克里斯·佩克特 如何(不)实例化环-LWE。 (英语) Zbl 1421.94066号 Zikas,Vassilis(编辑)等人,《网络安全与密码学》。2016年8月31日至9月2日,第十届国际会议,SCN 2016,意大利阿马尔菲。诉讼程序。查姆:斯普林格。勒克特。票据计算。科学。9841, 411-430 (2016). 摘要:环上错误学习(ring-LWE)问题,或者更准确地说,是一系列问题,由于其实际效率、推测的量子电阻、,和可证明的最坏情况硬度:打破环的某些实例化-LWE至少与量化近似环中任何理想晶格上的最短向量问题一样困难{}尽管有这种硬度保证,但最近的几项研究表明,环-LWE的某些实例化可以被相对简单的攻击破坏。虽然受影响的实例化不受最坏情况硬度定理的支持(也从未出于加密目的提出过),但这种情况引发了一个自然的问题,即哪些其他实例化可能容易受到攻击,特别是某些类的环对于环-LWE是否固有地不安全。{}这项工作全面审查了已知的环-LWE攻击和脆弱的实例化。我们给出了一个新的、统一的解释,揭示了攻击起作用的基本几何原因,并提供了严格的分析来解释以前仅通过实验显示的某些现象。在所有情况下,实例化的不安全性都是由于相对于环的误差分布不够“均匀”。特别是,不安全的实例化使用所谓的非对偶形式的环-LWE,以及球面误差分布,这些误差分布比硬度证明所支持的误差分布窄得多,形状也大不相同。{}从积极的方面来看,我们表明,任何满足(或仅几乎满足)“搜索最坏情况硬度”定理的假设的环-LWE实例化都可以证明对上述攻击的广义推广是免疫的:运行时间除以优势至少是环度的指数。这适用于任何数字字段中的整数环,因此环本身并不是易受攻击的实例化中不安全的来源。此外,最坏情况硬度定理的假设几乎是提供这些免疫保证的最小假设。关于整个系列,请参见[Zbl 1344.94004号]. 引用于1审查引用于19文件 MSC公司: 94A60型 密码学 软件:LWE环 PDF格式BibTeX公司 XML格式引用 \textit{C.Peikert},莱克特。票据计算。科学。9841、411--430(2016年;Zbl 1421.94066) 全文: 内政部 参考文献: [1] Aggarwal,D.,Dadush,D.,Regev,O.,Stephens-Davidowitz,N.:解决最短向量问题\[2 ^n个\]时间使用离散高斯采样。收录于:STOC,第733–742页(2015年)·Zbl 1321.68426号 [2] Ajtai,M.,Kumar,R.,Sivakumar,D.:最短格向量问题的筛算法。收录于:STOC,第601-610页(2001年)·Zbl 1323.68561号 ·数字对象标识代码:10.1145/380752.380857 [3] Alkim,E.,Ducas,L.,Pöppelmann,T.,Schwabe,P.:后量子密钥交换——一个新的希望。在:USENIX安全研讨会(2016,即将亮相) [4] Alperin-Sheriff,J.,Peikert,C.:拟线性时间中的实际引导。收录于:Canetti,R.,Garay,J.A.(编辑)《2013年密码》,第一部分,LNCS,第8042卷,第1-20页。斯普林格,海德堡(2013)·Zbl 1310.94122号 ·doi:10.1007/978-3642-40041-4_1 [5] Arora,S.,Ge,R.:错误情况下学习的新算法。在:Aceto,L.,Henzinger,M.,Sgall,J.(编辑)ICALP 2011,第一部分,LNCS,第6755卷,第403–415页。斯普林格,海德堡(2011)·Zbl 1332.68099号 ·doi:10.1007/978-3-642-22006-7_34 [6] Blum,A.、Kalai,A.、Wasserman,H.:容错学习、奇偶问题和统计查询模型。《美国医学会期刊》50(4),506–519(2003)·Zbl 1325.68114号 ·doi:10.1145/792538.792543 [7] Bos,J.W.,Costello,C.,Naehrig,M.,Stebila,D.:TLS协议的后量子密钥交换,来自带错误的环学习问题。摘自:IEEE安全与隐私研讨会,第553-570页(2015年)·doi:10.1109/SP.2015.40 [8] Brakerski,Z.,Langlois,A.,Peikert,C.,Regev,O.,Stehlé,D.:错误学习的经典硬度。收录于:STOC,第575–584页(2013年)·Zbl 1293.68159号 ·doi:10.1145/2488608.2488680 [9] Castryck,W.,Iliashenko,I.,Vercauteren,F.:重温了Ring-LWE的显著薄弱实例。收录:Fischlin,M.,Coron,J.-S.(编辑)EUROCRYPT 2016。LNCS,第9665卷,第147-167页。斯普林格,海德堡(2016)。doi:10.1007/978-3-662-49890-36·Zbl 1347.94025号 ·doi:10.1007/978-3-662-49890-36 [10] Chen,H.、Lauter,K.、Stange,K.E.:对搜索RLWE的攻击。《加密电子打印档案》,2015/971年报告(2015年)。http://eprint.iacr.org/ [11] Chen,H.、Lauter,K.、Stange,K.E.:脆弱的伽罗瓦RLWE家族和改进的攻击。Cryptology ePrint Archive,报告2016/193(2016)。http://eprint.iacr.org/ [12] 克罗克特,E.,佩克特,C.:\[\λ\circ\Lambda\]:晶格密码的功能库。密码学电子打印档案,报告2015/1134(2015)。http://eprint.iacr.org/ [13] Eisenträger,K.,Hallgren,S.,Lauter,K.:PLWE的弱实例。收录:Joux,A.,Youssef,A.(编辑)SAC 2014。LNCS,第8781卷,第183-194页。斯普林格,海德堡(2014)·Zbl 1336.94045号 ·文件编号:10.1007/978-3-319-13051-4_11 [14] Elias,Y.,Lauter,K.E.,Ozman,E.,Stange,K.E.:Ring-LWE的明显弱实例。收录:Gennaro,R.,Robshaw,M.(编辑)《密码学进展——密码2015》。LNCS,第9215卷,第63-92页。斯普林格,海德堡(2015)·Zbl 1336.94046号 ·doi:10.1007/978-3-662-47989-64 [15] Lindner,R.,Peikert,C.:基于LWE的加密具有更好的密钥大小(和攻击)。收录:Kiayias,A.(编辑)CT-RSA 2011。LNCS,第6558卷,第319–339页。斯普林格,海德堡(2011)·兹比尔1284.94088 ·doi:10.1007/978-3642-19074-221 [16] Lyubashevsky,V.,Peikert,C.,Regev,O.:关于理想格和环上的错误学习。J.ACM 60(6),43:1–43:35(2013)。Eurocrypt 2010中的初步版本·Zbl 1281.68140号 ·doi:10.1145/2535925 [17] Lyubashevsky,V.,Peikert,C.,Regev,O.:Ring-LWE加密工具。收录人:Johansson,T.,Nguyen,P.Q.(编辑)EUROCRYPT 2013。LNCS,第7881卷,第35-54页。斯普林格,海德堡(2013)·Zbl 1300.94082号 ·doi:10.1007/978-3-642-38348-93 [18] Micciancio,D.,Mol,P.:伪随机背包和LWE搜索到决策减少的样本复杂性。收录:Rogaway,P.(编辑)《密码2011》。LNCS,第6841卷,第465-484页。斯普林格,海德堡(2011)·Zbl 1287.94085号 ·doi:10.1007/978-3-642-22792-9_26 [19] Micciancio,D.,Peikert,C.:格子的陷阱门:更简单、更紧密、更快、更小。In:Pointcheval,D.,Johansson,T.(编辑)EUROCRYPT 2012。LNCS,第7237卷,第700-718页。斯普林格,海德堡(2012)·Zbl 1297.94090号 ·doi:10.1007/978-3642-29011-441 [20] Micciancio,D.,Regev,O.:基于高斯测度的最坏情况到平均情况的减少。SIAM J.计算。37(1), 267–302 (2007). FOCS 2004的初步版本·Zbl 1142.68037号 ·doi:10.1137/S0097539705447360 [21] Micciancio,D.,Regev,O.:基于格的密码学。《后量子密码术》,第147-191页。斯普林格,海德堡(2009)·Zbl 1161.81324号 ·doi:10.1007/978-3-540-88702-7_5 [22] Micciancio,D.,Voulgaris,P.:基于Voronoi细胞计算的大多数晶格问题的确定性单指数时间算法。收录于:STOC,第351-358页(2010年)·Zbl 1293.68172号 ·doi:10.145/1806689.1806739 [23] Peikert,C.:最坏情况下最短向量问题中的公钥密码系统。收录于:STOC,第333–342页(2009年)·Zbl 1304.94079号 ·数字对象标识代码:10.1145/1536414.1536461 [24] Peikert,C.:互联网的格密码学。收录:Mosca,M.(编辑)PQCrypto 2014。LNCS,第8772卷,第197-219页。斯普林格,海德堡(2014)·Zbl 1383.94037号 ·doi:10.1007/978-3-319-11659-4_12 [25] Regev,O.:关于格、错误学习、随机线性码和密码学。J.ACM 56(6),1-40(2009)。STOC 2005中的初步版本·Zbl 1325.68101号 ·数字对象标识代码:10.1145/1568318.1568324 此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。