×
米鲁纳·罗斯卡Stehlé,达米恩钱包,亚历山大

关于环-LWE和多项式-LWE问题。 (英语) Zbl 1421.94069号

Nielsen,Jesper Buus(编辑)等人,《密码学进展——2018年欧洲密码》。第37届密码技术理论与应用国际年会,以色列特拉维夫,2018年4月29日至5月3日。诉讼程序。第一部分查姆:施普林格。莱克特。注释计算。科学。10820, 146-173 (2018).
总结:错误的环学习问题(\(\mathsf{RLWE}\))有多种形式。Vanilla(mathsf{RLWE})是决策对偶(mathsf{RLWE})变体,它根据属于对偶(mathcal)的秘密区分均匀分布{O} K(_K)^整数环的(mathcal){O} K(_K)\)指定数字字段\(K\)的值。在primal-\(\mathsf{RLWE}\)中,秘密属于\(\mathcal{O} K(_K)\). 决策对偶(mathsf{RLWE})和原始(mathsf{RLWE{)都享有搜索对等项。同样广泛使用的是(搜索/决策)有错误的多项式学习((mathsf{PLWE})),它不是用整数环定义的{O} K(_K)\)一个数域(K),但一个多项式环(mathbb{Z}[x]/f)是一个不可约的monic环。我们表明,所有这六个引起有限参数损失的问题之间都存在减少。更准确地说:我们证明了(决策/搜索)从对偶到原始的约简[V.柳巴舍夫斯基等.Eurocrypt 2010,Lect。注释计算。科学。6110, 1–23 (2010;Zbl 1279.94099号)]和C.佩克特【SCN 2016,Lect.Notes Compute.Sci.9841,411-430(2016;Zbl 1421.94066号)]可以对所有环以较小的错误率增长来实现(得到的缩减是非均匀多项式时间);我们将其扩展到(决策/搜索)原始(mathsf{RLWE})和(mathsf{PLWE};我们利用最近的技术C.佩克特等【第49届ACM SIGACT计算理论年会论文集,STOC 2017。纽约州纽约市:ACM,461–473(2017;Zbl 1370.94536号)]对任意数字字段的\(\mathsf{RLWE}\)进行决策约简搜索。减少导致误差率增加,这取决于与\(K)和\(f)相关的固有量。
关于整个系列,请参见[Zbl 1387.94008号].

引用于1审查
引用于22文件

MSC公司:

94A60型 密码学

关键词:

错误环学习问题(RLWE)

引文:

Zbl 1279.94099号Zbl 1370.94536号兹比尔1421.94066
PDF格式BibTeX公司 XML格式引用
\textit{M.Rosca}等人,Lect。注释计算。科学。10820、146--173(2018年;Zbl 1421.94069)
全文: 内政部

参考文献:

[1] 阿尔布雷希特,MR;Deo,A。;Takagi,T。;Peyrin,T.,大模环-LWE \(\ge\)模-LWE,密码学进展-ASIACRYPT 2017,267-296(2017),Cham:Springer,Cham·兹比尔1420.94033 ·doi:10.1007/978-3-319-70694-8_10
[2] Alkim,E.,Ducas,L.,Pöppelmann,T.,Schwabe,P.:后量子密钥交换——一个新的希望。致:USENIX(2016)
[3] Bauch,J。;DJ伯恩斯坦;德瓦朗斯,H。;兰格,T。;van Vredendaal,C。;科隆,J-S;Nielsen,JB,《没有量子计算机的短生成器:多重求积案例》,《密码学进展——2017年欧洲密码》,27-59(2017),查姆:斯普林格,查姆·Zbl 1410.11136号 ·数字对象标识代码:10.1007/978-3-319-56620-72
[4] Bernstein,D.J.、Chuengsatiansup,C.、Lange,T.、van Vredendaal,C.:NTRU Prime(2016)。http://eprint.iacr.org/2016/461
[5] Bos,J.W.,Ducas,L.,Kiltz,E.,Lepoint,T.,Lyubashevsky,V.,Schanck,J.M.,Schwabe,P.,Stehlé,D.:晶体-Kyber:基于CCA-secure模格的KEM。In:EuroS&P(2018)
[6] Brakerski,Z。、Langlois,A。、Peikert,C。、Regev,O。、Stehlé,D。:带错误学习的经典困难。致:STOC(2013)·Zbl 1293.68159号
[7] Cramer,R。;杜卡斯,L。;佩克特,C。;Regev,O。;费希林,M。;科隆,J-S,恢复分圆环中主理想的短生成器,密码学进展-EUROCRYPT 2016,559-585(2016),海德堡:斯普林格,海德伯格·Zbl 1371.94630号 ·doi:10.1007/978-3-662-49896-5_20
[8] Cramer,R。;杜卡斯,L。;韦索洛夫斯基,B。;科隆,J-S;Nielsen,JB,Short stickelberger类关系及其在理想SVP中的应用,密码学进展-EUROCRYPT 2017,324-348(2017),Cham:Springer,Cham·Zbl 1411.94057号 ·doi:10.1007/978-3-319-56620-712
[9] 坎贝尔,P.,格罗夫斯,M.,谢泼德,D.:独白:一个警示故事。参见:ETSI第二届Quantum-Safe加密研讨会(2014年)。http://docbox.etsi.org/Worshop/2014/201410_CRYPTO/S07_Systems_and_Attacks/S07_Groves_Annex.pdf
[10] Castryck,W.,Iliashenko,I.,Vercauteren,F.:关于Ring-LWE中误差界的紧密性。LMS J.计算。数学。130-145 (2016) ·Zbl 1404.94048号
[11] 卡斯特里克,W。;伊利亚申科,I。;弗考特伦,F。;费希林,M。;科隆,J-S,《重访环-LWE的明显弱实例》,《密码学进展-EUROCRYPT 2016》,147-167(2016),海德堡:斯普林格,海德伯格·Zbl 1347.94025号 ·doi:10.1007/978-3-662-49890-3_6
[12] 陈,H。;Lauter,K。;Stange,KE,搜索攻击RLWE,SIAM J.Appl。代数几何。(SIAGA),1665-682(2017)·Zbl 1417.94052号 ·doi:10.137/16M1096566
[13] Chen,H.、Lauter,K.、Stange,K.E.:脆弱的Galois RLWE家族和改进的攻击。摘自:SAC会议记录。斯普林格(2016)
[14] 康拉德:导体理想。http://www.math.uconn.edu/kconrad/blurbs/gradnumthy/conductor.pdf
[15] 康拉德:不同的理想。http://www.math.uconn.edu/kconrad/blurbs/gradnumthy/difference.pdf
[16] 康韦,JB,《一个复变量的函数》(1995),纽约:施普林格出版社,纽约·Zbl 0887.30003号 ·数字对象标识代码:10.1007/978-1-4612-0817-4
[17] 杜卡斯,L。;Durmus,A。;费希林,M。;Buchmann,J。;Manulis,M.,多项式环中的Ring-LWE,公钥密码术-PKC 2012,34-51(2012),海德堡:Springer,Heidelberg·Zbl 1290.94067号 ·doi:10.1007/978-3642-30057-83
[18] Ducas,L.,Lepoint,T.,Lyubashevsky,V.,Schwabe,P.,Seiler,G.,Stehlé,D.:晶体-锂:模格子的数字签名。In:TCHES(2018)
[19] Eisenträger,K.,Hallgren,S.,Lauter,K.:PLWE的弱实例。致:SAC(2014)·Zbl 1336.94045号
[20] Elias,Y。;兰特,肯塔基州;Ozman,E。;斯坦格,KE;Gennaro,R。;Robshaw,M.,《环-LWE的显著弱实例》,《密码学进展-密码学》2015,63-92(2015),海德堡:斯普林格,海德伯格·Zbl 1336.94046号 ·doi:10.1007/978-3-662-47989-6_4
[21] Gentry,C。;Halevi,S。;佩克特,C。;智能,NP;维斯康蒂,I。;De Prisco,R.,BGV型同态加密中的环交换,网络安全与密码学,19-37(2012),海德堡:施普林格,海德堡·Zbl 1310.94147号 ·doi:10.1007/978-3-642-32928-92
[22] Gentry,C.、Peikert,C.、Vaikuntanathan,V.:硬格子和新密码构造的陷阱门。致:STOC(2008)·Zbl 1231.68124号
[23] 霍夫斯坦,J。;Howgrave-Graham,N。;Pipher,J。;怀特,W。;Nguyen,P。;Vallée,B.,《实用基于格的加密:NTRUEncrypt和NTRUSign》,《LLL算法》,349-390(2010),海德堡:斯普林格·兹比尔1191.94090
[24] 柳巴舍夫斯基,V。;佩克特,C。;Regev,O.,《理想格与环上错误学习》,JACM,60,6,43(2013)·Zbl 1281.68140号 ·doi:10.1145/2535925
[25] 柳巴舍夫斯基,V。;佩克特,C。;Regev,O。;约翰逊,T。;Nguyen,PQ,《环-LWE加密的工具包》,《密码学进展-EUROCRYPT 2013》,35-54(2013),海德堡:斯普林格,海德伯格·Zbl 1300.94082号 ·doi:10.1007/978-3-642-38348-93
[26] Langlois,A。;Stehlé,D.,模格的最坏情况到平均情况约简,Des。密码。,75, 3, 565-599 (2015) ·兹比尔1361.94043 ·数字对象标识代码:10.1007/s10623-014-9938-4
[27] 柳巴舍夫斯基,V。;Cheon,JH;Takagi,T.,《基于所有环中理想格问题硬度的数字签名》,《密码学进展-ASIACRYPT 2016》,196-214(2016),海德堡:斯普林格,海德伯格·Zbl 1407.94141号 ·doi:10.1007/978-3-662-53890-67
[28] Micciancio,D.,Regev,O.:基于高斯测度的最坏情况到平均情况的减少。摘自:FOCS会议记录,第371-381页。IEEE(2004)·Zbl 1142.68037号
[29] 佩克特,C。;齐卡斯,V。;De Prisco,R.,《如何(不)实例化环-LWE》,《网络安全与加密》,411-430(2016),Cham:Springer,Cham·Zbl 1421.94066号
[30] 佩克特,C。;Rosen,A。;Halevi,S。;Rabin,T.,基于循环格上最坏情况假设的高效抗碰撞散列,密码学理论,145-166(2006),海德堡:斯普林格·Zbl 1112.94020号 ·doi:10.1007/11681878_8
[31] Peikert,C.,Rosen,A.:允许对数最坏情况到平均情况连接因子的格。致:STOC(2007)·Zbl 1232.68069号
[32] Peikert,C.,Regev,O.,Stephens-Davidowitz,N.:任何环和模量的环-LWE的伪随机性。在:STOC(2017)·Zbl 1370.94536号
[33] Regev,O.,《关于格、错误学习、随机线性码和密码学》,J.ACM,56,6,1-40(2009)·Zbl 1325.68101号 ·doi:10.145/1568318.1568324
[34] 罗什卡,M。;Sakzad,A。;Stehlé,D。;斯坦菲尔德,R。;J.Katz。;Shacham,H.,《错误的中间产品学习》,《密码学进展-密码2017》,283-297(2017),查姆:斯普林格,查姆·兹比尔1406.94078 ·数字对象标识代码:10.1007/978-3-319-63697-9_10
[35] 施诺尔,C-P;Euchner,M.,《格基约简:改进的实用算法和解决子集和问题》,数学。程序。,66, 181-199 (1994) ·Zbl 0829.90099号 ·doi:10.1007/BF01581144
[36] Stehlé,D。;斯坦菲尔德,R。;KG Paterson,Making NTRU as security as worst-case problems over ideal lattices,Advances in Cryptology-EUROCRYPT 2011,27-47(2011),海德堡:斯普林格·Zbl 1281.94057号 ·doi:10.1007/978-3-642-20465-44
[37] Stehlé,D.,Steinfeld,R.:将NTRUEncrypt和NTRUSign作为理想格上的安全标准最坏情况问题(2013)。http://perso.ens-lyon.fr/damien.stehle/NTRU.html
[38] Stehlé,D。;斯坦菲尔德,R。;田中,K。;Xagawa,K。;Matsui,M.,基于理想格的高效公钥加密,密码学进展-ASIACRYPT 2009,617-635(2009),海德堡:斯普林格·Zbl 1267.94132号 ·doi:10.1007/978-3-642-10366-7_36
[39] Stevenhagen,P.:关于数字环的课堂讲稿(2017年)。http://websites.math.leidenoniv.nl/algebra/ant.pdf
[40] Maurer,美国。;Tessaro,S。;Menezes,A.,《公共随机函数的域扩展:超越生日障碍》,《密码学进展-密码2007》,187-204(2007),海德堡:斯普林格,海德伯格·Zbl 1215.94063号 ·doi:10.1007/978-3-540-74143-5_11
[41] 梅克尔,RC;Brassard,G.,一种经认证的数字签名,《密码学进展-密码体制89年诉讼》,218-238(1990),纽约:Springer,纽约·doi:10.1007/0-387-34805-0_21
[42] 梅克尔,RC;Brassard,G.,单向散列函数和DES,《密码学进展——密码学89年论文集》,428-446(1990),纽约:Springer,纽约·Zbl 07744962号 ·doi:10.1007/0-387-34805-0_40
[43] 米罗诺夫,I。;Yung,M。;Dodis,Y。;Kiayias,A。;Malkin,T.,不再抗碰撞:重新审视哈希和符号范式,公钥密码-PKC 2006140-156(2006),海德堡:施普林格,海德堡·Zbl 1151.94547号 ·doi:10.1007/11745853_10
[44] Naor,J。;Naor,M.,Small-bias概率空间:有效构造和应用,SIAM J.Compute。,22, 4, 838-856 (1993) ·Zbl 0776.60014号 ·doi:10.1137/0222053
[45] Naor,M。;奥斯特罗夫斯基,R。;R.文卡特桑。;Yung,M.,使用任何单向置换的NP的完美零知识参数,J.Cryptol。,11, 2, 87-108 (1998) ·Zbl 0960.94016号 ·数字标识代码:10.1007/s001459900037
[46] Naor,M.,Yung,M.:通用单向散列函数及其加密应用。摘自:第21届ACM计算机理论研讨会论文集,第33-43页。ACM(1989)
[47] Ngo,H.Q.,Porat,E.,Rudra,A.:通过列表可恢复代码和递归高效解码压缩感知。参加:第29届计算机科学理论方面国际研讨会。LIPIcs,第14卷,第230-241页。达格斯图尔宫(Schloss Dagstuhl)-莱布尼茨-泽特鲁姆富尔信息(Leibniz-Zentrum fuer Informatik)(2012年)·Zbl 1245.94043号
[48] Rompel,J.:单向函数对于安全签名来说是必要且足够的。摘自:第22届ACM计算机理论研讨会论文集,第387-394页。ACM(1990)
[49] Shoup,V。;Preneel,B.,通用单向散列函数的合成定理,密码学进展-EUROCRYPT 2000,445-452(2000),海德堡:施普林格,海德堡·Zbl 1082.94531号 ·doi:10.1007/3-540-45539-6_32
[50] 西蒙博士;Nyberg,K.,《在单行道上寻找冲突:安全哈希函数可以基于一般假设吗?》?,密码学进展-EUROCRYPT’98,334-345(1998),海德堡:施普林格·Zbl 0919.94032号 ·doi:10.1007/BFb0054137
[51] 史蒂文斯,M。;Bursztein,E。;卡普曼,P。;阿尔贝蒂尼,A。;马尔科夫,Y。;J.Katz。;Shacham,H.,《完整SHA-1的第一次碰撞》,《密码学进展-密码体制2017》,570-596(2017),查姆:斯普林格,查姆·Zbl 1407.94153号 ·doi:10.1007/978-3-319-63688-7_19
[52] Ta-Shma,A.:显式、几乎最优、ε平衡码。摘自:第49届ACM SIGACT计算机理论研讨会论文集,STOC,第238-251页(2017)·Zbl 1378.94079号
[53] 王,X。;Yin,YL;Yu,H。;Shoup,V.,《发现完整SHA-1中的碰撞》,《密码学进展-密码体制2005》,17-36(2005),海德堡:斯普林格,海德伯格·Zbl 1145.94454号 ·doi:10.1007/11535218_2
[54] 维,H。;Vadhan,SP,单向置换,交互式散列和统计隐藏承诺,密码学理论,419-433(2007),海德堡:施普林格·Zbl 1129.94039号 ·doi:10.1007/978-3-540-70936-7_23
[55] 明尼苏达州韦格曼;Carter,L.,《新散列函数及其在身份验证和集合相等中的使用》,J.Compute。系统。科学。,22, 3, 265-279 (1981) ·Zbl 0461.68074号 ·doi:10.1016/0022-0000(81)90033-7
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。