(İmzalı) Hatalarla Öğrenme


9

Background_

2005 yılında Regev [1], Hatalı Öğrenme Paritesinin genelleştirilmesi olan Hatalarla Öğrenme (LWE) problemini tanıttı. Bu sorunun belirli parametre seçimleri için sertliği varsayımı, artık kafes tabanlı kriptografi alanındaki bir dizi kuantum kripto sistemi için güvenlik kanıtlarının altında yatmaktadır. LWE'nin "kanonik" versiyonları aşağıda açıklanmaktadır.

Ön Bilgiler:

İzin Vermek T=R/Z realite modulo 1'in katkı grubu olmak, yani [0,1). Pozitif tamsayılar içinn ve 2qpoly(n), bir "gizli" vektör sZqn, olasılık dağılımı ϕ üzerinde R, İzin Vermek As,ϕ dağıtım olmak Zqn×T seçerek elde edilir aZqn rastgele bir şekilde, bir hata terimi çizerek xϕve çıktı (a,b=a,s/q+x)Zqn×T.

İzin Vermek As,ϕ¯ "takdir yetkisi" olmak As,ϕ. Yani, önce bir örnek çiziyoruz(a,b) itibaren As,ϕ ve sonra çıktı (a,b)=(a,bq)Zqn×Zq. Buraya yuvarlamayı gösterir en yakın integral değerine (a,b) gibi (a,b=a,s+qx).

Standart ayarda hata dağılımını alıyoruz ϕGauss olmak. Herhangiα>0, 1-boyutlu Gauss olasılık dağılımının yoğunluk fonksiyonu R tarafından verildi Dα(x)=eπ(x/α)2/α. Biz yazarızAs,α kendi takdirine bağlı olarak As,Dα

LWE Tanımı:

Gelen arama sürümü LWEn,q,α bizlere verildi N=poly(n) örnekleri As,α"gürültülü" lineer denklemler olarak görebiliriz (Not: ai,sZqn,biZq):

a1,sχb1modq
aN,sχbNmodq

burada her denklemdeki hata, bağımsız olarak genişliğinde (ortalanmış) ayrı bir Gauss'tan çekilir . Hedefimiz yi kurtarmak . (Hatasız olarak bunu Gauss eliminasyonu ile çözebileceğimizi, ancak bu hatanın varlığında Gauss eliminasyonunun dramatik bir şekilde başarısız olduğunu gözlemleyin.)αqs

Olarak karar versiyonu , biz oracle erişim verilmiştir döner örnekler bu sorgulandığında. Numunelerin hepsinin veya tekdüze dağıtım . Hedefimiz hangisinin olduğunu ayırt etmektir.DLWEn,q,αOs(a,b)As,αU(Zqn)×U(Zq)

olduğunda her iki sorunun da olduğuna inanılmaktadır .hardαq>2n

Karmaşıklık Teorisine Bağlantı:

LWE'nin bir GapSVP örneğinin ikili kafesi üzerindeki Sınırlı Mesafe Kod Çözme (BDD) sorununun çözülmesine karşılık geldiği bilinmektedir (ayrıntılar için [1], [2] 'ye bakınız). LWE için bir polinom zaman algoritması, küçük bir polinom faktörü (örneğin, ) olduğu içindeki SIVP ve SVP gibi belirli kafes sorunlarını yaklaşık olarak belirlemek için bir polinom zaman algoritması anlamına gelir .O~(n/α)1/αn2

Mevcut Algoritmik Sınırlar

Tüm için kesinlikle daha az LWE 1/2 Arora ve Ge [3] vermek bir altüssel zamanlı algoritması daha. Fikir şu ki, Gaussian'ın iyi bilinen özelliklerinden, çizim hata terimleri, bu küçükün üstel olarak düşük olasılık dışında bir "yapılandırılmış gürültü" ayarına uymasıdır. Bu ayarda sezgisel olarak, her 1 örnek aldığımızda, sabit bir fraksiyondan fazlasını içermediğine söz veren bir örnek bloğu alırız . Bu gözlemi sorunu "doğrusallaştırmak" ve hata alanı üzerinde numaralandırmak için kullanırlar.αqnϵϵm

Question_

Bunun yerine, bir oracle erişimine sahip olduğumuzu varsayalım . , Sorgulandığında ilk sorgu , bir örnek elde etmek için . Eğer çekildi , daha sonra döner bir örnek ; burada , hata teriminin "yönünü" (veya değerinde "işaretini") temsil eder . Eğer rastgele çekilir, daha sonra dönerOs+Os+Os(a,b)(a,b)As,αOs+(a,b,d)Zqn×Zq×Z2d±(a,b)Os+(a,b,d)U(Zqn)×U(Zq)×U(Z2) . (Alternatif olarak, rastgele rastgele çizildiğinde bitinin olarak seçildiği durumu düşünebiliriz .)db

Let artık hariç önceki gibi yeteri kadar büyük bir sabit için , derler. (Bu, her denklemdeki mutlak hatanın etkilenmeden kalmasını sağlamak içindir.) İmzalı Hata ile Öğrenme (LWSE) sorunlarını ve gibi . şimdi her hata teriminin işareti için ek tavsiyemiz var.n,q,ααq>cncLWSEn,q,αDLWSEn,q,α

Her iki LWSE sürümü de LWE muadillerinden önemli ölçüde daha mı kolay?

Örneğin

1. LWSE için alt-üstel zaman algoritması var mı?
2. Doğrusal programlamaya dayanan bir polinom-zaman algoritmasına ne dersiniz?

Yukarıdaki tartışmaya ek olarak, motivasyonum LWE için algoritmik seçenekleri keşfetmeye ilgi duyuyor (şu anda aralarından seçim yapabileceğimiz nispeten az şey var). Özellikle, sorun için iyi algoritmalar sağladığı bilinen tek kısıtlama , hata terimlerinin büyüklüğü ile ilgilidir . Burada, büyüklük aynı kalır, ancak her bir denklemdeki hata aralığı şimdi belirli bir şekilde "monoton" dur. (Son bir yorum: Literatürde ortaya çıkan sorunun bu formülasyonunun farkında değilim; orijinal gibi görünüyor.)

Referanslar:

[1] Regev, Oded. JACM 2009'da (başlangıçta STOC 2005'te) "Kafesler, Hatalarla Öğrenme, Rastgele Doğrusal Kodlar ve Şifreleme hakkında" ( PDF )

[2] Regev, Oded. "Hatalarla Öğrenme Sorunu", CCC 2010'da anket davet etti ( PDF )

[3] Arora, Sanjeev ve Ge, Rong. ICALP 2011'de "Hataların Varlığında Öğrenme için Yeni Algoritmalar" ( PDF )

Yanıtlar:


7

(vay! üç yıl geçtikten sonra, bunu cevaplamak artık çok kolay. komik nasıl gidiyor!

Bu "(İmzalı) Hatalarla Öğrenme" ( LWSE ) problemi, yukarıda (3 yıl önce) icat ettiğim ve belirttiğim gibi (üç yıl önce), Bi-Reddedilebilir Kamu çalışmasında ilk kez ortaya konulan Genişletilmiş Hatalarla Öğrenme ( eLWE ) probleminden önemsiz bir şekilde azalır - O'Neill, Peikert ve Waters'ın CRYPTO 2011'de Anahtar Şifrelemesi .

ELWE sorun "standart" benzer şekilde tanımlanır LWE (yani [ Regev2005 Furkan ilave LWE numune hata vektörü ile 'ipuçlarını' verilir (etkin) dağılımları hariç]) şeklinde, ( muhtemelen gürültülü) keyfi bir vektöre sahip iç ürünler . ( uygulamalarında genellikle bazı şifreleme sistemlerinin şifre çözme anahtarı vektörüdür.)xzz

Resmi olarak sorunu aşağıdaki gibi açıklanır:eLWEn,m,q,χ,β


tamsayısı ve üzerinden bir hata dağılımı için, hatalarla genişletilmiş öğrenme, aşağıdaki dağıtım çiftlerini ayırt etmektir: burada ve ve buradaq=q(n)2χ=χ(n)Zq

{A,b=ATs+x,z,z,x+x},
{A,u,z,z,x+x},
AZqn×m,sZqn,uZqm,x,zχm,xDβqDα ile (1 boyutlu) Ayrık Gauss dağılımıdır .α


Bunu görmek kolay olduğunu ELWE ait yakalar "ruhu" LWSE , resmi bir azalma çok fazla ek çaba ile gösterilebilir bile.

Genişletilmiş LWE sorununun anlaşılmasına yönelik önemli takip fikirleri çalışmalarda geliştirilmiştir:

Gizli anahtarınızın yoksa ikili mi olduğuna (ve diğer çeşitli parametre seçeneklerinin doğasına) bağlı olarak, birinci veya ikinci kağıdın indirimlerini kullanarak yaklaşım faktörü için LWSE .ZqGapSVPααΩ(n1.5)


PS Veya tek bir ifadeyle "LWE Dayanıklıdır" ya da bu ruhu en iyi yakalayan tek bir makalede: people.csail.mit.edu/vinodv/robustlwe.pdf
Daniel Apon

PPS Şimdi ana cevaplayıcının vücudundan uygun bir mesafe ... Hatalarla
Daniel Apon
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.