisikan secara analog dengan LWE "standar" (yaitu [ Regev2005 ]), kecuali distinguisher distribusi (efisien) juga diberikan "petunjuk" pada vektor kesalahan sampel LWE , dalam bentuk (mungkin berisik) produk dalam dengan vektor sembarang → z . (Dalam aplikasi → z sering kali merupakan vektor kunci dekripsi beberapa kriptosistem.)$\vec{x}$$\vec{z}$$\vec{z}$

Secara formal, masalah dijelaskan sebagai berikut:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

Untuk bilangan bulat , dan distribusi kesalahan χ = χ ( n ) di atas Z q , pembelajaran yang diperluas dengan masalah kesalahan adalah untuk membedakan antara pasangan distribusi berikut: { A , → b = A T → s + A , → u , → z , ⟨ → z , → x ⟩ + x '$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

Sangat mudah untuk melihat bahwa eLWE menangkap "semangat" LWSE , meskipun pengurangan formal dapat ditunjukkan dengan tidak terlalu banyak upaya tambahan.

Gagasan tindak lanjut utama untuk memahami masalah Extended-LWE dikembangkan dalam karya:

• Keamanan Edaran dan KDM untuk Enkripsi Berbasis Identitas oleh Alperin-Sheriff dan Peikert
• Kekerasan Klasik dalam Belajar dengan Kesalahan oleh Brakerski, Langlois, Peikert, Regev, dan Stehle

Tergantung pada apakah kehidupan kunci rahasia Anda di atau biner (dan sifat berbagai pilihan parameter lainnya), Anda dapat menggunakan pengurangan pertama atau kedua kertas untuk akhirnya quantumly / klasik mengurangi dari G a p S V P α dengan faktor pendekatan α ≥ Ω ( n 1,5 ) ke LWSE .$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$