格密码:困难问题(LWE,SIS,SIVP,BDD,GapSVP)

已于 2024-01-04 13:32:33 修改
阅读量3.3k 收藏 39
点赞数 31
分类专栏: 格密码 文章标签: 格密码 困难问题 安全性归约
于 2023-12-25 14:57:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forest_LL/article/details/135189336
版权

目录

一. 前言

二. 困难问题之间的关系

2.1 SIS,SVP,SIVP关系

2.2 search-LWE/decision-LWE,GapSVP关系

三. 备注

一. 前言

格密码中有一个原语叫做multilinear map,常应用于code obfuscation,这个领域出现了非常多新设计的困难问题。但这些困难问题有一个致命的弱点,暂时不能实现最坏情况一般情况的安全归约,所以不被一些密码学家承认。但这其实是一个常见的发展路径,早些年全同态依赖的困难问题也是特殊设计的,只是后来不断发展后可归约到标准的LWE/RLWE困难问题。

所以,本文章尝试梳理格密码论文中常用的困难问题之间的关系。具体对问题的解释可以看我之前的博客。

SISshort integer solution短整数解问题
SVPshortest vector problem最短向量问题
SIVPshortest independent vectors problem最短线性独立向量问题
LWElearning with errors容错学习问题
BDDbounded distance decoding problem有限距离解码问题
GapSVPdecisional shortest vector problem判定性最短向量问题

二. 困难问题之间的关系

2.1 SIS,SVP,SIVP关系

给定\beta>0SIS_{q,\beta}可以看成q-ary垂直格\Lambda^\bot(A)上平均情况的近似SVP问题。

有关q-ary格的解释,可以看这篇博客:

格密码基础:q-ary格-CSDN博客

对于这个结论可以从两个角度理解。

角度1:随机选取一个矩阵A\in Z_q^{n\times m},对于任意m=poly(n),找到一个相对短的非零格点z\in \Lambda^\bot(A)

角度2:找到一个非零的m维整数向量z\in Z^m,使其满足如下:

Az=0\quad mod\ q\quad ||z||\leq \beta

当让模数取得足够大时,也就是q\geq \beta\sqrt n\cdot \omega(\sqrt{logn}),解决SIS_{q,\beta}问题的困难性与最坏情况下的SIVP_{\tilde O(\beta\sqrt n)}类似,其中{\tilde O(\beta\sqrt n)}为近似因子。

此结论来源于以下四篇论文:

[Ajt96] M. Ajtai. Generating hard instances of lattice problems. Quaderni di Matematica, 13:1–32, 2004.Preliminary version in STOC 1996

[MG02] D. Micciancio and S. Goldwasser. Complexity of Lattice Problems: a cryptographic perspective,volume 671 of The Kluwer International Series in Engineering and Computer Science. Kluwer Academic Publishers, Boston, Massachusetts, 2002.

[MR04] D. Micciancio and O. Regev. Worst-case to average-case reductions based on Gaussian measures. SIAM J. Comput., 37(1):267–302, 2007. Preliminary version in FOCS 2004.

[GPV08] C. Gentry, C. Peikert, and V. Vaikuntanathan. Trapdoors for hard lattices and new cryptographic constructions. In STOC, pages 197–206. 2008.

2.2 search-LWE/decision-LWE,GapSVP关系

LWE问题中噪声的分布要求参数\alpha>0(通常为标准差)。先说结论,LWE_{q,\alpha}问题可以看成平均情况下,q-ary格\frac{1}{q}\Lambda(A^t)上的BDD问题。之所以有个\frac{1}{q},是因为后续均标准化,也就是模1.

把任意实数模1,形成的一个集合,该集合实际上为加法群

T=\frac{R}{Z}

将实数R上的高斯概率分布记为D_\alpha,其中\alpha为标准差。

备注:格密码中的高斯分布标准差与数学中高斯分布标准差,相差\sqrt{2\pi}

固定向量s\in Z_q^{n},均匀且随机取a\leftarrow Z_q^{n},e\leftarrow D_\alpha,接着计算:

(a,b=\langle a,s\rangle/q+e \quad mod\ 1)

由于a在变动,可以形成很多样本,将其记为LWE分布A_{s,\alpha},该分布的样本空间为Z_q^{n}\times T.

定义Search-LWE_{q,\alpha}问题:

A_{s,\alpha}中独立抽取m=poly(n)个样本,求s。

定义Decision-LWE_{q,\alpha}问题:

可能从A_{s,\alpha}中抽取一些样本,也可能从Z_q^{n}\times T中均匀且随机抽一些样本,判断样本来源。

密码学中要求区分的优势不可忽略。

从数学的角度来看,这两个问题差异很大。但其实密码学中已经有了很多的归约来证明两者的本质很类似。不同的归约之间大多参数选取不太一样。

q\geq 2\sqrt n/\alpha时,Search-LWE_{q,\alpha}在最坏情况下,可归约到SIVP_{\tilde O(n/\alpha)},遗憾的是这个过程需要用到量子归约。

LWE量子归约到SIVP问题,可以看这篇论文:

只有当q足够大时,Search-LWE_{q,\alpha}才可归约到GapSVP和BDD问题。一般我们会认为GapSVP和BDD比SIVP问题要简单一点点。

LWE经典归约到GapSVP问题,可以这篇论文:

LWE经典归约到BDD问题,可以看这篇论文:

刚才我们是使用样本的角度来进行解释,如果将样本写在一起,就可以形成矩阵,也就是:

A\in Z_q^{n\times m},b\in T^m,e\in R^m

这三者之间的关系,如下:

b=(A^ts)/q+e\quad mod\ 1

这样b就可以是一个向量,与q-ary格上的格点,或者q-ary垂直格的对偶格上的格点相关。简单来讲就是,向量b是如下格的一个格点+一个高斯噪声:

\Lambda^\bot(A)^*=\frac{1}{q}\Lambda(A^t)

实际上应用的时候,噪声e'\in Z^m为离散高斯分布,其标准差可以取\sqrt 2\alpha q

如果你看b中除以q不爽,也可以将其写为:

b'=A^ts+e'\quad mod\ q

三. 备注

以上其实包含很多详细的归约过程,如果有人关注的话,以后再补上吧。

格签名相似概念区分: SVP、SISLWE的区分
qq_44775134的博客
08-18 3791
参考. 格的困难问题: 最短向量问题 (Shortest Vector Problem, SVP). SVP 问题定义为:对于给定的格Λ\LambdaΛ ,找到一个非零的格向量v\bold vv ,使得对于任意的非零向量u∈Λ\bold u \in \Lambdau∈Λ,∣∣v∣∣≤∣∣u∣∣||\bold v||\le||\bold u||∣∣v∣∣≤∣∣u∣∣。 类似问题有: 近似最短向量问题aSVP(Approximate Shortest Vector Problem) 唯一最短向量问题 (Uni
Learning With Errors困难问题(学习笔记)
TO
03-31 3727
全同态学习(i春秋课程https://www.ichunqiu.com/course/50443课时三:Learning With Errors困难问题) 一、LWE问题阐述 在给出噪声e的情况下,怎么求解s(如果没有添加噪声,可以简单用高斯消除法解得) 分为两类LWE问题:search以及desicion 矩阵形式表示: 二、LWESIS的比较 LWE:试...
格密码基础:SIS问题困难
forest_LL的博客
01-15 1949
归约的思路:给定任意n维格L的格基B,已知一个平均情况的SIS的oracle,目标是解决SIVP问题。当分布的方差大于格的光滑参数时,离散的格点就可以变成连续的均匀分布。如果能以不可忽略的概率解决SIS问题,那么就可以在随机的n维格上,解决近似GapSVPSIVP问题。将此处的S看成一个矩阵。借鉴1996年Ajtai的工作,大量的工作开始研究最坏情况下的SIS问题困难性。看成固定的常数的话,此时的q已经是最优的了。需要注意的是m和q的值会极大影响SIS问题困难性,而且根据归约准则,当范数上限。
基于格密码LWE问题
m0_57291352的博客
04-22 3949
LWE问题, Learning With Errors,带有安全性证明的第一个版本是由Oded Regev 在2005年提出,Kawachi等给出了效率的改进,接着一些效率方面非常重要的改进由Peikert等提出。
SISLWE问题
旺旺的碎冰冰~的博客
09-17 2232
格中的经典两大难题,SISLWE。以及基于此设计的ring-sis与ring-lwe
LWE问题简介】
qq_44925830的博客
08-11 6883
容错学习(learning with errors, LWE)问题就是求解带噪声的线性方程组问题, 由Oded Regev在[Reg05] 中提出, 他也因此结果荣获2018年的哥德尔奖. LWE问题困难性基于的复杂性假设非常弱, 但是功能却异常强大, 由于LWE问题尚无有效的量子求解算法, 因此基于LWE假设的加密方案被认为是抗量子的....
容错学习问题LWE
watqw的博客
01-26 3939
所谓容错学习问题是指:已知和,求出​​​​​​​,未知的n维向量,有成立,其中每个是从高斯分布(也可以是其他分布)中独立采样的随机数。
格密码基础:详解LWE问题(2)
forest_LL的博客
01-21 1562
忽略样本数m的变化,借助基本的经典归约,在网络安全领域,decision LWE问题困难性与search-LWE问题困难性是类似的,当然此步的归约过程一般是多项式尺寸的模q=poly(n)。通过标准式的格式,我们发现LWESIS的标准型很类似,通常来讲,我们会把SIS函数看成满射(surjective)的单向函数,LWE看成单射(injective)的单向函数。借助LWE的oracle,利用多项式时间的量子归约算法可解决最坏情况下的近似GapSVPSIVP问题
格密码基础:详解LWE问题
forest_LL的博客
01-19 4861
Learning With Errors 简称 LWE,通常翻译为容错学习问题。在2005年,Regev首次提出了平均情况下的LWE问题。类似SIS问题LWE也可以用来实现加密。这两类问题实际上互为对偶(dual)关系。接下来我们将介绍LWE困难性以及基于LWE的密码系统。进阶的内容则包含LWE最坏情况的困难性,以及search和decision版本之间的归约格密码基础:SIS问题的定义与理解-CSDN博客。
LWE和RLWE问题学习
Amire0x的小乐园
10-06 9324
LWE问题了解
基于格密码的算法研究
热门推荐
Mr.Yi的博客
09-12 1万+
Q1:传统公钥密码面临的挑战 (1)安全性挑战:Shor量子分解算法利用量子计算的并行性,对任意大的整数进行快速因子分解,大大降低目前普遍使用的RSA算法的破解时间。随后又出现了针对基于离散对数问题的量子求解算法。这些量子算法的提出意味着只要出现实际的量子计算机,现有的以传统公钥密码为基石建立的安全系统将丧失所有的安全性(2)效率挑战:传统公钥密码算法的密钥长度一直在增加,使得传统密码算法码效...
基于格上最小整数解SIS的密码研究(学习笔记)
TO
03-30 2646
全同态学习(i春秋课程https://www.ichunqiu.com/course/50441课时二:基于格上最小整数解的密码研究) 一、平均困难问题SIS 继续把格问题分解后,得到以下关系: 小整数解问题:给定上的m个随机向量,find m个非平凡(不能同时为0)的解in {-1,0,1},使得图中式子成立。 注意:1.若的值没有限制,则可以简单用高斯消元法求...
格密码LWE设计公钥密码系统
forest_LL的博客
12-20 2356
格密码中,LWE(Learning With Errors)问题非常重要,本文章将介绍一些基于LWE设计的公钥密码方案,并详细讨论这些方案是如何运行的。这些方案讲重点关注IND-CPA安全(不可区分性-选择明文攻击安全)。IND-CPA安全简单来讲就是,窃听者获得公钥和密文,不会学习到关于明文的任何信息。基于LWE问题也可以用来设计全同态加密,此处就不作过多拓展。
同态加密:正则嵌入、理想格和RLWE问题
weixin_43466027的博客
08-07 2025
正则嵌入、理想格和RLWE
格密码基础】基于LWE问题的密码系统
最新发布
forest_LL的博客
01-26 1760
在2005年,Regev基于LWE问题提出了一个新的公钥密码方案。该方案可实现语义安全(semantic security),其中误差率(error rate)为:其安全性可利用量子算法归约到近似GapSVPSIVP问题,其中近似因子取:该方案借鉴了两个工作,一个是1997年Ajtai-Dwork的工作,一个是2003年Regev的工作。但相比之下有两大优点比较突出。优点1:一般性(generality)该方案依赖的最坏(worst case)情况是近似GapSVP和近似SIVP问题
格密码基础:SIS问题的定义与理解
forest_LL的博客
01-14 3390
short interger solution problem短整数解问题,简称SIS问题。1996年,Ajtai首次提出SIS问题,由此设计出了单向函数(one-way function),抗碰撞的哈希函数(collision resistant hash function),身份验证方案(identification scheme),数字签名(digitao signatures)等等。这些在网络安全领域,可以被称之为minicrypt原语。
GSW(2)Preliminaries
weixin_58331078的博客
05-27 640
1.LWE问题GapSVP LWE问题是被Regev[Reg05]所提出。 定义1(LWE) 对于安全参数,令是整数维度,是整数,是在上的分布。问题是去区分下面两个分布:在第一个分布,均匀抽样。在第二个分布中,首先均匀取出(均匀选取),之后取样,其中(均匀选取),设置。假设是问题是无解的。 有时这是合适的去把向量看作为矩阵的行,重新定义为。然后,要么矩阵是均匀的,要么存在一个第一项系数为1的向量使得,这里的系数来自分布。 对于格维度参数为和数,问题是区分是否一个维格有一个向量短于或者没有向量短于。
格(Lattice)基础(一)
Amire0x的小乐园
09-30 4634
有关格的基础概念,和相关的格难题
格密码基础(3)-SIS,LWE
CCCYYY090的博客
04-12 3558
格密码基础(3)-SIS,LWE 这篇博文的主要内容是关于两个在现代格密码系统构造最基础的平均情况问题SISLWE)以及他们的环变体(R-SIS,R-LWE)。 1.小整数解问题SIS) 给定mmm个a1,…,ama_1,\dots,a_ma1​,…,am​随机向量,ai∈Zqna_i\in\mathbb Z^n_qai​∈Zqn​。寻找一组非平凡解(简单理解:非零 )z1,…,zm∈{−1,0,1}z_1,\dots ,z_m \in\{-1,0,1\}z1​,…,zm​∈{−1,0,1},使得∑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唠嗑!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值