(서명 된) 오류를 이용한 학습

$\underline{\bf Background}$

2005 년에 Regev [1]은 오류와 학습 패리티의 일반화 인 LWE (Learning with Errors) 문제를 도입했습니다. 특정 매개 변수 선택에 대한이 문제의 경도에 대한 가정은 격자 기반 암호화 분야에서 다수의 포스트 퀀텀 암호 시스템에 대한 보안 증명의 기초가되었습니다. LWE의 "정식"버전이 아래에 설명되어 있습니다.

예비 :

하자 실수의 첨가제 그룹의 값을 가지고, 즉, 1 모듈로 수 . 양의 정수를 들어 과 하는 "비밀"벡터 , 확률 분포 에 , 보자 는 의 분포 이며 균일하게 선택하여 얻은 분포 무작위, 오류 항 그리기 및 $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ $[0, 1)$ $n$ $2 \le q \le poly(n)$ ${\bf s} \in \mathbb{Z}_q^n$ $\phi$ $\mathbb{R}$ $A_{{\bf s}, \phi}$ $\mathbb{Z}_q^n \times \mathbb{T}$ ${\bf a} \in \mathbb{Z}_q^n$ $x \leftarrow \phi$ $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$ .

하자 의 "이산화"이 . 즉, 먼저 에서 샘플 추출한 다음 . 여기서 은 반올림 를 가장 가까운 정수 값으로 반올림 하므로 를 . $A_{{\bf s}, \overline{\phi}}$ $A_{{\bf s}, \phi}$ $({\bf a}, b')$ $A_{{\bf s}, \phi}$ $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ $\lfloor\circ\rceil$ $\circ$ $({\bf a}, b)$ $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$

정식 설정에서는 오류 분포 를 가우스로 간주합니다. 어떤 옵션 , 위에 1 차원 가우스 확률 분포의 밀도 함수 에 의해 주어진다 . 우리는 쓰기 의 이산화 속기로 $\phi$ $\alpha > 0$ $\mathbb{R}$ $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$ $A_{{\bf s}, \alpha}$ $A_{{\bf s}, D_\alpha}$

LWE 정의 :

에서 검색 버전 우리는 주어진 에서 샘플 , 우리는 방정식 선형 "잡음"로 볼 수있다 (참고 : ) : $LWE_{n, q, \alpha}$ $N = poly(n)$ $A_{{\bf s}, \alpha}$ ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⟨ a_{1}, s ⟩ \approx_{χ} b_{1} \mod q

$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$

⋮

$\vdots$

⟨ a_{N}, s ⟩ \approx_{χ} b_{N} \mod q

$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$

여기서 각 방정식의 오류는 너비 의 (중심) 이산 가우스에서 독립적으로 도출됩니다 . 우리의 목표는 를 복구하는 것입니다 . (오류없이 가우시안 제거로이 문제를 해결할 수 있지만이 오류가있는 경우 가우시안 제거가 크게 실패한다는 점에 유의하십시오.) $\alpha q$ ${\bf s}$

에서 결정 버전 , 우리는 오라클에 대한 액세스 권한을 부여 를 반환 샘플 있음 조회 할 때. 표본은 모두 또는 균일 분포 입니다. 우리의 목표는 어떤 경우인지 구별하는 것입니다. $DLWE_{n, q, \alpha}$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

때 두 문제 모두 것으로 생각됩니다 . $hard$ $\alpha q > 2\sqrt n$

복잡성 이론과의 연결 :

LWE가 GapSVP 인스턴스의 이중 격자에 대한 BDD (Bounded Distance Decoding) 문제를 해결하는 것에 해당하는 것으로 알려져 있습니다 (자세한 내용은 [1], [2] 참조). LWE에 대한 다항식 시간 알고리즘은 내의 SIVP 및 SVP와 같은 특정 격자 문제를 근사하기위한 다항식 시간 알고리즘을 의미합니다. 여기서 는 작은 다항식 계수입니다 (예 : ). $\tilde O(n/\alpha)$ $1/\alpha$ $n^2$

현재 알고리즘 한계

경우 위한 엄격 LWE 1/2 이하, 로라 및 Ge [(3)]로 정제 subexponential 시간 알고리즘보다. 이 개념은 가우시안의 잘 알려진 속성에서이 작은 용어가 기하 급수적으로 낮은 확률을 제외하고는 "구조적 잡음"설정에 적합하다는 것입니다. 직관적으로,이 설정에서, 우리는 1 개의 샘플을받을 때마다 일정한 비율의 분수에 오류가 없다는 샘플 블록을받습니다 . 이들은이 관찰을 사용하여 문제를 "선형화"하고 오류 공간을 열거합니다. $\alpha q \le n^\epsilon$ $\epsilon$ $m$

$\underline{\bf Question}$

대신 oracle 액세스 할 수 있다고 가정하십시오 . 쿼리 할 때 먼저 샘플 를 쿼리 하여 샘플을 얻습니다 . 경우 에서 도출 된 다음 리턴 시료 여기서 는 오류 항의 "방향"(또는 값을 갖는 "sign")을 나타냅니다. . 경우 임의의 연신 한 후, 리턴 $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ $d$ $\pm$ $({\bf a}, b)$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ . (또는, 가 무작위로 균일하게 그려 질 때 비트 가 적대적으로 선택된 경우를 고려할 수 있습니다.) $d$ $b$

예 를 들어 충분히 큰 상수 대해 이제 인 것을 제외하고 를 이전과 동일 하게하십시오 . (이는 각 방정식의 절대 오차가 영향을받지 않도록하기위한 것입니다.) 부호있는 학습 오류 (LWSE) 문제 및 를 이전과 같이 정의합니다. 이제 각 오류 항의 부호에 대한 추가 조언이 있습니다. $n, q, \alpha$ $\alpha q > c\sqrt n$ $c$ $LWSE_{n, q, \alpha}$ $DLWSE_{n, q, \alpha}$

LWSE 버전이 LWE 버전보다 훨씬 쉬워 집니까?

예 :

1. LWSE에 대한 지수 시간 알고리즘이 있습니까?

2. 선형 프로그래밍에 기반한 다항식 시간 알고리즘은 어떻습니까?

위의 논의 외에도 저의 동기는 LWE에 대한 알고리즘 옵션을 탐색하는 데 관심이 있습니다 (현재 우리는 상대적으로 선택할 수있는 것이 거의 없습니다). 특히, 문제에 대한 좋은 알고리즘을 제공하는 것으로 알려진 유일한 제한 은 오류 항의 크기 와 관련이 있습니다. 여기서 크기는 동일하게 유지되지만 각 방정식의 오차 범위는 이제 특정 방식으로 "모노톤"입니다. (마지막 의견 : 나는 문헌에 나타나는 문제의 공식화를 모른다; 그것은 원래의 것으로 보인다.)

참고 문헌 :

[1] 레게 브, 오데드. JACM 2009 (원래 STOC 2005)의 "래티스, 오류에 대한 학습, 임의 선형 코드 및 암호화"( PDF )

[2] 레게 브, 오 ded 드. CCC 2010 설문 조사 초청 "오류에 대한 학습 문제"( PDF )

[3] Arora, Sanjeev 및 Ge, Rong. ICALP 2011의 "오류가있는 학습을위한 새로운 알고리즘"( PDF )

— 다니엘 에이 폰
소스

(와우! 3 년이 지난 지금, 이것은 대답하기 쉽습니다. 재밌는 방법! --Daniel)

이 (3 년 전) 저에 의해 발명되고 설명 된 이 "서명 된 오류에 대한 학습"( LWSE ) 문제는 쌍방향 대중에 처음 도입 된 eLWE (확장 학습에 따른 오류 ) 문제를 크게 줄입니다. -CRYPTO 2011에서 O'Neill, Peikert 및 Waters의 주요 암호화 .

ELWE의 문제는 "표준"과 유사하게 정의된다 LWE (즉 [ Regev2005 구별 추가적으로 LWE 샘플의 오차 벡터는 "힌트"주어진다 (효율적인) 분포 '제외]) 의 형태 ( 임의의 벡터 있는 잡음이있는 내부 제품 . (응용 프로그램에서 는 종종 일부 암호 시스템의 암호 해독 키 벡터입니다.) $\vec{x}$ $\vec{z}$ $\vec{z}$

공식적으로 문제는 다음과 같이 설명됩니다. $\mathsf{eLWE}_{n,m,q,\chi,\beta}$

정수를 들어 , 및 에러 분포 를 통해 오류 문제와 확장 학습 분포의 다음 쌍을 구별한다 : 여기서 및 및 여기서 $q = q(n) \ge 2$ $\chi = \chi(n)$ $\mathbb{Z}_q$

{ㅏ, \vec{비} = ㅏ^{티} \vec{에스} + \vec{엑스}, \vec{지}, ⟨ \vec{지}, \vec{엑스} ⟩ + {엑스}^{'}},

$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ ${ㅏ, \vec{유}, \vec{지}, ⟨ \vec{지}, \vec{엑스} ⟩ + {엑스}^{'}},$ $\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ $x'\leftarrow\mathcal{D}_{\beta q}$ $\mathcal{D}_\alpha$ 너비가 (1 차원) 이산 가우스 분포입니다 . $\alpha$

쉽게 알 수있다 그 ELWE의 의 캡처 "정신" LWSE , 형식적인 감소가 너무 많이 추가하지 노력으로 표시 할 수 있지만.

Extended-LWE 문제를 이해하기위한 주요 후속 아이디어는 다음과 같은 작업에서 개발됩니다.

Alperin-Sheriff 및 Peikert의 신원 기반 암호화를위한 순환 및 KDM 보안
Brakerski, Langlois, Peikert, Regev 및 Stehle의 오류로 인한 학습의 고전적 경도

비밀 키가 에 있는지 바이너리인지 (및 기타 다양한 매개 변수 선택의 특성)에 따라 첫 번째 또는 두 번째 논문의 축소를 사용하여 근사 팩터 에 LWSE . $\mathbb{Z}_q$ $\mathsf{GapSVP}_\alpha$ $\alpha \ge \Omega(n^{1.5})$

— 다니엘 에이 폰
소스

추신 또는 "LWE is Robust"라는 문구 또는이 정신을 가장 잘 담아 낸

— Daniel Apon

PPS 이제 주요 답변의 본문에서 적절한 거리에 있습니다 ... 여기에 오류가있는 확장 학습에 대한 이해가 "확장되는"최근 연구가 있습니다 : eprint.iacr.org/2015/993.pdf

— Daniel Apon