符号说明
R = Z [ x ] / f ( x ) R=Z[x]/f(x) R=Z[x]/f(x)为多项式环,一般取 f = x d + 1 f=x^d+1 f=xd+1, d d d 取值为2的指数次幂
∣ ∣ a ∣ ∣ ||\bold a|| ∣∣a∣∣为多项式 a = a 0 + a 1 ⋅ x + . . . + a d − 1 ⋅ x d − 1 a=a_0+a_1\cdot x+...+a_{d-1}\cdot x^{d-1} a=a0+a1⋅x+...+ad−1⋅xd−1 的无穷范式,即 m a x ( ∣ a i ∣ ) max(|a_i|) max(∣ai∣)
δ R = m a x { ∣ ∣ a ⋅ b ∣ ∣ / ( ∣ ∣ a ∣ ∣ ⋅ ∣ ∣ b ∣ ∣ ) : a , b ∈ R } \delta_R=max\{||a\cdot b||/(||a||\cdot ||b||): a,b\in R\} δR=max{∣∣a⋅b∣∣/(∣∣a∣∣⋅∣∣b∣∣):a,b∈R} 是多项式环 R R R的扩张因子(expansion factor)
Z q = ( − q / 2 , q / 2 ] Z_q=(-q/2, q/2] Zq=(−q/2,q/2] 是一个整数集合
R q R_q Rq 是 R R R中的多项式集合,系数在 Z q Z_q Zq中
[ a ] q [a]_q [a]q 是 Z q Z_q Zq中的整数,满足 [ a ] q = a m o d q [a]_q=a\mod\ q [a]q=amod q
r q ( a ) r_q(a) rq(a) 表示a除q的余数
⌊ x ⌉ \lfloor x\rceil ⌊x⌉是最接近 x x x的整数, ⌊ x ⌋ \lfloor x\rfloor ⌊x⌋为向下取整, ⌈ x ⌉ \lceil x\rceil ⌈x⌉为向上取整
∣ n ∣ |n| ∣n∣ 为 n n n的二进制表示, n ( i ) n(i) n(i) 为 ∣ n ∣ |n| ∣n∣的第 i i i位。 s i z e ( n ) = ⌈ log 2 ( n + 0.5 ) ⌉ size(n)=\lceil \log_2(n+0.5)\rceil size(n)=⌈log2(n+0.5)⌉为二进制表示的位数
定义 R R R上的概率分布 χ = D Z , σ d \chi=D_{Z,\sigma}^d χ=DZ,σd,其中 D Z , σ D_{Z,\sigma} DZ,σ为离散高斯分布。即 x ← χ x\leftarrow \chi x←χ表示从 R R R中取样一个多项式,且系数满足 D Z , σ D_{Z,\sigma} DZ,σ分布。对于 D Z , σ D_{Z,\sigma} DZ,σ分布,采样到 ∣ x ∣ > 10 ⋅ σ |x|>10\cdot \sigma ∣x∣>10⋅σ 的概率小于 2 − 64 2^{-64} 2−64
安全基础
概率分布
U
(
R
q
2
)
U(R_q^2)
U(Rq2):均匀随机从
R
q
R_q
Rq中采样
(
a
0
,
a
1
)
(a_0, a_1)
(a0,a1)
概率分布
A
s
,
χ
(
q
)
A_{s,\chi}^{(q)}
As,χ(q):给定随机的
s
∈
R
q
s\in R_q
s∈Rq,随机采样
a
∈
R
q
a\in R_q
a∈Rq 和噪音
e
←
χ
e\larr \chi
e←χ 得到
(
a
,
[
a
⋅
s
+
e
]
q
)
(a, [a\cdot s+e]_q)
(a,[a⋅s+e]q)
Decision-RLWE问题:很难区分这两种分布
支持的计算
- 加密、解密
- 密文加、密文乘
- 常数加、常数乘
- 重线性化
关键参数
N
N
N:多项式的次数,一般用2的指数次幂
t
t
t:明文模
q
q
q:密文模;实际应用中,
q
q
q比
t
t
t大很多
明文空间
明文空间为
R
t
=
Z
t
[
x
]
/
(
x
N
+
1
)
R_t=Z_t[x]/(x^N+1)
Rt=Zt[x]/(xN+1),
o
r
d
e
r
(
R
t
)
=
t
N
order(R_t)=t^N
order(Rt)=tN 为
R
t
R_t
Rt中不同元素的个数。
即:明文是一个
N
−
1
N-1
N−1次多项式,多项式的系数属于
Z
t
Z_t
Zt
密文空间
密文空间为
R
q
×
R
q
R_q\times R_q
Rq×Rq 其中
R
q
=
Z
q
[
x
]
/
(
x
N
+
1
)
R_q=Z_q[x]/(x^N+1)
Rq=Zq[x]/(xN+1),
o
r
d
e
r
(
R
q
)
=
q
N
order(R_q)=q^N
order(Rq)=qN 为
R
q
R_q
Rq中不同元素的个数。
即:密文是两个
N
−
1
N-1
N−1次多项式,多项式的系数属于
Z
q
Z_q
Zq
加密噪声
密文包含噪声,密文乘法是主要的噪音来源。噪音超过一个阈值时,密文将无法解密。
噪声的增长严重依赖于 t t t 的大小, t t t 要尽量小。不过 t t t小意味着 N N N需要足够大才能够表示指定的明文。
密文模 q q q 越大,噪声阈值越大,但也更不安全。
参考文献
https://eprint.iacr.org/2012/144.pdf