Im Jahr 2005 führte Regev [1] das Problem des Lernens mit Fehlern (Learning with Errors, LWE) ein, eine Verallgemeinerung des Problems der Lernparität mit Fehlern. Die Annahme der Härte dieses Problems für bestimmte Parameterauswahl liegt nun den Sicherheitsnachweisen für eine Vielzahl von Post-Quanten-Kryptosystemen auf dem Gebiet der gitterbasierten Kryptographie zugrunde. Die "kanonischen" Versionen von LWE werden unten beschrieben.
Vorbereitungen:
Sei die additive Gruppe von Reals Modulo 1, dh nehme Werte in . Für positive ganze Zahlen und , ein "Geheimnis" Vektor , eine Wahrscheinlichkeitsverteilung auf , lassen ist die Verteilung auf die durch einheitliche Auswahl von bei erhalten wird zufällig, einen Fehlerterm und.
Sei die "Diskretisierung" von . Das heißt, wir ziehen zuerst eine Stichprobe aus und geben dann . Hier bezeichnet die Rundung auf den nächsten Integralwert, sodass wir als .
In der kanonischen Einstellung nehmen wir die Fehlerverteilung als Gaußsch an. Für jedes ist die Dichtefunktion einer eindimensionalen Gaußschen Wahrscheinlichkeitsverteilung über gegeben durch . Wir schreiben als Abkürzung für die Diskretisierung vonα > 0 R D α ( x ) = e - π ( x / α ) 2 / α A s , α A s , D α
LWE Definition:
In der Suchversion wir gegeben Proben von , die wir als "verrauschten" linearen Gleichungen anzeigen können (Anmerkung: ): N = p o l y ( n ) A s , α a i , s ∈ Z n q , b i ∈ Z q
⋮ ⟨ a N , s ⟩ ≈ & khgr; b N
wobei der Fehler in jeder Gleichung unabhängig von einem (zentrierten) diskreten Gaußschen mit der Breite . Unser Ziel ist es, wiederherzustellen . (Beachten Sie, dass wir dies ohne Fehler mit der Gaußschen Eliminierung lösen können, aber bei Vorhandensein dieses Fehlers schlägt die Gaußsche Eliminierung dramatisch fehl.)s
In der Entscheidungsversion wir Zugriff auf ein Orakel , das bei Abfrage Stichproben zurückgibt . Es wird uns versprochen, dass die Stichproben entweder alle von oder von der Gleichverteilung . Unser Ziel ist es zu unterscheiden, was der Fall ist.O s ( a , b ) A s , α U ( Z n q ) × U ( Z q )
Es wird angenommen, dass beide Probleme wenn .α q > 2 √
Verbindung zur Komplexitätstheorie:
Es ist bekannt (siehe [1], [2] für Details), dass LWE der Lösung eines BDD-Problems (Bounded Distance Decoding) auf dem Doppelgitter einer GapSVP-Instanz entspricht. Ein Polynomzeitalgorithmus für LWE würde einen Polynomzeitalgorithmus implizieren, um bestimmte Gitterprobleme wie SIVP und SVP innerhalb von zu approximieren, wobei ein kleiner Polynomfaktor ist (z. B. ).1/αn2
Aktuelle algorithmische Grenzen
Wenn für streng kleiner als 1/2 ist, geben Arora und Ge [3] einen subexponentiellen Zeitalgorithmus für LWE an. Die Idee ist, dass nach bekannten Eigenschaften des Gaußschen Zeichnungsfehlers diese kleinen Begriffe in eine "strukturierte Rausch" -Einstellung passen, außer mit exponentiell geringer Wahrscheinlichkeit. Intuitiv erhalten wir in dieser Einstellung jedes Mal, wenn wir 1 Probe erhalten hätten, einen Block von Proben mit dem Versprechen, dass nicht mehr als ein konstanter Bruch Fehler enthält. Sie verwenden diese Beobachtung, um das Problem zu "linearisieren" und über den Fehlerraum aufzuzählen. ϵ m
Angenommen, wir erhalten stattdessen Zugriff auf ein Orakel . Bei der Abfrage fragt zuerst , um eine Stichprobe zu erhalten . Wenn aus , gibt eine Stichprobe zurück wobei die "Richtung" (oder bewertetes "Vorzeichen") des Fehlerterms darstellt . Wenn zufällig gezeichnet wurde, kehrt zurück O + s ( a ,b)( a ,b) A s , α ( a ,b d ± ( a , b ) O. + s ( a , b , d ) ← U.d b . (Alternativ könnten wir den Fall betrachten, in dem das Bit kontrovers gewählt wird, wenn gleichmäßig zufällig gezeichnet wird.)
Sei wie zuvor, außer dass jetzt für eine ausreichend große Konstante , sagen wir. (Dies soll sicherstellen, dass der absolute Fehler in jeder Gleichung nicht beeinflusst wird.) Definieren Sie die LWSE-Probleme (Learning with Signed Error) und wie zuvor, außer dass Jetzt haben wir den zusätzlichen Rat für jedes Vorzeichen jedes Fehlerbegriffs.& agr; q > c √ cLWSE n , q , α DLW.
Sind beide Versionen von LWSE wesentlich einfacher als ihre LWE-Kollegen?
Z.B
1. Gibt es einen subexponentiellen Zeitalgorithmus für LWSE?
2. Was ist mit einem Polynom-Zeit-Algorithmus, der beispielsweise auf linearer Programmierung basiert?
Zusätzlich zu der obigen Diskussion ist meine Motivation ein Interesse an der Erforschung algorithmischer Optionen für LWE (von denen wir derzeit relativ wenige zur Auswahl haben). Insbesondere hängt die einzige bekannte Einschränkung, die gute Algorithmen für das Problem bereitstellt, mit der Größe der Fehlerterme zusammen. Hier bleibt die Größe gleich, aber der Fehlerbereich in jeder Gleichung ist jetzt in gewisser Weise "monoton". (Ein letzter Kommentar: Mir ist diese Formulierung des in der Literatur auftretenden Problems nicht bekannt; sie scheint originell zu sein.)
Verweise:
[1] Regev, Oded. "Über Gitter, Lernen mit Fehlern, zufälligen linearen Codes und Kryptographie" in JACM 2009 (ursprünglich bei STOC 2005) ( PDF )
[2] Regev, Oded. "Das Problem des Lernens mit Fehlern", eingeladene Umfrage auf der CCC 2010 ( PDF )
[3] Arora, Sanjeev und Ge, Rong. "Neue Algorithmen zum Lernen bei Fehlern" auf der ICALP 2011 ( PDF )