การเรียนรู้ด้วย (ลงนาม) ข้อผิดพลาด

$\underline{\bf Background}$

ในปี 2005 Regev [1] ได้แนะนำปัญหาการเรียนรู้ด้วยข้อผิดพลาด (LWE) ซึ่งเป็นลักษณะทั่วไปของปัญหาการเรียนรู้ที่มีข้อผิดพลาด ข้อสันนิษฐานของความแข็งของปัญหานี้สำหรับตัวเลือกพารามิเตอร์บางตัวในตอนนี้เป็นหลักฐานยืนยันความปลอดภัยสำหรับโฮสต์ของ cryptosystems หลังควอนตัมในด้านการเข้ารหัสลับที่ใช้โครงตาข่าย LWE เวอร์ชัน "canonical" มีการอธิบายด้านล่าง

รอบคัดเลือกโซน:

ปล่อย $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ เป็นกลุ่มเพิ่มเติมของ reals modulo 1 คือการรับค่า $[0, 1)$. สำหรับจำนวนเต็มบวก$n$ และ $2 \le q \le poly(n)$เวกเตอร์ "ลับ" ${\bf s} \in \mathbb{Z}_q^n$การกระจายความน่าจะเป็น $\phi$ บน $\mathbb{R}$, ปล่อย $A_{{\bf s}, \phi}$ เป็นการกระจายบน $\mathbb{Z}_q^n \times \mathbb{T}$ ได้จากการเลือก ${\bf a} \in \mathbb{Z}_q^n$ สุ่มอย่างสม่ำเสมอวาดคำผิดพลาด $x \leftarrow \phi$และการส่งออก $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$.

ปล่อย $A_{{\bf s}, \overline{\phi}}$ เป็น "discretization" ของ $A_{{\bf s}, \phi}$. นั่นคือเราวาดตัวอย่างก่อน$({\bf a}, b')$ จาก $A_{{\bf s}, \phi}$ แล้วส่งออก $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$. ที่นี่$\lfloor\circ\rceil$ หมายถึงการปัดเศษ $\circ$ เป็นค่าอินทิกรัลที่ใกล้ที่สุดดังนั้นเราจึงสามารถดูได้ $({\bf a}, b)$ เช่น $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$.

ในการตั้งค่าแบบบัญญัติเราใช้การกระจายข้อผิดพลาด $\phi$จะเป็นแบบเกาส์เซียน สำหรับคนใด$\alpha > 0$ฟังก์ชันความหนาแน่นของการแจกแจงความน่าจะเป็นแบบเกาส์ 1 มิติ $\mathbb{R}$ ได้รับจาก $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$. พวกเราเขียน$A_{{\bf s}, \alpha}$ จดชวเลขสำหรับการแยกแยะ $A_{{\bf s}, D_\alpha}$

คำนิยาม LWE:

ในเวอร์ชั่นค้นหา $LWE_{n, q, \alpha}$ เราจะได้รับ $N = poly(n)$ ตัวอย่างจาก $A_{{\bf s}, \alpha}$ซึ่งเราสามารถดูเป็นสมการเชิงเส้น "ที่มีเสียงดัง" (หมายเหตุ: ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$):

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

ที่ผิดพลาดในแต่ละสมจะถูกวาดเป็นอิสระจาก (ศูนย์กลาง) ไม่ต่อเนื่องของความกว้างของเกาส์Q เป้าหมายของเราคือการกู้คืนs} (สังเกตว่าไม่มีข้อผิดพลาดเราสามารถแก้ปัญหานี้ด้วยการกำจัดแบบเกาส์ แต่ในการปรากฏตัวของข้อผิดพลาดนี้การกำจัดแบบเกาส์ล้มเหลวอย่างมาก)$\alpha q$${\bf s}$

ในเวอร์ชันการตัดสินใจ เราได้รับการเข้าถึง oracleที่ส่งคืนตัวอย่างเมื่อมีการสอบถาม เรามีสัญญาว่ากลุ่มตัวอย่างทั้งทั้งหมดมาจากหรือจากการกระจายชุด_q) เป้าหมายของเราคือการแยกแยะซึ่งเป็นกรณี$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

ปัญหาทั้งสองเชื่อว่าจะเป็นเมื่อn$hard$$\alpha q > 2\sqrt n$

การเชื่อมต่อกับทฤษฎีความซับซ้อน:

เป็นที่ทราบกันดี (ดู [1], [2] เพื่อดูรายละเอียด) ว่า LWE สอดคล้องกับการแก้ปัญหาการถอดรหัสระยะไกล (BDD) ในสองตาข่ายของอินสแตนซ์ GapSVP อัลกอริธึมเวลาพหุนามสำหรับ LWE จะหมายถึงอัลกอริทึมเวลาพหุนามเพื่อประมาณปัญหาตาข่ายบางอย่างเช่น SIVP และ SVP ภายในโดยที่เป็นพหุนามขนาดเล็ก (พูด, )$\tilde O(n/\alpha)$$1/\alpha$$n^2$

ขีด จำกัด อัลกอริทึมปัจจุบัน

เมื่อสำหรับอย่างเคร่งครัดน้อยกว่า 1/2, Arora และ Ge [3] ให้อัลกอริธึมเวลาเอ็กซ์โพเนนเชียลสำหรับ LWE แนวคิดก็คือจากคุณสมบัติที่รู้จักกันดีของเกาส์เซียนข้อผิดพลาดการวาดข้อตกลงเล็ก ๆ นี้เหมาะกับการตั้งค่า "เสียงที่มีโครงสร้าง" ยกเว้นความน่าจะเป็นที่ต่ำมาก ในการตั้งค่านี้โดยสังหรณ์ใจทุกครั้งที่เราได้รับ 1 ตัวอย่างเราจะได้รับกลุ่มตัวอย่างโดยให้สัญญาว่าไม่เกินเศษคงที่บางส่วนที่มีข้อผิดพลาด พวกเขาใช้การสังเกตนี้เพื่อ "เชิงเส้น" ปัญหาและระบุพื้นที่ข้อผิดพลาด$\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

สมมติว่าเรามีแทนการเข้าถึงให้กับผู้ oracle + เมื่อสอบถามแรกคำสั่งที่จะได้รับตัวอย่างb) ถ้าถูกดึงมาจากดังนั้นส่งคืนตัวอย่างโดยที่แทน "ทิศทาง" (หรือ - ประเมินค่า "สัญญาณ") ของข้อผิดพลาด . หากถูกสุ่มให้เลือกจะส่งกลับ$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$_2) (อีกวิธีหนึ่งเราสามารถพิจารณากรณีเมื่อบิตถูกเลือกตรงกันข้ามเมื่อถูกสุ่มอย่างสม่ำเสมอ)$d$$b$

ให้เหมือนก่อนยกเว้นตอนนี้สำหรับค่าคงที่ขนาดใหญ่พอพูด (นี่คือเพื่อให้แน่ใจว่าข้อผิดพลาดสัมบูรณ์ในแต่ละสมการยังคงไม่ได้รับผลกระทบ) กำหนดปัญหาการเรียนรู้ด้วยข้อผิดพลาดที่ลงนาม (LWSE)และเหมือนก่อนยกเว้น ตอนนี้เรามีคำแนะนำเพิ่มเติมเล็กน้อยสำหรับเครื่องหมายข้อผิดพลาดแต่ละคำ$n, q, \alpha$$\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

LWSE รุ่นใดรุ่นหนึ่งง่ายกว่ารุ่น LWE อย่างมีนัยสำคัญหรือไม่

เช่น

1. มีอัลกอริธึมเวลาเอ็กซ์โปแนนเชียลสำหรับ LWSE หรือไม่

2. อัลกอริธึมเวลาพหุนามเกี่ยวกับการเขียนโปรแกรมเชิงเส้นคืออะไร?

นอกเหนือจากการอภิปรายข้างต้นแรงจูงใจของฉันคือความสนใจในการสำรวจตัวเลือกอัลกอริทึมสำหรับ LWE (ซึ่งปัจจุบันเรามีให้เลือกน้อย) โดยเฉพาะอย่างยิ่งข้อ จำกัด เพียงอย่างเดียวที่ทราบกันว่าให้อัลกอริธึมที่ดีสำหรับปัญหานั้นเกี่ยวข้องกับขนาดของข้อผิดพลาด ที่นี่ขนาดยังคงเหมือนเดิม แต่ช่วงของข้อผิดพลาดในแต่ละสมการตอนนี้คือ "เสียงเดียว" ในบางวิธี (ความคิดเห็นสุดท้าย: ฉันไม่ทราบว่าการกำหนดปัญหานี้ปรากฏในวรรณกรรมมันดูเหมือนจะเป็นต้นฉบับ)

อ้างอิง:

[1] Regev, Oded "ใน Lattices, การเรียนรู้กับข้อผิดพลาด, รหัสแบบสุ่มเชิงเส้นและวิทยาการเข้ารหัสลับ" ใน JACM 2009 (สร้างสรรค์ที่ STOC 2005) ( PDF )

[2] Regev, Oded "ปัญหาการเรียนรู้ที่มีข้อผิดพลาด" เชิญแบบสำรวจที่ CCC 2010 ( PDF )

[3] Arora, Sanjeev และ Ge, ร้อง "อัลกอริทึมใหม่สำหรับการเรียนรู้เมื่อมีข้อผิดพลาด" ที่ ICALP 2011 ( PDF )

(ว้าว! หลังจากผ่านไปสามปีผ่านไปนี่เป็นคำตอบที่ง่ายตลกว่ามันจะเป็นยังไง! - แดเนียล)

ปัญหา "การเรียนรู้ที่มี (ลงชื่อ)" ( LWSE ) ตามที่คิดค้นและกล่าวข้างต้นโดยฉัน (สามปีที่ผ่านมา) ลดลงเล็กน้อยจากปัญหาการเรียนรู้แบบขยายพร้อมข้อผิดพลาด ( eLWE ) ที่เปิดตัวครั้งแรกในงานสาธารณะ -Key Encryption โดยO'Neill, Peikert และ Watersที่ CRYPTO 2011

Elweปัญหาถูกกำหนด analogously กับ "มาตรฐาน" LWE (เช่น [ Regev2005 ]) ยกเว้นการกระจาย (มีประสิทธิภาพ) distinguisher จะได้รับนอกจากนี้ 'คำแนะนำ' ในข้อผิดพลาดตัวอย่าง LWE ของเวกเตอร์ , ในรูปแบบของ ( อาจจะมีเสียงดัง) สินค้าภายในกับพลเวกเตอร์{Z} (ในแอปพลิเคชันมักจะเป็นเวกเตอร์ถอดรหัสคีย์ของระบบเข้ารหัสบางระบบ)$\vec{x}$$\vec{z}$$\vec{z}$

อย่างเป็นทางการปัญหามีการอธิบายดังนี้:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

---

สำหรับจำนวนเต็มและการกระจายข้อผิดพลาดมากกว่าการเรียนรู้แบบขยายที่มีปัญหาข้อผิดพลาดคือการแยกแยะระหว่างคู่ของการแจกแจงต่อไปนี้: ที่และและที่$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$$x'\leftarrow\mathcal{D}_{\beta q}$$\mathcal{D}_\alpha$คือ (1 มิติ) การกระจายแบบไม่ต่อเนื่องเสียนที่มีความกว้าง\$\alpha$

---

เป็นเรื่องง่ายที่จะเห็นว่าeLWEรวบรวม "วิญญาณ" ของLWSEแม้ว่าการลดลงอย่างเป็นทางการสามารถแสดงได้โดยไม่ต้องใช้ความพยายามเพิ่มเติมมากเกินไป

แนวคิดติดตามผลที่สำคัญเพื่อทำความเข้าใจปัญหา Extended-LWE ได้รับการพัฒนาในงาน:

• ความปลอดภัยแบบวงกลมและ KDM สำหรับการเข้ารหัสโดยใช้ข้อมูลประจำตัวโดยAlperin-Sheriff และ Peikert
• ความคลาสสิกของการเรียนรู้ที่มีข้อผิดพลาดโดยBrakerski, Langlois, Peikert, Regev และ Stehle

ขึ้นอยู่กับว่าชีวิตความลับสำคัญของคุณในหรือไบนารี (และธรรมชาติของตัวเลือกพารามิเตอร์อื่น ๆ ) คุณสามารถใช้ลดกระดาษแรกหรือครั้งที่สองเพื่อท้ายที่สุด quantumly / คลาสสิกลดลงจากกับปัจจัยประมาณเพื่อLWSE$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$