Навчання з (підписаними) помилками

$\underline{\bf Background}$

У 2005 р. Регев [1] представив проблему «Навчання з помилками» (LWE), узагальнення проблеми паритету навчання з помилкою. Припущення про твердість цієї проблеми для певного вибору параметрів тепер лежить в основі доказів безпеки для безлічі постквантових криптосистем у сфері криптографії на основі ґратки. Нижче описані "канонічні" версії LWE.

Попередні запитання:

Дозволяє $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ бути групою добавок по реальному модулю 1, тобто приймаючи значення в $[0, 1)$. Для натуральних чисел$n$ і $2 \le q \le poly(n)$, "секретний" вектор ${\bf s} \in \mathbb{Z}_q^n$, розподіл вірогідності $\phi$ на $\mathbb{R}$, дозволяє $A_{{\bf s}, \phi}$ бути розподілом на $\mathbb{Z}_q^n \times \mathbb{T}$ отриманий вибором ${\bf a} \in \mathbb{Z}_q^n$ рівномірно навмання, малюючи помилковий термін $x \leftarrow \phi$, та вихід $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$.

Дозволяє $A_{{\bf s}, \overline{\phi}}$ бути "дискретизацією" Росії $A_{{\bf s}, \phi}$. Тобто спочатку малюємо зразок$({\bf a}, b')$ з $A_{{\bf s}, \phi}$ а потім вивести $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$. Ось$\lfloor\circ\rceil$ позначає округлення $\circ$ до найближчого цілісного значення, щоб ми могли переглянути $({\bf a}, b)$ як $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$.

У канонічній установці ми приймаємо розподіл помилок $\phi$бути гауссом. Для будь-якого$\alpha > 0$, функція щільності одновимірного розподілу ймовірностей Гаусса над $\mathbb{R}$ дається $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$. Ми пишемо$A_{{\bf s}, \alpha}$ як стенограма дискреції $A_{{\bf s}, D_\alpha}$

Визначення LWE:

У пошуковій версії $LWE_{n, q, \alpha}$ нам дано $N = poly(n)$ зразки від $A_{{\bf s}, \alpha}$, яку ми можемо розглядати як "галасливі" лінійні рівняння (Примітка: ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$):

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

де похибка в кожному рівнянні незалежно виводиться з (по центру) дискретного гаусса шириною $\alpha q$. Наша мета - відновитись${\bf s}$. (Зауважте, що, не маючи помилок, ми можемо вирішити це за допомогою Гауссової елімінації, але за наявності цієї помилки Гауссова елімінація різко провалюється.)

У версії рішення $DLWE_{n, q, \alpha}$, нам надається доступ до оракула $\mathcal{O}_{\bf s}$ що повертає зразки $({\bf a}, b)$при запиті. Нам обіцяють, що або всі зразки походять$A_{{\bf s}, \alpha}$ або від рівномірного розподілу $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$. Наша мета - розрізнити, у чому справа.

Вважаються обидві проблеми $hard$ коли $\alpha q > 2\sqrt n$.

Підключення до теорії складності:

Відомо (детальніше див. [1], [2]), що LWE відповідає вирішенню задачі з обмеженою дистанційною розшифровкою на подвійній решітці екземпляра GapSVP. Поліноміальний алгоритм часу для LWE буде означати поліноміальний алгоритм часу для наближення певних решіткових задач, таких як SIVP і SVP в межах$\tilde O(n/\alpha)$ де $1/\alpha$ є невеликим поліномним фактором (скажімо, $n^2$).

Поточні алгоритмічні межі

Коли $\alpha q \le n^\epsilon$ для $\epsilon$строго менше 1/2, Arora та Ge [3] дають алгоритм субекспоненціального часу для LWE. Ідея полягає в тому, що, з відомих властивостей Гаусса, термін помилки малювання цей малий вписується в налаштування "структурованого шуму", за винятком експоненціально малої ймовірності. Інтуїтивно в цій обстановці кожен раз, коли ми отримали б 1 зразок, ми отримуємо блок$m$зразки з обіцянкою, що не більше ніж якась постійна частка містить помилку. Вони використовують це спостереження, щоб "лінеаризувати" проблему та перерахувати над простором помилок.

$\underline{\bf Question}$

Припустимо, нам натомість доступ до оракула $\mathcal{O}_{\bf s}^+$. Коли запитуєте,$\mathcal{O}_{\bf s}^+$ перші запити $\mathcal{O}_{\bf s}$ для отримання зразка $({\bf a}, b)$. Якщо$({\bf a}, b)$ було звернено з $A_{{\bf s}, \alpha}$, тоді $\mathcal{O}_{\bf s}^+$ повертає зразок $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ де $d$ являє "напрямок" (або $\pm$-значне "ознака") терміна помилки. Якщо$({\bf a}, b)$ було намальовано навмання $\mathcal{O}_{\bf s}^+$ повертає $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$. (Як варіант, ми могли б розглянути випадок, коли біт$d$ вибирається змагально, коли $b$ малюється рівномірно випадково.)

Дозволяє $n, q, \alpha$ бути як раніше, за винятком того, що зараз $\alpha q > c\sqrt n$ для досить великої постійної $c$, сказати. (Це робиться для того, щоб абсолютна помилка в кожному рівнянні залишалася незмінною.) Визначте проблеми навчання з підписаною помилкою (LWSE)$LWSE_{n, q, \alpha}$ і $DLWSE_{n, q, \alpha}$ як і раніше, за винятком того, що зараз ми маємо додаткову пораду щодо ознаки кожного терміна помилки.

Чи будь-яка версія LWSE значно простіша, ніж їх аналоги LWE?

Напр

1. Чи існує алгоритм субекспоненціального часу для LWSE?

2. Що з алгоритмом багаточленного часу, заснованого, скажімо, на лінійному програмуванні?

На додаток до вищезгаданої дискусії, моя мотивація викликає зацікавленість у вивченні алгоритмічних варіантів для LWE (яких у нас на сьогоднішній день є порівняно небагато). Зокрема, єдине обмеження, яке, як відомо, забезпечує хороші алгоритми для проблеми, пов'язане з величиною термінів помилки. Тут величина залишається однаковою, але діапазон помилок у кожному рівнянні певним чином "монотонний". (Остаточний коментар: Я не знаю про цю постановку проблеми, що з’являється в літературі; вона, здається, є оригінальною.)

Список літератури:

[1] Регев, Од. "Про решітки, навчання з помилками, випадкові лінійні коди та криптографія" в JACM 2009 (спочатку в STOC 2005) ( PDF )

[2] Регев, Од. "Проблема навчання з помилками", запрошене опитування на CCC 2010 (PDF)

[3] Арора, Сандєєв і Ге, Ронг. "Нові алгоритми навчання за наявності помилок" на ICALP 2011 ( PDF )

(wow! after three years of time passing, this is now easy to answer. funny how that goes! --Daniel)

Ця проблема "Навчання з (підписаними) помилками" ( LWSE ), як вона була винайдена і заявлена ​​вище мною (три роки тому), тривіально зменшується від проблеми розширеного навчання з помилками ( eLWE ), вперше представленої у роботі Bi-Deniable Public - Ключове шифрування O'Neill, Peikert та Waters на CRYPTO 2011.

Проблема eLWE визначається аналогічно "стандартному" LWE (тобто [ Regev2005 ]), за винятком того, що "ефективний" розрізник розподілу додатково надається "підказки" на вектор помилки зразка LWE$\vec{x}$, у вигляді (можливо, галасливих) внутрішніх продуктів з довільним вектором $\vec{z}$. (У додатках$\vec{z}$ is often the decryption-key vector of some cryptosystem.)

Formally, the $\mathsf{eLWE}_{n,m,q,\chi,\beta}$ problem is described as follows:

---

For an integer $q = q(n) \ge 2$, and an error distribution $\chi = \chi(n)$ over $\mathbb{Z}_q$, the extended learning with errors problem is to distinguish between the following pairs of distributions:

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ where $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ and $x'\leftarrow\mathcal{D}_{\beta q}$, and where $\mathcal{D}_\alpha$ is the (1-dimensional) Discrete Gaussian distribution with width $\alpha$.

---

It is easy to see that eLWE captures "the spirit" of LWSE, though a formal reduction can be shown with not too much additional effort.

Major follow-up ideas toward understanding the Extended-LWE problem are developed in the works:

• Circular and KDM Security for Identity-Based Encryption by Alperin-Sheriff and Peikert
• Classical Hardness of Learning with Errors by Brakerski, Langlois, Peikert, Regev, and Stehle

Depending on whether your secret key lives in $\mathbb{Z}_q$ or is binary (and the nature of various other parameter choices), you can use the first or second paper's reductions to ultimately quantumly/classically reduce from $\mathsf{GapSVP}_\alpha$ with approximation factor $\alpha \ge \Omega(n^{1.5})$ to LWSE.