【A survey on single server private information retrieval in a coding theory perspective】论文笔记(二)

【A survey on single server private information retrieval in a coding theory perspective】论文笔记

此论文较长分为两篇完成
【A survey on single server private information retrieval in a coding theory perspective】论文笔记(一)
【A survey on single server private information retrieval in a coding theory perspective】论文笔记(二)

---

---

4 我们的框架中不同PIR的例子

   在本节中，我们讨论了几个基于不同种类的检索函数的单服务器PIR方案的例子。在每一种情况下，我们都分析了与可区分性问题有关的安全性。在表1中，我们总结了这些方案之间的所有差异。

4.1 使用有限域同构的基本PIR方案

   下面我们描述基于代码框架的最简单情况，即考虑任意有限域上的线性代码和检索函数的域同构。

4.1.1 计划

   设置：由于身份映射是唯一的非零场内构，检索函数$f:{\mathbb{F}}_q\to {\mathbb{F}}_q$必须是身份映射。 我们考虑$X={\mathbb{F}}_q，Y=ker(f)=0和Z=f^{-1}({\mathbb{F}}_q^{\times })={\mathbb{F}}_q^{\times }$这几个集合。很容易看出，$f$满足检索函数的所有条件。
   让$\mathbf{M}=(m_i)\in {\mathbb{F}}_q^N$代表数据库，即数据库中有$N$个文件，每个文件的大小为$q$。让$C$是${\mathbb{F}}_q$上的随机线性$[n,k]$代码。代码$C$由用户保密。
   查询的产生： 让$\mathbf{G}$是$C$的生成器矩阵，让 I ⊆ { 1 ， . . . ， n } I⊆\left\{1，...，n\right\} I⊆{1，...，n}是一个信息集。 我们用$\mathbf{G}$来进行编码，即编码图$Enc:{\mathbb{F}}_q^k\to {\mathbb{F}}_q^n$由$\mathbf{a}\mapsto \mathbf{a}\mathbf{G}$得到.
   让${\mathbf{a}}_1,...,{\mathbf{a}}_N$是在${\mathbb{F}}_q^k$中随机选择的向量，并定义相应的编码${\mathbf{c}}_i:=Enc({\mathbf{a}}_i)={\mathbf{a}}_i\mathbf{G}$,其中 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}.
   请注意，由于I是一个信息集，我们有$({\mathbf{c}}_i)I={\mathbf{a}}_i\mathbf{G}I$，对于所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}。回顾一下，在基于代码的框架中，我们在查询中发送${\mathbf{a}}_i$以方便在回复提取过程中进行解码。 然而，在这种情况下，这可以通过在由$I$索引的坐标上不添加错误来实现。特别是，让$v$是$I^C$中的一个随机元素，我们随机选择${\mathbf{e}}_1,{\mathbf{e}}_2,...,{\mathbf{e}}_N$在${\mathbb{F}}_q^n$中的错误向量，以便
1. S u p p ( 𝐞 i ) ⊆ I C , i ∈ { 1 , . . . , N } Supp(𝐞_i)⊆I^C, i∈\left\{1,...,N\right\} Supp(ei​)⊆IC,i∈{1,...,N}
2.${\mathbf{e}}_i[v]=0$ ，其中 $i\ne b，{\mathbf{e}}_b[v]\ne 0.$
让${\mathbf{q}}_i:={\mathbf{c}}_i+{\mathbf{e}}_i$，对所有 i ∈ { 1 ， . . . ， N } i∈\left\{1，...，N\right\} i∈{1，...，N}。那么查询的结果是:
Q ∶ = { 𝐪 1 , 𝐪 2 , . . . , 𝐪 N } Q∶=\left\{𝐪_1,𝐪_2,...,𝐪_N\right\} Q∶={q1​,q2​,...,qN​}
回复的生成:
   数据库计算
$$\mathbf{r}=\sum _{i=1}^N{m}_i{\mathbf{q}}_i\in {\mathbb{F}}_q^n$$
回复提取：记$\mathbf{r}=\mathbf{c}+\mathbf{e}$ ，其中$\mathbf{c}:={\sum }_{i=1}^N{m}_i{\mathbf{c}}_i$，$\mathbf{e}:={\sum }_{i=1}^N{m}_i{\mathbf{e}}_i$。由于$I$是一个信息集，并且$Supp(\mathbf{e})\subseteq I^C$，我们可以通过计算对$\mathbf{r}$进行解码
$$\mathbf{r}-{\mathbf{r}}_I{\mathbf{G}}_I^{-1}\mathbf{G}=\mathbf{e}=\sum _{i=1}^N{m}_i{\mathbf{e}}_i$$
  我们现在只考虑$\mathbf{e}$的第5个坐标，并应用身份检索函数，这就得到了$m_b{\mathbf{e}}_b[v]$，因为对于所有$i\ne b$，我们有${\mathbf{e}}_i[v]=0$.由于${\mathbf{e}}_b[v]\ne 0$，我们可以检索到$m_b$.

4.1.2 安全性

  正如我们在第3.3节中所讨论的，所提出的PIR方案的安全性依赖于解决可区分性问题的硬度（见问题1）。3.3节所讨论的，所提出的PIR方案的安全性依赖于解决可区分性问题的难易程度（见问题1）。在这种情况下，可区分性问题可以用第3.3节中提到的第一个策略在多项式时间内解决。
  让𝐀作为包含所有查询向量的行的矩阵，
$$\mathbf{A}=\left(\begin{array}{c}{\mathbf{q}}_1\\ {\mathbf{q}}_2\\ ...\\ {\mathbf{q}}_N\end{array}\right)=\left(\begin{array}{c}{\mathbf{c}}_1+{\mathbf{e}}_1\\ {\mathbf{c}}_2+{\mathbf{e}}_2\\ ...\\ {\mathbf{c}}_N+{\mathbf{e}}_N\end{array}\right)=\mathbf{C}+\mathbf{E}$$
其中，$\mathbf{C}=\left(\begin{array}{c}{\mathbf{c}}_1\\ {\mathbf{c}}_2\\ ...\\ {\mathbf{c}}_N\end{array}\right)$,$\mathbf{E}=\left(\begin{array}{c}{\mathbf{e}}_1\\ {\mathbf{e}}_2\\ ...\\ {\mathbf{e}}_N\end{array}\right)$。由于$I$是一个信息集，我们有
$$\begin{gathered} {\mathbf{A}}_I={\mathbf{C}}_I+{\mathbf{E}}_I={\mathbf{C}}_I \\ {\mathbf{A}}_{I^C}={\mathbf{C}}_{I^C}+{\mathbf{E}}_{I^C} \\ ={\mathbf{C}}_I{\mathbf{G}}_I^{-1}{\mathbf{G}}_{I^C}+{\mathbf{E}}_{I^C} \\ ={\mathbf{A}}_I{\mathbf{G}}_I^{-1}{\mathbf{G}}_{I^C}+{\mathbf{E}}_{I_C} \end{gathered}$$

这意味着
$${\mathbf{E}}_{I^C}={\mathbf{A}}_{I^C}-{\mathbf{A}}_I{\mathbf{G}}_I^{-1}{\mathbf{G}}_{I^C}$$
  因此，向量${\mathbf{e}}_1[v],{\mathbf{e}}_2[v],...,{\mathbf{e}}_N[v]$属于$\mathbf{A}$的列跨度。 我们回顾一下，${\mathbf{e}}_b[v]\ne 0，{\mathbf{e}}_i[v]=0$，所有$i\ne b$。这意味着第$b$个单元向量，即在第$b$个位置有条目1的全零向量，是在$\mathbf{A}$的列跨中。
  攻击者可以很容易地找到这样一个向量，只需通过所有$N$个单元向量并检查它们在$\mathbf{A}$列跨中的存在。此外，在$\mathbf{A}$的列跨中存在另一个汉明权重为1的向量是很不可能的。更确切地说，给定一个$N\times (n-1)$的随机矩阵$\mathbf{A}$，其中$N>n$，在$\mathbf{A}$的列跨中有一个权重为1的向量的概率是$(n-1)q^{(n-N)}$，这是可以否定的。尽管概率很小，但在$\mathbf{A}$的列跨中最多存在n个单位向量，它泄露了关于索引$b$的信息，因为$n<N$。

4.2 HHWZ PIR计划

  最近，Holzbaur, Hollanti和Wachter-Zeh在[19]中提出了第一个基于编码理论的单服务器PIR方案。在这个PIR方案中，作者考虑了场扩展${\mathbb{F}}_{q^m}$，并秘密地在${\mathbb{F}}_q$上选择了一个基础分区。 不久之后，这个方案在[20]中受到攻击，利用删除查询矩阵中的一行并检查其余部分的维度来揭示所需文件的位置。
  在下文中，我们针对我们基于代码的框架，描述了[19]中提出的这种PIR方案。后来，我们还介绍了在解决可区分性问题方面的攻击[20]
  请注意，原始的PIR方案在数据库和查询设置方面与我们的描述不同。在[19]中，作者认为数据库元素是基域${\mathbb{F}}_q$上的L×𝛿矩阵，而查询元素也是基域${\mathbb{F}}_{q^m}$上的𝛿×n矩阵。请注意，作者使用了迭代回复的技术，即通过使用相同的查询来检索数据库文件中的$L$行的每一行。 在下面的描述中，我们考虑$L=1$，并使用一个等同的设置，即数据库文件是${\mathbb{F}}_q$中的单个元素，而查询元素是${\mathbb{F}}_{q^m}$上的向量。

4.2.1 计划

  在这种情况下，我们在有限域${\mathbb{F}}_q$的扩展上工作，检索函数是一个${\mathbb{F}}_q$线性映射。
  设置：让 { β 1 , . . . , β m } \left\{ \beta_1,...,\beta_m \right\} {β1​,...,βm​}为${\mathbb{F}}_{q^m}$的一个基，作为一个${\mathbb{F}}_q$向量空间。此外，让$V$为子空间Span${\mathbb{F}}_q({\beta }_1,...,{\beta }_s)$，$W$为Span${\mathbb{F}}_q({\beta }_{s+1},...,{\beta }_m)$，其中$s$是 { 1 , . . . , m } \left\{1,...,m\right\} {1,...,m}中的某个整数。检索函数是这样给出的
$$\begin{gathered} Pro{j}_V:{\mathbb{F}}_{q^m}\to {\mathbb{F}}_{q^m} \\ \sum _{i=1}^m{\lambda }_i{\beta }_i\mapsto \sum _{i=1}^s{\lambda }_i{\beta }_i \end{gathered}$$
设$X$为集合${\mathbb{F}}_q$， Y = k e r ( f ) = W ， Z = f − 1 ( 𝔽 q m × ) = V ⧵ { 0 } Y=ker(f)=W，Z=f^{-1}(𝔽^×_{q^m})=V⧵\left\{0\right\} Y=ker(f)=W，Z=f−1(Fqm×​)=V⧵{0}。很容易检查出$Pro{j}_V$满足检索函数的所有条件。

  假设$\mathbf{M}=(m_i)\in {\mathbb{F}}_q^N$是数据库，即数据库中有$N$个文件，每个文件的大小为$q$，假设用户想从数据库中检索第$b$个文件。让$C$成为${\mathbb{F}}_{q^m}$上的一个随机的$[n,k]$线性码。

查询的产生：对于编码和解码，我们遵循与第4.1节 相同的程序。
  让$\mathbf{G}$是$C$的发生器矩阵，让 I ⊆ { 1 , . . . , n } I⊆\left\{1,...,n\right\} I⊆{1,...,n}是一个信息集。我们用$\mathbf{G}$来进行编码，即编码图为$Enc:{\mathbb{F}}_q^k\to {\mathbb{F}}_q^n$，由$\mathbf{a}\mapsto \mathbf{a}\mathbf{G}$ 得到。
  让${\mathbf{a}}_1,...,{\mathbf{a}}_N$是在${\mathbb{F}}_{q^m}^k$中随机选择的向量，并定义相应的码字${\mathbf{c}}_i:=Enc({\mathbf{a}}_i)={\mathbf{a}}_i\mathbf{G}$，针对所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}。
  如同在第4.1节中一样，我们通过在由I索引的坐标上不添加错误来进行解码。如同第4.1节，我们通过在由$I$索引的坐标上不添加错误来进行解码。
  让$v$是$I^C$中的一个固定元素。 现在，我们选择误差向量${\mathbf{e}}_1,{\mathbf{e}}_2,...,{\mathbf{e}}_N$在${\mathbb{F}}_{q^m}^n$中运行，使得

1. S u p p ( 𝐞 i ) ⊆ I C , 其 中 i ∈ { 1 , . . . , N } Supp(𝐞_i)⊆I^C,其中i∈\left\{1,...,N\right\} Supp(ei​)⊆IC,其中i∈{1,...,N}
2. 𝐞 i [ v ] ∈ W , 其 中 , i ≠ b , 𝐞 b [ v ] ∈ V ⧵ { 0 } 𝐞_i[v]∈W, 其中, i≠b ,𝐞_b[v]∈V⧵\left\{0\right\} ei​[v]∈W,其中,i​=b,eb​[v]∈V⧵{0}

让${\mathbf{q}}_i:={\mathbf{c}}_i+{\mathbf{e}}_i$,其中 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}。那么查询的结果是
Q : = { 𝐪 1 , 𝐪 2 , . . . , 𝐪 N } Q:=\left\{𝐪_1,𝐪_2,...,𝐪_N\right\} Q:={q1​,q2​,...,qN​}
回复的生成：响应是通过计算产生的
$$\mathbf{r}=\sum _{i=1}^N{m}_i{\mathbf{q}}_i$$
回复提取：
  写出$\mathbf{r}=\mathbf{c}+\mathbf{e}$，其中$\mathbf{c}={\sum }_{i=1}^N{m}_i{\mathbf{c}}_i$和$\mathbf{e}={\sum }_{i=1}^N{m}_i{\mathbf{e}}_i$。
  由于$I$是一个信息集，并且$Supp(\mathbf{e})\subseteq I^C$，我们可以通过计算对$\mathbf{r}$进行解码。
$$\mathbf{r}-{\mathbf{r}}_I{\mathbf{G}}_I^{-1}\mathbf{G}=\mathbf{e}=\sum _{i=1}^N{m}_i{\mathbf{e}}_i$$
  现在我们考虑$\mathbf{e}$的第$v$个坐标，并应用检索函数，从而得到
$$Pro{j}_V(\sum _{i=1}^N{m}_i{\mathbf{e}}_i[v])=m_b{\mathbf{e}}_b[v]$$
  这样做是因为${\mathbf{e}}_i[v]\in W$对所有$i\ne b$，并且 𝐞 b [ v ] ∈ V ⧵ { 0 } 𝐞_b[v]∈V⧵\left\{0\right\} eb​[v]∈V⧵{0}。此外，由于我们知道${\mathbf{e}}_b[v]$，我们可以检索出$m_b$。

4.2.2 安全问题

  通过解决可区分性问题，原始 PIR 方案 [19] 在 [20] 中受到攻击。 攻击遵循Sect 3.3中提到的第二种策略。
  设𝐀为包含所有查询向量的行的矩阵，即：
$$\mathbf{A}=\left(\begin{array}{c}{\mathbf{q}}_1\\ {\mathbf{q}}_2\\ ...\\ {\mathbf{q}}_N\end{array}\right)=\left(\begin{array}{c}{\mathbf{c}}_1+{\mathbf{e}}_1\\ {\mathbf{c}}_2+{\mathbf{e}}_2\\ ...\\ {\mathbf{c}}_N+{\mathbf{e}}_N\end{array}\right)=\mathbf{C}+\mathbf{E}$$
其中，$\mathbf{C}=\left(\begin{array}{c}{\mathbf{c}}_1\\ {\mathbf{c}}_2\\ ...\\ {\mathbf{c}}_N\end{array}\right)$,$\mathbf{E}=\left(\begin{array}{c}{\mathbf{e}}_1\\ {\mathbf{e}}_2\\ ...\\ {\mathbf{e}}_N\end{array}\right)$。
  对于每个 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}，设${\mathbf{A}}_i$是通过删除第$i$行得到的$\mathbf{A}$的子矩阵。那么这些矩阵的${\mathbb{F}}_q$级满足以下命题。

命题1 [20，命题3.1] 设$\mathbf{A}$如上所给。那么
$$ran{k}_{{\mathbb{F}}_q}(\mathbf{A})=ran{k}_{{\mathbb{F}}_q}(\mathbf{C})+ran{k}_{{\mathbb{F}}_q}(\mathbf{E})$$
此外，对所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}来说,
$$ran{k}_{{\mathbb{F}}_q}({\mathbf{A}}_i)=ran{k}_{{\mathbb{F}}_q}({\mathbf{C}}_i)+ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_i)$$
  在$N<mn$的情况下，查询规模变得大于数据库的规模，也就是说，该方案并不比下载整个数据库的琐碎的PIR协议更好。 因此，我们假设$N\ge mn$，并使用下面的推论，在多项式时间内区分索引b。

推论1[20，推论3.2，命题3.3] 让𝐀i如上所述得到。那么，在高概率下

1. $ran{k}_{{\mathbb{F}}_q}({\mathbf{A}}_b)=mn-s$,
2. for $i\ne b$, we have that $ran{k}_{{\mathbb{F}}_q}({\mathbf{A}}_i)=mn$.

证明 由命题1可知，在所有$1\le i\le N$的情况下，$ran{k}_{{\mathbb{F}}_q}({\mathbf{A}}_i)=ran{k}_{{\mathbb{F}}_q}({\mathbf{C}}_i)+ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_i)$。

  在第一种情况下，我们有$ran{k}_{{\mathbb{F}}_q}({\mathbf{C}}_b)=mk$ 和$ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_b)=(n-k-1)m+(m-s)$（概率很高），其中第一部分来自未被索引的列$v$，它存在于整个空间${\mathbb{F}}_{q^m}=W+V$中，第二部分来自$v$索引的列，它存在于子空间 $W$中。 请注意，由于矩阵条目的随机性，方程 $ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_b)=m(n-k)-s$ 很有可能成立。
  在$i\ne b$的情况下，我们仍然有$ran{k}_{{\mathbb{F}}_q}({\mathbf{C}}_i)=mk$，但现在$ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_i)=(n-k-1)m+m$（具有高概率），其中第一部分来自未被$v$索引的列，第二部分来自列$v$（注意在这种情况下所有列都在完整空间${\mathbb{F}}_{q^m}=W+V$）。请注意，由于矩阵项的Ran-domness，方程$ran{k}_{{\mathbb{F}}_q}({\mathbf{E}}_i)=m(n-k)$大概率地成立。

4.3 AMG PIR计划

  在下文中，我们针对我们基于代码的框架，描述了[21]中提出的PIR方案。之后，我们还介绍了基于格子的攻击[22]在解决可区分性问题方面的情况。请注意，原始的PIR方案与我们的描述有以下的不同。

• 数据库设置：在[21]中，作者认为数据库元素是基域${\mathbb{F}}_p$上的向量。此外，每个查询元素都是${\mathbb{F}}_p$上的一个矩阵。在下面的描述中，我们使用一个等效的设置，即数据库文件是${\mathbb{F}}_p$中的单个元素，查询元素是${\mathbb{F}}_p$上的向量。
• 噪声扰乱矩阵𝛥：作者引入了一个可逆对角矩阵𝛥，以掩盖软噪声错误向量与硬噪声错误向量。在我们的描述中，我们忽略了这个扰乱矩阵𝛥，因为我们将在安全讨论中看到，𝛥对查询矩阵的列空间没有影响。
• 在[21]中，底层线性码的速率k/n被固定为k∕n=0.5。 在我们的描述中，我们使用一个任意的速率。

4.3.1 方案

  在这个方案中，我们在一个有限域${\mathbb{F}}_p$上工作，其中$p$是一个素数。我们将把${\mathbb{F}}_p$看作 { − ⌊ p / 2 ⌋ , . . . , ⌊ p / 2 ⌋ } \left\{-⌊p/2⌋,...,⌊p/2⌋\right\} {−⌊p/2⌋,...,⌊p/2⌋}。($\lfloor x\rfloor$，不大于$x$的整数, $\lceil x\rceil$，不小于$x$的整数)

设置：假设数据库的形式为$\mathbf{M}=(m_i)\in \left\{0,1,...,2^l-1\right\}N$ 和 $l=\lceil log2(N)\rceil +1$，即数据库中有$N$个文件 每个大小为$l$位。 请注意，如果文件大小大于$l$ 位，则我们将文件拆分为 $l$ 位块。 假设用户想要从数据库中检索第$b$ 个文件。

  令 $p$ 为大于 $2^{3l}$ 的素数且 $t=2^{2l}$ 。 检索函数由对应于模$t$ 的 Lee 权重的余数给出，即
$$\begin{gathered} f:{\mathbb{F}}_p\to {\mathbb{F}}_p, \\ x\mapsto x-w{t}_{Lt}(xmodt), \end{gathered}$$
其中 $w{t}_{Lt}$ 表示 Z ∕ t Z = { 0 , 1 , . . . , t − 1 } ℤ∕tℤ=\left\{0,1,...,t−1\right\} Z∕tZ={0,1,...,t−1} 上的 Lee 权重，定义为:
w t L t ( z ) ∶ = m i n { z , t − z } wt_{Lt}(z)∶=min\left\{z,t−z\right\} wtLt​(z)∶=min{z,t−z}
集合 $X=\left\{0,1,...,2^l-1\right\}$ , Y = { − 1 , 1 } ⊆ k e r ( f ) Y=\left\{−1,1\right\}⊆ker(f) Y={−1,1}⊆ker(f) 和 Z = { t } ⊆ f − 1 ( 𝔽 p × ) Z=\left\{t\right\}⊆f^{−1}(𝔽^×_p) Z={t}⊆f−1(Fp×​).
  现在观察 $Y$ 中的元素与 $X$ 中具有任意数量项的标量的线性组合不一定属于 $ker(f)$ 。 然而，当我们在线性组合中最多有 $N$个项时，条件得到满足：对于 $x_1,...,x_N\in X$ 和 $y_1,...,y_N\in Y$ 我们有
$$|x_1{y}_1+\cdots +x_N{y}_N|\le N{2}^l<\frac{t}{2}$$
因此：
$$\begin{gathered} f\left(\sum _{i=1}^N{x}_i{y}_i\right)=\sum _{i=1}^N{x}_i{y}_i-w{t}_{L_t}\left(\sum _{i=1}^N{x}_i{y}_{i}modet\right) \\ =\sum _{i=1}^N{x}_i{y}_i-\sum _{i=1}^N{x}_i{y}_i=0 \end{gathered}$$
此外，对于 $y\in Y,x\in X和z\in Z$，我们有
$$\begin{gathered} f(y+xz)=f(y+xt) \\ =y+xt-wtLt(y+xtmodt) \\ =y+xt-wtLt(ymodt) \\ =y+xt-y \\ =xt=xf(t) \end{gathered}$$
因为 $f(z)=f(t)=t-w{t}_{L_t}(tmodt)=t$.

设$C$为${\mathbb{F}}_p$上的随机线性$[n,k]$代码，由用户保密。

生成查询：对于编码和解码，我们遵循与第4.1,4.2节相同的程序。
  让$\mathbf{G}$是$C$的发生器矩阵，让 I ⊆ { 1 , . . . , n } I ⊆\left\{1,...,n\right\} I⊆{1,...,n}是一个信息集。我们用$\mathbf{G}$来进行编码，即编码图为$Enc:{\mathbb{F}}_q^k\to {\mathbb{F}}_q^n$，由$\mathbf{a}\mapsto \mathbf{a}\mathbf{G}$给出。
  让${\mathbf{a}}_1,...,{\mathbf{a}}_N$是在${\mathbb{F}}_q^k$中随机选择的向量，并定义相应的码字${\mathbf{c}}_i:=Enc({\mathbf{a}}_i)={\mathbf{a}}_i\mathbf{G}$，对于所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}。
  如同在第4.1和4.2节中，我们通过在由$I$索引的坐标上不添加错误来执行解码。
  让$v$是$I^C$中的一个固定元素。现在，我们选择误差向量${\mathbf{e}}_1,{\mathbf{e}}_2,...,{\mathbf{e}}_N$在${\mathbb{F}}_{q^m}^n$中运行，使得

1. $Supp({\mathbf{e}}_i)\subseteq I^C$ for all i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N}
2. 𝐞 i [ v ] ∈ { ± 1 } 𝐞_i[v]∈\left\{±1\right\} ei​[v]∈{±1} for all $i\ne b$ , and ${\mathbf{e}}_b[v]=t$

  让${\mathbf{q}}_i:={\mathbf{c}}_i+{\mathbf{e}}_i$，对所有 i ∈ { 1 ， . . . ， N } i∈\left\{1，...，N\right\} i∈{1，...，N}。那么查询的结果是
Q ∶ = { 𝐪 1 , 𝐪 2 , . . . , 𝐪 N } Q∶=\left\{𝐪_1,𝐪_2,...,𝐪_N\right\} Q∶={q1​,q2​,...,qN​}
回复的生成：响应是通过计算产生的
$$\mathbf{r}=\sum _{i=1}^N{m}_i{\mathbf{q}}_i$$
回复提取：
  写出$\mathbf{r}=\mathbf{c}+\mathbf{e}$，其中$\mathbf{c}={\sum }_{i=1}^N{m}_i{\mathbf{c}}_i$和$\mathbf{e}={\sum }_{i=1}^N{m}_i{\mathbf{e}}_i$。
  由于$I$是一个信息集，并且$Supp(\mathbf{e})\subseteq I^C$，我们可以通过计算对$\mathbf{r}$进行解码。
$$\mathbf{r}-{\mathbf{r}}_I{\mathbf{G}}_I^{-1}\mathbf{G}=\mathbf{e}=\sum _{i=1}^N{m}_i{\mathbf{e}}_i$$
我们将只关注$\mathbf{e}$的第$v$个坐标，并应用检索函数来获得
$$\begin{gathered} f(\sum _{i=1}^N{m}_i{\mathbf{e}}_i[v])=\sum _{i=1}^N{m}_i{\mathbf{e}}_i[v]-w{t}_{L_t}(\sum _{i=1}^N{m}_i{\mathbf{e}}_i[v]modt) \\ =(\sum _{i=1,i\ne b}^N{m}_i{\mathbf{e}}_i[v]-w{t}_{L_t}(\sum _{i=1,i\ne b}^N{m}_i{\mathbf{e}}_i[v]modt\left)\right)+m_b{\mathbf{e}}_b[v] \\ =m_b{\mathbf{e}}_b[v]=m_{b}t \end{gathered}$$
这样做的原因是
$$|\sum _{i=1,i\ne b}^N{m}_i{\mathbf{e}}_i[v]|<\frac{t}{2}and{m}_b{\mathbf{e}}_b[v]isamultipleoft,$$
因此
$$w{t}_{L_t}(\sum _{i=1}^N{m}_i{\mathbf{e}}_i[v]modt)=w{t}_{L_t}(\sum _{i=1,i\ne b}^N{m}_i{\mathbf{e}}_i[v]modt)=\sum _{i=1,i\ne b}^N{m}_i{\mathbf{e}}_i[v]$$
现在由于 $gcd(t,p)=1$ ，我们可以检索 $m_b$。

4.3.2 安全问题

在[22]中，Liu等人提出了一个基于格子的对AMG PIR方案的攻击。 攻击中使用的方法可以按照第3.3节中提到的第一个策略来描述。3.3中提到的第一种策略来解决可区分性问题。
  让$\mathbf{A}$是包含所有查询向量作为行的矩阵，即
$$\mathbf{A}=\left(\begin{array}{c}{\mathbf{q}}_1\\ {\mathbf{q}}_2\\ ...\\ {\mathbf{q}}_N\end{array}\right)=\left(\begin{array}{c}{\mathbf{c}}_1+{\mathbf{e}}_1\\ {\mathbf{c}}_2+{\mathbf{e}}_2\\ ...\\ {\mathbf{c}}_N+{\mathbf{e}}_N\end{array}\right)$$
正如第 4.1节中所讨论的那样。向量$({\mathbf{e}}_1[v],{\mathbf{e}}_2[v],...,{\mathbf{e}}_N[v])$属于$\mathbf{A}$的列跨度。

  回顾一下结构，向量$({\mathbf{e}}_1[v],{\mathbf{e}}_2[v],...,{\mathbf{e}}_N[v])$有来自 { − 1 , + 1 } \left\{-1,+1\right\} {−1,+1}的$N-1$个条目和一个值为$t$的条目。如果我们删除 $\mathbf{A}$ 的第 $b$行，称它为矩阵 ${\mathbf{A}}_b$ ，那么向量$({\mathbf{e}}_1[v],...,{\mathbf{e}}_{b-1}[v],{\mathbf{e}}_{b+1}[v],...,{\mathbf{e}}_N[v])$将会是，很有可能是由 ${\mathbf{A}}_b$ 的列生成的 $p$ 元晶格中的最短向量。 更准确地说，晶格是由 $[{\mathbf{A}}_b|p\mathbf{I}{\mathbf{d}}_{N-1}]$ 的$n$ 列生成的。 然而，由于晶格的大尺寸，找到这个向量仍然是不可行的。

  在[22]中，作者构建了多个小维晶格。让$k\le s\le N$，让${\mathbf{A}}^{(1)},...,{\mathbf{A}}^{(\lceil N∕s\rceil )}$是矩阵$\mathbf{A}$的行级划分，即${\mathbf{A}}^{(i)}$是由$\mathbf{A}$的$s$行给出的$s\times n$矩阵，索引为 { ( i − 1 ) s + 1 ， . . . ， i s } \left\{(i-1)s+1，...，is\right\} {(i−1)s+1，...，is}。 现在，让$L_i$成为由${\mathbf{A}}^{(i)}$的列生成的p-ary网格。 请注意，格子$L_i$的维度是$s$，因此攻击者选择$s$，以便对$L_i$实施减基算法是可行的。为了找到索引$b$，攻击者要逐一检查这些格子。

  请注意，所需文件的索引 $b$ 对应于攻击者能够找到的格 $L_{\lfloor b∕s\rfloor }$ ，然后攻击者通过解决$L_{\lfloor b∕s\rfloor }$ 的最接近向量问题来找到索引 $b$。

  更详细地说，在$i\ne \lfloor b∕s\rfloor$的情况下，我们观察到$L_i$中最短的向量对应于具有 { − 1 , + 1 } \left\{-1,+1\right\} {−1,+1}项的向量$({\mathbf{e}}_{(i-1)s+1}[v]，...，{\mathbf{e}}_{is}[v])$。 由于大$t$的存在，这一观察在$i=\lfloor b∕s\rfloor$的情况下不成立。攻击者利用格子还原算法找到每个$L_i$中最短的向量，并由此找到相应的格子$L_{\lfloor b∕s\rfloor }$。

  现在，可以用求解最接近的矢量问题来定位索引$b$。 让$j=\lfloor b∕s\rfloor$。然后观察$({\mathbf{e}}_{(j-1)s+1}[v],...,{\mathbf{e}}_{js}[v])\in L_j$是离$(0,...,0,t,0,...,0)$（$t$在第$b$个位置）最近的网格向量。为了找到索引$b$，我们可以使用Kannan的嵌入技术[23]来解决（最多）$s$个最接近向量问题的实例，输入向量的形式为$(0,...,0,t,0,...,0)$。

4.4 基于Ring‑LWE的PIR方案

  在本节中，我们描述了使用基于 Ring-LWE (RLWE) 的同态加密方案构建的 PIR 方案。 特别是，我们考虑构建 XPIR 方案 [16]，该方案使用 [24] 中提出的基于 Ring-LWE 的同态加密方案。

  原始 PIR 方案与我们在误差分布上的描述不同，如下所示。 在 [16] 中，作者使用两种不同的分布 $\chi$ 和 ${\chi }^{\prime }$ 来采样错误。 分布 $\chi$ 用于生成公钥，具有较大方差的分布 ${\chi }^{\prime }$用于加密。 在下面的描述中，我们只考虑一种分布，模仿${\chi }^{\prime }$，在查询生成过程中对错误向量进行采样。

  我们要说明的是，在下面的描述中，数据库元素和查询元素是次数小于 $n$ 的多项式，其系数在 $R$ 中，也可以用 $R^n$ 中的向量表示。

4.4.1 方案

  在这个方案中，我们在一个有限环 $Z∕qZ$上工作，其中 q 是一个正整数。 代替$Z∕qZ$上的随机线性码，我们考虑$Z∕qZ$上的随机负循环码。
设置：设 $q,t$ 为 $t<q$ 且$gcd(t,q)=1$ 的正整数。 检索函数由下式给出
$$\begin{gathered} f:Z∕qZ\to Z∕qZ, \\ x\mapsto x(modt) \end{gathered}$$
让 $\chi$ 是具有标准偏差 $\sigma$ 的离散高斯分布。 选择参数 $q,n,t,\sigma$ 以使它们满足$N{t}^2\sigma \sqrt{n}<\frac{q}{2}$，其中 $n$ 是将用于查询生成的线性代码的长度。
  现在，我们定义子集
X = { 0 , . . . , t − 1 } ⊆ Z ∕ q Z Y = { t y ∣ y i s s a m p l e d f r o m t h e d i s t r i b u t i o n χ } Z = { t y + 1 ∣ y i s s a m p l e d f r o m t h e d i s t r i b u t i o n χ } X=\left\{0,...,t−1\right\}⊆ℤ∕qℤ \\ Y=\left\{ty∣y \enspace is \enspace sampled \enspace from \enspace the \enspace distribution \enspace \chi \right\} \\ \\ Z=\left\{ty + 1∣y \enspace is \enspace sampled \enspace from \enspace the \enspace distribution \enspace \chi \right\} X={0,...,t−1}⊆Z∕qZY={ty∣yissampledfromthedistributionχ}Z={ty+1∣yissampledfromthedistributionχ}
观察对于 $x_1,x_2,...,x_N\in X$ 和 $t{y}_1,t{y}_2,...,t{y}_N\in Y$ 我们有
$$\begin{gathered} f\left(\sum _{i=1}^N{x}_{i}t{y}_i\right)=\sum _{i=1}^N{x}_{i}t{y}_{i}modt \\ =0 \end{gathered}$$
这是可行的，因为参数 $q,n,t,\sigma$ 的选择意味着 ${\sum }_{i=1}^N{x}_{i}t{y}_i<q∕2$ 的概率非常高。 对于 $x\in X,ty\in Y和tz+1\in Z$ 我们有
$$\begin{gathered} f(y+xz)=ty+x(tz+1)modt \\ =xmodt=x=xf(z) \end{gathered}$$
因为$ty+x(tz+1)<q∕2$.

  令 $n$ 为 $2$ 的幂，令 $R_q:=(Z∕qZ)[x]∕(x^n+1)$。 令$\mathbf{M}=(m_i)\in (X[x]∕(x^n+1){)}^N$，即数据库中有$N$个文件，每个文件是$R_q$中的一个元素，系数在$X$中。特别地，每个文件是 大小 $lo{g}_{‘}2(tn)$ 位。 假设用户想要从数据库中检索第 $b$ 个文件。
令 $C$ 是由一些随机选择的 $s\in R_q$ 生成的 $Z∕qZ$ 上长度为 $n$ 的负循环码，即$C$ 是 $s$ 生成的 $R_q$ 中的理想值。 该代码由用户保密。

查询生成：我们使用生成多项式 $s$ 来定义编码映射，即 $Enc:R_q\to R_q由a\mapsto as$ 给出。
  令 $a_1,a_2,...,a_N$ 为 $R_q$ 中随机选择的元素，并为所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N} 定义 $N$ 个码字 $c_i:=a_{i}s$。
  现在，我们选择 $R_q$ 中的错误 $e_1,e_2,...,e_N$ 使得它们满足以下两个允许提取回复的条件：

1. $e_i=t{y}_i$ , 其中 $y_i$ 从分布$\chi$中采样 , 且$i\ne b$
2. $e_b=t{y}_b+1$ ，其中$y_b$ 取自$\chi$.

让 $\mathbf{q}i:=(a_i,c_i+e_i)$ 对所有 i ∈ { 1 , . . . , N } i∈\left\{1,...,N\right\} i∈{1,...,N} 。 然后查询由
Q : = { 𝐪 1 , 𝐪 2 , . . . , 𝐪 N } Q:=\left\{𝐪_1,𝐪_2,...,𝐪_N\right\} Q:={q1​,q2​,...,qN​}

回复生成：通过计算生成回复
$$\mathbf{r}=\sum _{i=1}^N{m}_i{\mathbf{q}}_i=\sum _{i=1}^N(m_i{a}_i,m_i{c}_i+m_i{e}_i)=:(r_1,r_2)$$

回复提取：通过在 $r_1$上应用编码映射$Enc$，我们首先对 $r_2$ 进行解码，得到错误部分，即
$$r_2-Enc(r_1)=r_2-s{r}_1=\sum _{i=1}^N{m}_i{e}_i$$

之后我们可以使用检索函数 f:
$$\begin{gathered} f\left(\sum _i^N{m}_i{e}_i\right)=\sum _{i=1}^n{m}_{i}t{y}_i+m_b(modt) \\ =m_b \end{gathered}$$
请注意，这里我们将 $f$ 应用于 $R_q$ 的元素，这是通过将 $f$ 应用于每个系数来完成的。

  最后一个等式来自参数 $n,q,t,\sigma$ 的条件，因为 ${\sum }_{i=1}^N{m}_i{e}_i$ 的最大系数很有可能是 $N{t}^2\sigma \sqrt{n}$ 的上限（参见 [24，引理 1]），其中 小于 $q/2$

4.4.2 安全问题

  如上所述，XPIR 方案 [16] 使用 [24] 中提出的全同态加密方案，其安全性基于解决多项式有误差学习 (PLWE) 问题的难度，这是环 LWE 的简化版本 问题。

  令 $R_q=Z∕qZ[x]∕(x^n+1)$ ，令 $\chi$为 $R_q$ 上的窄离散高斯分布。 然后 PLWE 假设指出，在计算上很难区分形式为 $(a_i,a_{i}s+e_i)$ 的样本的多项式数量和形式为 $(a_i,u_i)$ 的相同数量的样本，其中 $s,a_i和u_i$ 是从 $R_q$ 中均匀采样的，而 $e_i$ 是从 $\chi$ 中采样的。

  此外，[24，命题 1] 指出，如果样本的形式为 $(a_i,a_{i}s+t{e}_i)$ ，其中 $a_i,s,e_i$ 如上且 $t\in (Z∕qZ{)}^{\times }$ ，则将此类样本与 均匀样本等价于 PLWE 假设。

  设$\mathbf{A}$是查询矩阵，${\mathbf{A}}_i$是删除第i行得到的$\mathbf{A}$的子矩阵。 将上述方法 [24，命题 1] 转换为我们的通用框架意味着将 ${\mathbf{A}}_b$ 与均匀采样矩阵区分开来等价于 PLWE 问题。

  然而，第3.3节中提到的第二种策略的目标是不同的：即区分$i\ne b$的$A_i$和$A_b$。3.3节提到的第二种策略的目标是不同的方向：那就是区分$i\ne b$的$A_i$和$A_b$。因此，这可能会导致对这种PIR方案的新的安全性分析。

5 理论评论

5.1 通用的PIR方案与基于编码的框架对比

  一个自然的问题是询问是否可以根据基于代码的框架来描述任何单个服务器 PIR 方案。 答案是否定的，因为 Kushilevitz 和 Ostrovsky [25] 的数论 PIR 方案不适合该框架。 但是，如果我们限制为通过使用线性组合（从现在开始将其表示为加法 PIR 方案）收缩数据库元素和查询元素来生成回复的 PIR 方案类，那么答案是肯定的。 在下文中，我们讨论了任意加法 PIR 方案的要求，并论证了基于代码的框架中的元素满足这些要求的必要性：

1. 环境空间：一个加法的PIR方案需要两种操作：数据库和查询元素之间的乘法（∗），以及这些乘积的加法（+）。因此，环境空间的典型选择是环。由于实际原因，环应该是有限的。
2. 检索：让数据库用 D B = { d b 1 , . . . , d b N } DB=\left\{db_1,...,db_N\right\} DB={db1​,...,dbN​} 表示，对应的查询用 Q = { q 1 , . . . , q N } Q=\left\{q_1,...,q_N\right\} Q={q1​,...,qN​} 给出。假设用户想要检索第 $b$ 个文件。在加法 PIR 方案中，回复是 ${\sum }_{i=1}^{N}d{b}_i\ast q_i$ 并且用户想要从回复中检索 $d{b}_b$。用 g 表示的操作 ${\sum }_{i=1}^{N}d{b}_i\ast q_i\mapsto d{b}_b$ 类似于基于代码的框架中使用的检索函数。首先，我们注意到 $g$ 湮灭 ${\sum }_{i\ne b}d{b}_i\ast q_i$ 使得我们只剩下 $g(d{b}_b\ast q_b)$ 。然后从 $g(d{b}_b\ast q_b)$ 中恢复 $d{b}_b$。这两个属性意味着 $d{b}_i$ 和 $q_i$ 存在于环境空间 $R$ 的特殊子集中。让 $X$ 表示数据库元素的空间，$Y$ 表示与所需文件无关的查询元素的空间，$Z$表示与所需文件关联的查询元素的空间。对 $g$ 的要求意味着： (1) $Y$中的元素与 $X$ 中的标量的线性组合属于 $g$的核，(2) $g(x\ast z)=x\ast g(z)和g(z)$是一个可逆元素，对于任何 $x\in X$ 和 $z\in Z$。这两个条件是基于代码的框架中使用的检索函数的条件的基础。
3. 隐私：PIR 方案的另一个重要方面是隐私，即，给定查询 $Q$，确定所需文件的索引 $b$ 在计算上应该是不可行的。 让我们看一下我们直接使用 $Y$ 和 $Z$ 中的元素生成查询元素的场景。 那么隐私依赖于以下决策问题的难度：给定 $q\in Y\cup Z$ ，决定是 $q\in Y$ 还是 $q\in Z$ 。 一般来说，这可能不是一个难题，因为可以应用检索功能来区分 $Y$ 和 $Z$ 之间的元素。因此，为了确保隐私，我们必须为查询元素添加一些随机性。 此外，即使在收到包含其线性组合的回复后，用户也应该能够消除这种随机性。 这正是线性纠错码的基本原理。 我们将 $Y$ 和 $Z$ 的元素视为错误，添加的随机性属于随机线性码。

5.2 关于PIR计划的安全性

就基于代码的框架而言，PIR方案的安全性依赖于基础检索函数的类型。正如我们从第4节的例子中注意到的，以下类型的检索函数使用起来并不安全。

1. 场同构：在检索函数为非三段式场同构的情况下，PIR方案等同于第4。1节所述的方案。检索函数的内核必须是{0}，因为{0}是任何场中唯一的适当理想。因此，确定所需文件的索引成为在查询矩阵的列空间中找到一个单元向量的简单任务，因此它受到第3.3节中讨论的第一个攻击策略的影响。
2. 矢量空间同构。在这种情况下，所得的PIR方案等同于HHWZ PIR方案[19]，在第4.2节中描述。非琐碎线性映射的内核是父矢量空间的一个适当的子空间。这导致矩阵的等级特别低，该矩阵是通过删除对应于所需文件的行而从查询矩阵中获得的，因此它受到第二节中讨论的攻击策略的影响。

  我们可以将这两种情况推广到更多类型的检索函数。 显然，向量空间同构的弱点也可以在自由模块同构的情况下观察到，因为自由模块的等级和维度概念的存在。 另一方面，场同构的弱点可以在局部环同构的情况下看到。注意存在一个整数$l$，使得 M l = { 0 } 且 M l − 1 ≠ { 0 } M^l=\left\{0\right\}且M^{l-1}≠\left\{0\right\} Ml={0}且Ml−1​={0}。 让 a ∈ M l − 1 ⧵ { 0 } a∈M^{l-1}⧵\left\{0\right\} a∈Ml−1⧵{0}，那么请注意，对于所有$r\in M，ar=0$。 这意味着特殊的列向量$({\mathbf{e}}_1[v],...,{\mathbf{e}}_N[v])$，当与$a$相乘时，会得到一个单位向量。 因此，与场同构的情况类似，我们观察到查询矩阵的列空间中存在一个单位向量。

  4.3和4.4节分别介绍了另外两个方案，它们不使用加性检索函数。这两种方案都是在大模数环境空间中使用小模数误差的想法。由于这一点，安全性最终依赖于在高维网格中寻找短矢量，这是一个计算上的难题。 然而，在AMG PIR方案的情况下，该问题在多个小维晶格中被打破，因此攻击变得可行。而在基于LWE的PIR方案中，这种新的视角可能有可能为其安全分析引入新的方法。

  为了构建一个加法PIR方案，我们可以研究结构化形态的情况，如环同态和模块同态，或者非结构化形态的情况，如AMG方案和基于LWE的方案中使用的函数。

  此外，如果一个人独立构建了一个加法PIR方案，那么就值得用基于代码的框架来翻译该方案，以检查可能的安全问题

---

参考文献

1. Chor, B., Goldreich, O., Kushilevitz, E., Sudan, M.: Private information retrieval. In Proceedings of IEEE 36th annual foundations of computer science, pp. 41–50. IEEE (1995)
2. Dvir, Z., Gopi, S.: 2-server PIR with subpolynomial communication. J. ACM (JACM) 63(4), 1–15 (2016)
3. Beimel, A., Ishai, Y., Kushilevitz, E., Raymond, J-F.: Breaking the O(n1∕(2k−1)) barrier for information-the-oretic private information retrieval. In Proceedings of the 43rd annual IEEE symposium on foundations of computer science, 2002, pp. 261–270. IEEE (2002)
4. Sun, H., Jafar, S.A.: The capacity of symmetric private information retrieval. IEEE Trans. Inform. Theory 65(1), 322–329 (2018)
5. Sun, H., Jafar, S.A.: The capacity of robust private information retrieval with colluding databases. IEEE Trans. Inform. Theory 64(4), 2361–2370 (2017)
6. Banawan, K., Ulukus, S.: The capacity of private information retrieval from coded databases. IEEE Trans. Inform. Theory 64(3), 1945–1956 (2018)
7. Freij-Hollanti, R., Gnilke, O.W., Hollanti, C., Karpuk, D.A.: Private information retrieval from coded data-bases with colluding servers. SIAM J. Appl. Algebra Geom 1(1), 647–664 (2017)
8. Dong, C., Chen, L.: A fast single server private information retrieval protocol with low communication cost. In European symposium on research in computer security, pp. 380–399. Springer (2014)
9. Kushilevitz, E., Ostrovsky, R.: Replication is not needed: single database, computationally—private infor-mation retrieval. In Proceedings 38th annual symposium on foundations of computer science, pp. 364–373. IEEE (1997)
10. Lipmaa, H., Pavlyk, K.: A simpler rate-optimal CPIR protocol. In International conference on financial cryptography and data security, pp. 621–638. Springer (2017)
11. Stern, JP.: A new and efficient all-or-nothing disclosure of secrets protocol. In International conference on the theory and application of cryptology and information security, pp. 357–371. Springer (1998)
12. Sion, R., Carbunar, B.: On the computational practicality of private information retrieval. In Proceed-ings of the network and distributed systems security symposium, pp. 2006–06. Internet Society (2007)
13. Shor, P.W.: Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer. SIAM Rev 41(2), 303–332 (1999)
14. Yi, X., Kaosar, M.G., Paulet, R., Bertino, E.: Single-database private information retrieval from fully homomorphic encryption. IEEE Trans. Knowl. Data Eng. 25(5), 1125–1134 (2012)
15. Brakerski, Z., Vaikuntanathan, V.: Efficient fully homomorphic encryption from (standard) LWE. SIAM J. Comput. 43(2), 831–871 (2014)
16. Aguilar-Melchor, C., Barrier, J., Fousse, L., Killijian, M.-O.: XPIR: private information retrieval for everyone. Proc. Priv. Enhanc. Technol. 2016(2), 155–174 (2016)
17. Angel, S., Chen, H., Laine, K., Setty, S.: PIR with compressed queries and amortized query processing. In 2018 IEEE symposium on security and privacy (SP). pp. 962–979 (2018)
18. Ali, A., Lepoint, T., Patel, S., Raykova, M., Schoppmann, P., Seth, K., Yeo, K.: Communication–com-putation trade-offs in PIR. IACR Cryptol. ePrint Arch. (2019)
19. Holzbaur, L., Hollanti, C., Wachter-Zeh, A.: Computational code-based single-server private informa-tion retrieval. In 2020 IEEE international symposium on information theory (ISIT), pp. 1065–1070. IEEE (2020)
20. Bordage, S., Lavauzelle, J.: On the privacy of a code-based single-server computational PIR scheme. Cryptogr, Commun (2021)
21. Melchor, CA, Gaborit, .: A fast private information retrieval protocol. In 2008 IEEE international sym-posium on information theory, pp. 1848–1852 (2008)
22. Liu, J., Bi, J.: Cryptanalysis of a fast private information retrieval protocol. In Proceedings of the 3rd ACM international workshop on ASIA public-key cryptography, pp. 56–60 (2016)
23. Kannan, R.: Minkowski’s convex body theorem and integer programming. Math. Oper. Res. 12(3), 415–440 (1987)
24. Brakerski, Z., Vaikuntanathan, V.: Fully homomorphic encryption from ring-LWE and security for key dependent messages. In Annual cryptology conference, pp. 505–524. Springer (2011)
25. Kushilevitz, E., Ostrovsky, R.: Replication is not needed: single database, computationally-private information retrieval. In Proceedings 38th annual symposium on foundations of computer science, pp. 364–373. IEEE (1997)