×
Katharina Boudgout;科伦丁,杰迪;阿德琳·鲁克斯·兰格洛伊斯;温伟强

关于短分布误差模块学习的困难性。 (英语) Zbl 1509.94069号

J.密码学 36,第1期,第1号论文,70页(2023年).
本文提供了关于带错误学习(LWE)问题的新结果。给定两个正整数(d)和(q),以及Z^d_q中的一个秘密向量(s),LWE(_{d,q,\psi})样本定义为((a,b=q^{-1}\langlea,s\rangle+e\bmod\mathbb{Z}),其中(a)是从(Z^d_ q)上的均匀分布中采样的,(e)是从在(mathbb}R)上的分布(\psi)中采样的误差项。LWE的搜索版本要求恢复任意多个LWE分布样本的秘密。它的决策对等体要求区分LWE样本和从均匀分布(Z^d_q\次T\)中提取的相同数量的样本,其中环面由\(\mathbb{T}=\mathbb{R}/\mathbb2{Z}\)定义。
作者特别关注错误模块学习(M-LWE)问题,该问题类似于LWE,其中整数集(mathbb{Z})被数字域(K\)的代数整数环(R\)取代。整数\(n)表示数字字段的阶数,\(d)表示模秩,\(q)表示模。进一步,设(psi)是场张量积(K_\mathbb{R}=K\otimes_\mathbb{Q}\mathbb{R})上的分布,设R^d_Q中的(s)是秘密向量,其中(R_Q=R/Q-R)。M-LWE\(_{n,d,q,\psi}\)样本由\((a,q^{-1}\langle a,s\rangle+e\bmod R)\)给出,其中\(a)在\(R^d_q\)中是均匀的,\(e)从\(\psi)中采样。搜索版本要求找到任意多个给定的样本,而决策版本要求区分这些样本和均匀随机的样本,其中圆环是。
在本文中,作者提供了三个对具有小秘密和/或误差的M-LWE硬度的主要贡献,即系数由某个正整数(eta\ll-q)限定。第一个是(eta)-M-LWE的计算硬度。第二个是(eta)-M-LWE的伪随机性。作者通过将M-LWE简化为(eta)-M-LWE,为(eta\)-M-LWE的决策版本提供了更复杂的硬度证明。这种减少适用于决策版本,并且它还略微提高了减少的噪声率,因为它不再依赖于样本数(m),而不是第一个贡献。第三个贡献是M-LWE的单向性,误差很小。它关注的是当误差分布在有界元素上均匀而不是高斯时M-SLWE的硬度。
审核人:弗拉迪米尔·拉科(科希策)

引用于2文件

MSC公司:

94A60型 密码学
94A62型 身份验证、数字签名和秘密共享

关键词:

基于格的密码学;有错误的模块学习;短期分布;有界秘密;有界误差

软件:

FHEW公司;LWE环
PDF格式BibTeX公司 XML格式引用
\textit{K.Boudgoust}et al.,J.Cryptology 36,No.1,论文编号1,70 p.(2023;Zbl 1509.94069)
全文: 内政部

参考文献:

[1] M.R.Albrecht、A.Deo。大模数环-we(ge\)module-lwe。在ASIACRYPT(1)中,《计算机科学讲义》第10624卷(Springer,2017),第267-296页·Zbl 1420.94033号
[2] M.R.阿尔布雷奇特,A.迪欧。大模量环-lwe(>=\)模量-lwe。IACR加密。电子打印架构。,(2017)第612页
[3] 阿尔布雷希特,MR;西德,C。;Faugère,J-C;菲茨帕特里克,R。;Perret,L.,LWE问题的代数算法,ACM Commun。计算。代数,49,2,62(2015)·doi:10.1145/2815111.2815158
[4] J.Alperin-Sheriff,D.Apon。从LWE到LWR的保维缩减。IACR加密。电子印刷拱门,2016年,第589页
[5] B.Applebaum,D.Cash,C.Peikert,A.Sahai。基于难学习问题的快速加密原语和循环安全加密。在《密码》中,《计算机科学讲义》(Springer,2009)第5677卷,第595-618页·Zbl 1252.94044号
[6] S.Arora,R.Ge。存在错误时学习的新算法。在ICALP(1)中,《计算机科学讲义》(Springer,2011)第6755卷,第403-415页·Zbl 1332.68099号
[7] Bai,S。;Lepoint,T。;Roux-Langlois,A。;Sakzad,A。;Stehlé,D。;Steinfeld,R.,《改进基于格的密码学中的安全证明:使用Rényi发散而非统计距离》,J.Cryptol。,31, 2, 610-640 (2018) ·Zbl 1444.94043号 ·doi:10.1007/s00145-017-9265-9
[8] Blanco-Chacón,I.,关于分圆数域的RLWE/PLWE等价,应用。代数工程通讯。计算。,33, 1, 53-71 (2022) ·Zbl 1481.11070号 ·doi:10.1007/s00200-020-00433-z
[9] Blum,A。;卡莱,A。;Wasserman,H.,《噪声容忍学习、奇偶问题和统计查询模型》,J.ACM,50,4,506-519(2003)·兹比尔1325.68114 ·doi:10.1145/792538.792543
[10] J.W.Bos、L.Ducas、E.Kiltz、T.Lepoint、V.Lyubashevsky、J.M.Schanck、P.Schwabe、G.Seiler、D.Stehlé。《晶体-kyber:基于cca-secure模晶格的KEM》,欧洲标准普尔(IEEE,2018),第353-367页
[11] K.布德古斯特。含错误的代数结构学习的理论难度,2021年。https://katinkabou.github.io/Documents/Thesis_Boudgoust_Final.pdf
[12] K.Boudgout、C.Jeudy、A.Roux-Langlois、W.Wen。模量lwe的经典硬度:线性秩情形。在ASIACRYPT(2)中,《计算机科学讲义》(Springer,2020)第12492卷,第289-317页·Zbl 07666666号
[13] K.Boudgout、C.Jeudy、A.Roux-Langlois、W.Wen。关于具有二进制秘密的模lwe的硬度。在CT-RSA中,《计算机科学讲义》第12704卷(施普林格,2021),第503-526页·Zbl 1479.94133号
[14] Z.Brakerski,N.Döttling。一般熵分布下LWE的硬度。在EUROCRYPT(2)中,《计算机科学讲义》(Springer,2020)第12106卷,第551-575页·Zbl 1492.94068号
[15] Z.Brakerski,N.Döttling。环向的损耗和熵硬度。在TCC(1)中,《计算机科学讲义》(Springer,2020)第12550卷,第1-27页·Zbl 1479.94136号
[16] Z.Brakerski,C.Gentry,V.Vaikuntanathan。(分级)无引导的完全同态加密。ITCS(ACM,2012)第309-325页·Zbl 1347.68120号
[17] Z.Brakerski、A.Langlois、C.Peikert、O.Regev和D.Stehlé。有错误的学习的典型困难。STOC(ACM,2013)第575-584页·Zbl 1293.68159号
[18] 杜卡斯,L。;基尔茨,E。;Lepoint,T。;柳巴舍夫斯基,V。;施瓦布,P。;塞勒,G。;Stehlé,D.,《晶体-二锂:基于晶格的数字签名方案》,IACR Trans。加密程序。硬件。嵌入。系统。,2018, 1, 238-268 (2018) ·doi:10.46586/tches.v2018.i1.238-268
[19] L.Ducas和D.Micciancio。FHEW:在不到一秒钟的时间内引导同态加密。在EUROCRYPT(1)中,《计算机科学讲义》(Springer,2015)第9056卷,第617-640页·兹比尔1370.94509
[20] C.Gentry、C.Peikert和V.Vaikuntanathan。硬格子和新密码构造的陷阱门。STOC(ACM,2008)第197-206页·Zbl 1231.68124号
[21] S.Goldwasser、Y.Tauman Kalai、C.Peikert、V.Vaikuntanathan。错误假设下学习的稳健性。在ICS(清华大学出版社,2010)第230-240页
[22] R.Impagliazzo,D.Zuckerman。如何回收随机位。FOCS(IEEE Computer Society,1989)第248-253页
[23] P.Kirchner,P.-A.Fouque。一种用于LWE的改进BKW算法及其在密码学和格中的应用。在《密码》(1)中,《计算机科学讲义》(Springer,2015)第9215卷第43-62页·Zbl 1336.94058号
[24] Langlois,A。;Stehlé,D.,模格的最坏情况到平均情况约简,Des。密码。,75, 3, 565-599 (2015) ·Zbl 1361.94043号 ·数字对象标识代码:10.1007/s10623-014-9938-4
[25] A.Langlois、D.Stehlé、R.Steinfeld。Gghlite:来自理想晶格的更有效的多线性映射。在EUROCRYPT中,《计算机科学讲义》(Springer,2014)第8441卷,第239-256页·Zbl 1332.94071号
[26] H.Lin、Y.Wang、M.Wang。一般熵分布上的模量lwe和环lwe的硬度。IACR加密。电子打印拱门。2020年第1238页
[27] R.Lindner,C.Peikert。用于基于lw-based加密的更好的密钥大小(和攻击)。在CT-RSA中,《计算机科学讲义》(Springer,2011)第6558卷,第319-339页·Zbl 1284.94088号
[28] M.Liu,P.Q.Nguyen。通过枚举解决BDD:一个更新。在CT-RSA中,《计算机科学讲义》(Springer,2013)第7779卷,第293-309页·Zbl 1312.94070号
[29] V.柳巴舍夫斯基。无活门的格子签名。在EUROCRYPT中,《计算机科学讲义》(Springer,2012)第7237卷,第738-755页)·兹比尔1295.94111
[30] 柳巴舍夫斯基,V。;佩克特,C。;Regev,O.,《理想格与环上错误学习》,J.ACM,60,6,43:1-43:35(2013)·Zbl 1281.68140号 ·doi:10.1145/2535925
[31] V.Lyubashevsky、C.Peikert和O.Regev。一个用于环lwe加密的工具包。在EUROCRYPT中,《计算机科学讲义》(Springer,2013)第7881卷,第35-54页·Zbl 1300.94082号
[32] V.Lyubashevsky,G.Seiler。部分分裂分圆环中的短可逆元及其在基于格的零知识证明中的应用。在EUROCRYPT(1)第10820卷《计算机科学讲义》(Springer,2018)第204-224页·Zbl 1423.94087号
[33] V.Lyubashevsky,N.K.Nguyen,G.Seiler。通过一次性承诺实现更短的基于格的零知识证明。在公钥密码术(1)中,计算机科学讲义第12710卷(Springer,2021)第215-241页·Zbl 1479.94232号
[34] Micciancio,D.,广义紧背包,循环格和有效单向函数,计算。复杂。,16, 4, 365-411 (2007) ·Zbl 1133.68024号 ·doi:10.1007/s00037-007-0234-9
[35] Micciancio,D.,《关于用二进制秘密错误学习的困难》,《理论计算》。,14, 1, 1-17 (2018) ·Zbl 1412.68072号 ·doi:10.4086/toc.2018.v014a013
[36] D.Micciancio,P.Mol.伪随机背包和LWE搜索到决策约简的样本复杂性。在《密码》中,《计算机科学讲义》(Springer,2011)第6841卷,第465-484页·Zbl 1287.94085号
[37] D.Micciancio,C.Peikert。格子吊门:更简单、更紧密、更快、更小。在EUROCRYPT中,《计算机科学讲义》(Springer,2012)第7237卷,第700-718页·兹比尔1297.94090
[38] D.Micciancio,C.Peikert。小参数SIS和LWE的硬度。在《密码》(1)第8042卷《计算机科学讲义》(Springer,2013)第21-39页·Zbl 1310.94161号
[39] Micciancio,D。;Regev,O.,《基于高斯测度的最坏情况到平均情况的减少》,SIAM J.Comput。,37, 1, 267-302 (2007) ·Zbl 1142.68037号 ·doi:10.1137/S0097539705447360
[40] NIST。后量子密码标准化。https://csrc.nist.gov/Projects/Post-Quantum-Cryptography/Post-Quantumer-Cryptography-Standardization(https://csrc.nist.org/Projects)
[41] Peikert,C.,《中晶格问题硬度的极限》\({l} (p)\)规范,计算。综合体,17,2,300-351(2008)·Zbl 1149.68039号 ·doi:10.1007/s00037-008-0251-3
[42] C.佩克特。最坏情况下最短向量问题的公钥密码系统:扩展抽象。STOC(ACM,2009)第333-342页·Zbl 1304.94079号
[43] C.佩克特。一种高效的网格并行高斯采样器。在《密码》中,《计算机科学讲义》(Springer,2010)第6223卷,第80-97页·Zbl 1280.94091号
[44] C.Peikert,Z.Pepin。代数结构lwe,重温。在TCC(1)中,《计算机科学讲义》(Springer,2019)第11891卷,第1-23页·Zbl 1455.94187号
[45] C.Peikert、O.Regev、N.Stephens-Davidowitz。对于任何环和模,环-lwe的伪随机性。STOC(ACM,2017)第461-473页·Zbl 1370.94536号
[46] O.雷格夫。在格上,学习错误、随机线性码和密码学。STOC(ACM,2005)第84-93页·兹比尔1192.94106
[47] Regev,O.,《关于格、错误学习、随机线性码和密码学》,J.ACM,56,6,34:1-34:40(2009)·Zbl 1325.68101号 ·数字对象标识代码:10.1145/1568318.1568324
[48] A.雷尼。关于熵和信息的度量。程序中。第四届伯克利交响乐团。数学。统计师。和探针。,第一卷(加州大学出版社,加州伯克利,1961年),第547-561页·Zbl 0106.33001号
[49] Rjasanow,S.,循环块矩阵的有效算法,线性代数应用。,202, 55-69 (1994) ·Zbl 0804.65042号 ·doi:10.1016/0024-3795(94)90184-8
[50] M.Rosca、D.Stehlé和A.Wallet。关于环和多项式问题。在EUROCRYPT(1)第10820卷《计算机科学讲义》(Springer,2018)第146-173页·Zbl 1421.94069号
[51] D.Stehlé,R.Steinfeld,K.Tanaka,K.Xagawa。基于理想格的高效公钥加密。在ASIACRYPT中,《计算机科学讲义》(Springer,2009)第5912卷,第617-635页·Zbl 1267.94132号
[52] C.Sun、M.Tibouchi和M.Abe。重新审视二进制误差LWE的硬度。在ACISP中,《计算机科学讲义》(Springer,2020)第12248卷,第425-444页·Zbl 1464.68122号
[53] van Erven,T。;Harremoös,P.,Rényi发散和kullback-leibler发散,IEEE Trans。《信息理论》,60,7,3797-3820(2014)·Zbl 1360.94180号 ·doi:10.1109/TIT.2014.2320050
[54] Vershynin,R.,《随机矩阵非渐近分析导论》(2012),剑桥:剑桥大学出版社,剑桥·doi:10.1017/CBO9780511794308.006
[55] D.A.Wagner(D.A.瓦格纳)。广义生日问题。《密码学》第2442卷《计算机科学讲义》(Springer,2002)第288-303页·Zbl 1026.94541号
[56] Y.Wang,M.Wang。模块1与环1,再次讨论。IACR加密。电子打印拱门。2019年。日期为2019年8月18日。第930页
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。