论文2024/030

量子不经意LWE采样与基于标准模型格的SNARK的不安全性

摘要

错误学习（$\mathsf{LWE}$）问题要求从形式$（\mathbf{A}，\mathbf{b}=\mathbf1{A}\mathbf2{s}+\mathbf2{e}）\in（\mathbb{Z}/q\mathbb{Z{）^{m\timesn}\times（\mat血红蛋白{Z}/g\mathbb{Z}）f{e}$具有小幅度条目。在这项工作中，我们不关注求解$\mathsf{LWE}$，而是关注采样实例的任务。由于这些在其范围内极为稀疏，因此似乎唯一可行的方法是首先创建$\mathbf｛s｝$和$\mathbf｛e｝$，然后设置$\mathbf｛b｝=\mathbf｛A｝\mathbf｛s｝+\mathbf｛e｝$。特别是，这样的实例采样器知道解决方案。这就提出了一个问题，即是否可能在不知道底层$\mathbf{s}$的情况下，对$（\mathbf{A}，\mathbf1}\mathbf2}+\mathbf2{e}）$进行遗忘采样。在一系列工作中，使用了一种不同的假设，即不经意的$\mathsf{LWE}$抽样是困难的，来分析简洁非交互式知识论证（SNARK）候选结构的安全性。由于该假设与$\mathsf{LWE}$有关，因此推测这些SNARK在存在量子对手的情况下是安全的。我们的主要结果是一个量子多项式时间算法在假设$\mathsf{LWE}$很难的情况下，对分布良好的$\mathf{LWE}$实例进行采样，但可以证明不知道解决方案。此外，该方法适用于广泛的$\mathsf{LWE}$参数化，包括上述SNARK中使用的参数化。这使得安全分析中使用的假设无效，尽管它不会对建筑物本身产生攻击。