(İmzalı) Hatalarla Öğrenme

$\underline{\bf Background}$

2005 yılında Regev [1], Hatalı Öğrenme Paritesinin genelleştirilmesi olan Hatalarla Öğrenme (LWE) problemini tanıttı. Bu sorunun belirli parametre seçimleri için sertliği varsayımı, artık kafes tabanlı kriptografi alanındaki bir dizi kuantum kripto sistemi için güvenlik kanıtlarının altında yatmaktadır. LWE'nin "kanonik" versiyonları aşağıda açıklanmaktadır.

Ön Bilgiler:

İzin Vermek $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ realite modulo 1'in katkı grubu olmak, yani $[0, 1)$. Pozitif tamsayılar için$n$ ve $2 \le q \le poly(n)$, bir "gizli" vektör ${\bf s} \in \mathbb{Z}_q^n$, olasılık dağılımı $\phi$ üzerinde $\mathbb{R}$, İzin Vermek $A_{{\bf s}, \phi}$ dağıtım olmak $\mathbb{Z}_q^n \times \mathbb{T}$ seçerek elde edilir ${\bf a} \in \mathbb{Z}_q^n$ rastgele bir şekilde, bir hata terimi çizerek $x \leftarrow \phi$ve çıktı $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$.

İzin Vermek $A_{{\bf s}, \overline{\phi}}$ "takdir yetkisi" olmak $A_{{\bf s}, \phi}$. Yani, önce bir örnek çiziyoruz$({\bf a}, b')$ itibaren $A_{{\bf s}, \phi}$ ve sonra çıktı $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$. Buraya$\lfloor\circ\rceil$ yuvarlamayı gösterir $\circ$ en yakın integral değerine $({\bf a}, b)$ gibi $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$.

Standart ayarda hata dağılımını alıyoruz $\phi$Gauss olmak. Herhangi$\alpha > 0$, 1-boyutlu Gauss olasılık dağılımının yoğunluk fonksiyonu $\mathbb{R}$ tarafından verildi $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$. Biz yazarız$A_{{\bf s}, \alpha}$ kendi takdirine bağlı olarak $A_{{\bf s}, D_\alpha}$

LWE Tanımı:

Gelen arama sürümü $LWE_{n, q, \alpha}$ bizlere verildi $N = poly(n)$ örnekleri $A_{{\bf s}, \alpha}$"gürültülü" lineer denklemler olarak görebiliriz (Not: ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$):

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

burada her denklemdeki hata, bağımsız olarak genişliğinde (ortalanmış) ayrı bir Gauss'tan çekilir . Hedefimiz yi kurtarmak . (Hatasız olarak bunu Gauss eliminasyonu ile çözebileceğimizi, ancak bu hatanın varlığında Gauss eliminasyonunun dramatik bir şekilde başarısız olduğunu gözlemleyin.)$\alpha q$${\bf s}$

Olarak karar versiyonu , biz oracle erişim verilmiştir döner örnekler bu sorgulandığında. Numunelerin hepsinin veya tekdüze dağıtım . Hedefimiz hangisinin olduğunu ayırt etmektir.$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

olduğunda her iki sorunun da olduğuna inanılmaktadır .$hard$$\alpha q > 2\sqrt n$

Karmaşıklık Teorisine Bağlantı:

LWE'nin bir GapSVP örneğinin ikili kafesi üzerindeki Sınırlı Mesafe Kod Çözme (BDD) sorununun çözülmesine karşılık geldiği bilinmektedir (ayrıntılar için [1], [2] 'ye bakınız). LWE için bir polinom zaman algoritması, küçük bir polinom faktörü (örneğin, ) olduğu içindeki SIVP ve SVP gibi belirli kafes sorunlarını yaklaşık olarak belirlemek için bir polinom zaman algoritması anlamına gelir .$\tilde O(n/\alpha)$$1/\alpha$$n^2$

Mevcut Algoritmik Sınırlar

Tüm için kesinlikle daha az LWE 1/2 Arora ve Ge [3] vermek bir altüssel zamanlı algoritması daha. Fikir şu ki, Gaussian'ın iyi bilinen özelliklerinden, çizim hata terimleri, bu küçükün üstel olarak düşük olasılık dışında bir "yapılandırılmış gürültü" ayarına uymasıdır. Bu ayarda sezgisel olarak, her 1 örnek aldığımızda, sabit bir fraksiyondan fazlasını içermediğine söz veren bir örnek bloğu alırız . Bu gözlemi sorunu "doğrusallaştırmak" ve hata alanı üzerinde numaralandırmak için kullanırlar.$\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

Bunun yerine, bir oracle erişimine sahip olduğumuzu varsayalım . , Sorgulandığında ilk sorgu , bir örnek elde etmek için . Eğer çekildi , daha sonra döner bir örnek ; burada , hata teriminin "yönünü" (veya değerinde "işaretini") temsil eder . Eğer rastgele çekilir, daha sonra döner$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ . (Alternatif olarak, rastgele rastgele çizildiğinde bitinin olarak seçildiği durumu düşünebiliriz .)$d$$b$

Let artık hariç önceki gibi yeteri kadar büyük bir sabit için , derler. (Bu, her denklemdeki mutlak hatanın etkilenmeden kalmasını sağlamak içindir.) İmzalı Hata ile Öğrenme (LWSE) sorunlarını ve gibi . şimdi her hata teriminin işareti için ek tavsiyemiz var.$n, q, \alpha$$\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

Her iki LWSE sürümü de LWE muadillerinden önemli ölçüde daha mı kolay?

Örneğin

1. LWSE için alt-üstel zaman algoritması var mı?

2. Doğrusal programlamaya dayanan bir polinom-zaman algoritmasına ne dersiniz?

Yukarıdaki tartışmaya ek olarak, motivasyonum LWE için algoritmik seçenekleri keşfetmeye ilgi duyuyor (şu anda aralarından seçim yapabileceğimiz nispeten az şey var). Özellikle, sorun için iyi algoritmalar sağladığı bilinen tek kısıtlama , hata terimlerinin büyüklüğü ile ilgilidir . Burada, büyüklük aynı kalır, ancak her bir denklemdeki hata aralığı şimdi belirli bir şekilde "monoton" dur. (Son bir yorum: Literatürde ortaya çıkan sorunun bu formülasyonunun farkında değilim; orijinal gibi görünüyor.)

Referanslar:

[1] Regev, Oded. JACM 2009'da (başlangıçta STOC 2005'te) "Kafesler, Hatalarla Öğrenme, Rastgele Doğrusal Kodlar ve Şifreleme hakkında" ( PDF )

[2] Regev, Oded. "Hatalarla Öğrenme Sorunu", CCC 2010'da anket davet etti ( PDF )

[3] Arora, Sanjeev ve Ge, Rong. ICALP 2011'de "Hataların Varlığında Öğrenme için Yeni Algoritmalar" ( PDF )

(vay! üç yıl geçtikten sonra, bunu cevaplamak artık çok kolay. komik nasıl gidiyor!

Bu "(İmzalı) Hatalarla Öğrenme" ( LWSE ) problemi, yukarıda (3 yıl önce) icat ettiğim ve belirttiğim gibi (üç yıl önce), Bi-Reddedilebilir Kamu çalışmasında ilk kez ortaya konulan Genişletilmiş Hatalarla Öğrenme ( eLWE ) probleminden önemsiz bir şekilde azalır - O'Neill, Peikert ve Waters'ın CRYPTO 2011'de Anahtar Şifrelemesi .

ELWE sorun "standart" benzer şekilde tanımlanır LWE (yani [ Regev2005 Furkan ilave LWE numune hata vektörü ile 'ipuçlarını' verilir (etkin) dağılımları hariç]) şeklinde, ( muhtemelen gürültülü) keyfi bir vektöre sahip iç ürünler . ( uygulamalarında genellikle bazı şifreleme sistemlerinin şifre çözme anahtarı vektörüdür.)$\vec{x}$$\vec{z}$$\vec{z}$

Resmi olarak sorunu aşağıdaki gibi açıklanır:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

---

tamsayısı ve üzerinden bir hata dağılımı için, hatalarla genişletilmiş öğrenme, aşağıdaki dağıtım çiftlerini ayırt etmektir: burada ve ve burada$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$$x'\leftarrow\mathcal{D}_{\beta q}$$\mathcal{D}_\alpha$ ile (1 boyutlu) Ayrık Gauss dağılımıdır .$\alpha$

---

Bunu görmek kolay olduğunu ELWE ait yakalar "ruhu" LWSE , resmi bir azalma çok fazla ek çaba ile gösterilebilir bile.

Genişletilmiş LWE sorununun anlaşılmasına yönelik önemli takip fikirleri çalışmalarda geliştirilmiştir:

• Alperin-Sheriff ve Peikert tarafından Kimlik Tabanlı Şifreleme için Dairesel ve KDM Güvenliği
• Brakerski, Langlois, Peikert, Regev ve Stehle'ın Hatalarla Öğrenmenin Klasik Sertliği

Gizli anahtarınızın yoksa ikili mi olduğuna (ve diğer çeşitli parametre seçeneklerinin doğasına) bağlı olarak, birinci veya ikinci kağıdın indirimlerini kullanarak yaklaşım faktörü için LWSE .$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$