Apprendimento con errori (firmati)

$\underline{\bf Background}$

Nel 2005, Regev [1] ha introdotto il problema di apprendimento con errori (LWE), una generalizzazione del problema della parità di apprendimento con errore. L'ipotesi della durezza di questo problema per alcune scelte di parametri è alla base delle prove di sicurezza per una serie di sistemi di crittografia post-quantistica nel campo della crittografia basata su reticolo. Le versioni "canoniche" di LWE sono descritte di seguito.

Preliminari:

Sia essere il gruppo additivo dei reali modulo 1, ovvero prendendo valori in . Per numeri interi positivi e , un vettore "segreto" , una distribuzione di probabilità on , lascia rappresenta la distribuzione su ottenuta scegliendo uniformemente a casuale, disegnando un termine di errore e in uscita $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ $[0, 1)$ $n$ $2 \le q \le poly(n)$ ${\bf s} \in \mathbb{Z}_q^n$ $\phi$ $\mathbb{R}$ $A_{{\bf s}, \phi}$ $\mathbb{Z}_q^n \times \mathbb{T}$ ${\bf a} \in \mathbb{Z}_q^n$ $x \leftarrow \phi$ $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$ .

Sia $A_{{\bf s}, \overline{\phi}}$ la "discretizzazione" di $A_{{\bf s}, \phi}$ . Cioè, prima estraiamo un campione $({\bf a}, b')$ da $A_{{\bf s}, \phi}$ e quindi produciamo $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ . Qui $\lfloor\circ\rceil$ indica arrotondamento $\circ$ al valore integrale più vicino, quindi possiamo vedere $({\bf a}, b)$ come $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$ .

Nell'impostazione canonica, prendiamo la distribuzione dell'errore come gaussiana. Per qualsiasi , la funzione di densità di una distribuzione di probabilità gaussiana monodimensionale su è data da . Scriviamo come scorciatoia per la discretizzazione di $\phi$ $\alpha > 0$ $\mathbb{R}$ $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$ $A_{{\bf s}, \alpha}$ $A_{{\bf s}, D_\alpha}$

Definizione LWE:

Nella versione di ricerca ci vengono dati campioni da , che possiamo vedere come equazioni lineari "rumorose" (Nota: ): $LWE_{n, q, \alpha}$ $N = poly(n)$ $A_{{\bf s}, \alpha}$ ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⟨ a_{1}, s ⟩ \approx_{χ} b_{1} \mod q

$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$

⋮

$\vdots$

⟨ a_{N}, s ⟩ \approx_{χ} b_{N} \mod q

$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$

dove l'errore in ciascuna equazione è disegnato indipendentemente da un Gaussiano discreto (centrato) di larghezza . Il nostro obiettivo è recuperare . (Osserva che, senza errori, possiamo risolverlo con l'eliminazione gaussiana, ma in presenza di questo errore, l'eliminazione gaussiana fallisce drammaticamente.) $\alpha q$ ${\bf s}$

Nella versione decisionale , ci viene dato l'accesso a un oracolo che restituisce campioni quando viene interrogato. Ci viene promesso che tutti i campioni provengono da o dalla distribuzione uniforme . Il nostro obiettivo è distinguere qual è il caso. $DLWE_{n, q, \alpha}$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

Si ritiene che entrambi i problemi siano quando . $hard$ $\alpha q > 2\sqrt n$

Connessione alla teoria della complessità:

È noto (vedere [1], [2] per i dettagli) che LWE corrisponde alla risoluzione di un problema di decodifica della distanza limitata (BDD) sul doppio reticolo di un'istanza GapSVP. Un algoritmo di tempo polinomiale per LWE implicherebbe un algoritmo di tempo polinomiale per approssimare alcuni problemi reticolari come SIVP e SVP all'interno di dove è un piccolo fattore polinomiale (diciamo, ). $\tilde O(n/\alpha)$ $1/\alpha$ $n^2$

Limiti algoritmici attuali

Quando per strettamente inferiore a 1/2, Arora e Ge [3] forniscono un algoritmo a tempo esponenziale per LWE. L'idea è che, dalle proprietà ben note del gaussiano, trarre termini di errore così piccoli si adatta a un'impostazione di "rumore strutturato" se non con probabilità esponenzialmente bassa. Intuitivamente in questa impostazione, ogni volta che avremmo ricevuto 1 campione, riceviamo un blocco di campioni con la promessa che non più di qualche frazione costante contiene errori. Usano questa osservazione per "linearizzare" il problema ed enumerare lo spazio degli errori. $\alpha q \le n^\epsilon$ $\epsilon$ $m$

$\underline{\bf Question}$

Supponiamo invece di avere accesso a un oracolo . Quando richiesto, prime query per ottenere un campione . Se stato disegnato da , allora restituisce un campione dove rappresenta la "direzione" (o "segno" valutato da ) del termine di errore . Se stato disegnato in modo casuale, allora restituisce $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ $d$ $\pm$ $({\bf a}, b)$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ . (In alternativa, potremmo considerare il caso in cui il bit viene scelto in modo contraddittorio quando viene disegnato uniformemente in modo casuale.) $d$ $b$

Sia essere come prima, tranne per il fatto che ora per una costante sufficientemente grande , diciamo. (Questo per garantire che l'errore assoluto in ciascuna equazione rimanga inalterato.) Definire i problemi di apprendimento con errore firmato (LWSE) e come prima, tranne che ora abbiamo il consiglio aggiuntivo per il segno di ciascun termine di errore. $n, q, \alpha$ $\alpha q > c\sqrt n$ $c$ $LWSE_{n, q, \alpha}$ $DLWSE_{n, q, \alpha}$

Entrambe le versioni di LWSE sono significativamente più facili delle loro controparti LWE?

Per esempio

1. Esiste un algoritmo a tempo esponenziale per LWSE?

2. Che dire di un algoritmo del tempo polinomiale basato, per esempio, sulla programmazione lineare?

Oltre alla discussione di cui sopra, la mia motivazione è un interesse nell'esplorazione delle opzioni algoritmiche per LWE (di cui attualmente abbiamo relativamente poche tra cui scegliere). In particolare, l'unica restrizione nota per fornire buoni algoritmi per il problema è legata all'entità dei termini di errore. Qui, l'entità rimane invariata, ma l'intervallo di errore in ciascuna equazione è ora "monotono" in un certo modo. (Un commento finale: non sono a conoscenza di questa formulazione del problema che appare in letteratura; sembra essere originale.)

Riferimenti:

[1] Regev, Oded. "Su reticoli, apprendimento con errori, codici lineari casuali e crittografia", in JACM 2009 (originariamente a STOC 2005) ( PDF )

[2] Regev, Oded. "Il problema dell'apprendimento con errori", ha invitato il sondaggio al CCC 2010 ( PDF )

[3] Arora, Sanjeev e Ge, Rong. "Nuovi algoritmi per l'apprendimento in presenza di errori", all'ICALP 2011 ( PDF )

— Daniel Apon
fonte

(wow! dopo tre anni che passano, ora è facile rispondere. divertente come va! - Daniel)

Questo problema di "Imparare con errori (firmati)" ( LWSE ), come inventato e dichiarato sopra da me (tre anni fa), si riduce banalmente dal problema di apprendimento esteso con errori ( eLWE ) introdotto per la prima volta nel lavoro Bi-Deniable Public -Key Encryption di O'Neill, Peikert e Waters al CRYPTO 2011.

Il problema eLWE è definito in modo analogo al LWE "standard" (ovvero [ Regev2005 ]), tranne per il fatto che il distinguitore (efficiente) delle distribuzioni riceve inoltre "suggerimenti" sul vettore di errore del campione LWE , sotto forma di possibilmente rumorosi) prodotti interni con un vettore arbitrario . (In applicazioni è spesso il vettore chiave di decrittazione di alcuni sistemi crittografici.) $\vec{x}$ $\vec{z}$ $\vec{z}$

Formalmente, il è descritto come segue: $\mathsf{eLWE}_{n,m,q,\chi,\beta}$

Per un numero intero e una distribuzione dell'errore su , il problema di apprendimento esteso con errori è di distinguere tra le seguenti coppie di distribuzioni: dove e e dove $q = q(n) \ge 2$ $\chi = \chi(n)$ $\mathbb{Z}_q$

{A, \vec{b} = A^{T} \vec{s} + \vec{x}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},

$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ ${A, \vec{u}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},$ $\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ $x'\leftarrow\mathcal{D}_{\beta q}$ $\mathcal{D}_\alpha$ è la distribuzione gaussiana discreta (monodimensionale) con larghezza . $\alpha$

È facile intuire che eLWE cattura "lo spirito" di LWSE , anche se una riduzione formale può essere dimostrata con uno sforzo non eccessivo.

Le principali idee di follow-up per la comprensione del problema Extended-LWE sono sviluppate nelle opere:

Sicurezza circolare e KDM per la crittografia basata sull'identità di Alperin-Sheriff e Peikert
Durezza classica dell'apprendimento con errori di Brakerski, Langlois, Peikert, Regev e Stehle

A seconda che la tua chiave segreta risieda in o sia binaria (e la natura di varie altre scelte di parametri), puoi usare le riduzioni del primo o del secondo documento per ridurre alla fine quanticamente / classicamente da con fattore di approssimazione in LWSE . $\mathbb{Z}_q$ $\mathsf{GapSVP}_\alpha$ $\alpha \ge \Omega(n^{1.5})$

— Daniel Apon
fonte

PS O in una frase "LWE is Robust", o in un documento che meglio cattura questo spirito: people.csail.mit.edu/vinodv/robustlwe.pdf

— Daniel Apon,

PPS Ora a una distanza appropriata dal corpo della risposta principale ... ecco un recente lavoro che "estende" la nostra comprensione dell'apprendimento esteso con errori: eprint.iacr.org/2015/993.pdf

— Daniel Apon,