En 2005, Regev [1] introdujo el problema de Aprendizaje con errores (LWE), una generalización del problema de Paridad de aprendizaje con error. La suposición de la dureza de este problema para ciertas opciones de parámetros ahora subyace a las pruebas de seguridad para una gran cantidad de criptosistemas post-cuánticos en el campo de la criptografía basada en la red. Las versiones "canónicas" de LWE se describen a continuación.
Preliminares:
Sea el grupo aditivo de reales módulo 1, es decir, tomando valores en . Para enteros positivos y , un vector "secreto" , una distribución de probabilidad on , deje sea la distribución en obtenida eligiendo uniformemente en aleatorio, dibujando un término de error y generando.
Sea la "discretización" de . Es decir, primero extraemos una muestra de y luego la salida . Aquí denota el redondeo al valor integral más cercano, para que podamos ver como . A s , ϕ ( a , b ′ ) A s , ϕ ( a , b ) = ( a , ⌊ b ′ ⋅ q ⌉ ) ∈ Z n q × Z q ⌊ ∘ ⌉ ∘ ( a , b ) ( un , b = ⟨ una , es ⟩
En la configuración canónica, consideramos que la distribución de errores es gaussiana. Para cualquier , la función de densidad de una distribución de probabilidad gaussiana unidimensional sobre viene dada por . Escribimos como abreviatura para la discretización deα > 0 R D α ( x ) = e - π ( x / α ) 2 / α A s , α A s , D α
Definición de LWE:
En la versión de búsqueda nos dan muestras de , que podemos ver como ecuaciones lineales "ruidosas" (Nota: ): N = p o l y ( n ) A s , α a i , s ∈ Z n q , b i ∈ Z q
⋮ ⟨ un N , s ⟩ ≈ chi b N
donde el error en cada ecuación se extrae independientemente de un gaussiano discreto (centrado) de ancho . Nuestro objetivo es recuperar . (Observe que, sin error, podemos resolver esto con la eliminación gaussiana, pero en presencia de este error, la eliminación gaussiana falla dramáticamente).s
En la versión de decisión , se nos da acceso a un oráculo que devuelve muestras cuando se consulta. Se nos promete que todas las muestras provienen de o de la distribución uniforme . Nuestro objetivo es distinguir cuál es el caso.O s ( a , b ) A s , α U ( Z n q ) × U ( Z q )
Se cree que ambos problemas son cuando .α q > 2 √
Conexión a la teoría de la complejidad:
Se sabe (ver [1], [2] para más detalles) que LWE corresponde a resolver un problema de Decodificación de distancia limitada (BDD) en la red dual de una instancia de GapSVP. Un algoritmo de tiempo polinomial para LWE implicaría un algoritmo de tiempo polinómico para aproximar ciertos problemas de red tales como SIVP y SVP dentro de donde es un factor polinomial pequeño (digamos, ).1/αn2
Límites Algorítmicos Actuales
Cuando para estrictamente menos de 1/2, Arora y Ge [3] dan un algoritmo de tiempo subexponencial para LWE. La idea es que, a partir de propiedades bien conocidas del gaussiano, dibujar términos de error tan pequeños se ajuste a una configuración de "ruido estructurado", excepto con una probabilidad exponencialmente baja. Intuitivamente en esta configuración, cada vez que hubiéramos recibido 1 muestra, recibimos un bloque de muestras con la promesa de que no más de una fracción constante contiene error. Usan esta observación para "linealizar" el problema y enumeran el espacio de error. ϵ m
Supongamos, en cambio, que tenemos acceso a un oráculo . Cuando se le consulta, primeras consultas para obtener una muestra . Si se extrajo de , entonces devuelve una muestra donde representa la "dirección" (o -valor "signo") del término de error . Si se dibujó al azar, entonces devuelve O + s O s ( a ,b)( a ,b) A s , α O + s ( a ,b,d)∈ Z n q × Z q × Z 2 d±( a ,b) O + s ( a ,b,d)←Ud b . (Alternativamente, podríamos considerar el caso cuando el bit se elige de forma contradictoria cuando se dibuja de manera uniforme al azar).
Sea como antes, excepto que ahora para una constante suficientemente grande , digamos. (Esto es para garantizar que el error absoluto en cada ecuación no se vea afectado). Defina los problemas de Aprendizaje con error firmado (LWSE) y como antes, excepto que ahora tenemos el consejo adicional para el signo de cada término de error.α q > c √ cLWSE n , q , α DLWSE n , q , α
¿Alguna versión de LWSE es significativamente más fácil que sus contrapartes de LWE?
P.ej
1. ¿Existe un algoritmo de tiempo subexponencial para LWSE?
2. ¿Qué pasa con un algoritmo de tiempo polinómico basado en, digamos, programación lineal?
Además de la discusión anterior, mi motivación es un interés en explorar opciones algorítmicas para LWE (de las cuales actualmente tenemos relativamente pocas para elegir). En particular, la única restricción conocida para proporcionar buenos algoritmos para el problema está relacionada con la magnitud de los términos de error. Aquí, la magnitud sigue siendo la misma, pero el rango de error en cada ecuación ahora es "monótono" de cierta manera. (Un comentario final: no estoy al tanto de esta formulación del problema que aparece en la literatura; parece ser original).
Referencias
[1] Regev, Oded. "Sobre celosías, aprendizaje con errores, códigos lineales aleatorios y criptografía", en JACM 2009 (originalmente en STOC 2005) ( PDF )
[2] Regev, Oded. "El problema del aprendizaje con errores", encuesta invitada en CCC 2010 ( PDF )
[3] Arora, Sanjeev y Ge, Rong. "Nuevos algoritmos para aprender en presencia de errores", en ICALP 2011 ( PDF )