LWE问题求解策略

参考文献：

1. Regev O. On lattices, learning with errors, random linear codes, and cryptography[J]. Journal of the ACM (JACM), 2009, 56(6): 1-40.
2. Albrecht M R, Player R, Scott S. On the concrete hardness of learning with errors[J]. Journal of Mathematical Cryptology, 2015, 9(3): 169-203.
3. Babai L. On Lovász’lattice reduction and the nearest lattice point problem[J]. Combinatorica, 1986, 6(1): 1-13.
4. Lenstra A K, Lenstra H W, Lovász L. Factoring polynomials with rational coefficients[J]. Mathematische annalen, 1982, 261(ARTICLE): 515-534.
5. Blum A, Kalai A, Wasserman H. Noise-tolerant learning, the parity problem, and the statistical query model[J]. Journal of the ACM (JACM), 2003, 50(4): 506-519.
6. Lindner R, Peikert C. Better key sizes (and attacks) for LWE-based encryption[C]//Cryptographers’ Track at the RSA Conference. Springer, Berlin, Heidelberg, 2011: 319-339.
7. Schnorr C P, Euchner M. Lattice basis reduction: Improved practical algorithms and solving subset sum problems[J]. Mathematical programming, 1994, 66(1): 181-199.
8. Chen Y, Nguyen P Q. BKZ 2.0: Better lattice security estimates[C]//International Conference on the Theory and Application of Cryptology and Information Security. Springer, Berlin, Heidelberg, 2011: 1-20.
9. Gama N, Nguyen P Q, Regev O. Lattice enumeration using extreme pruning[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2010: 257-278.
10. Arora S, Ge R. New algorithms for learning in presence of errors[C]//International Colloquium on Automata, Languages, and Programming. Springer, Berlin, Heidelberg, 2011: 403-415.

LWE问题

LWE分布$L_{s,\chi }$：选定秘密向量$s\in Z_q^n$，随机均匀地选择$a\in Z_q^n$，从离散高斯分布中选择$e\leftarrow \chi$，输出：$(a,b=<a,s>+emodq)\in Z_q^n\times Z_q$

对于$m$个LWE样本，可以写作$(A,c=As+e)$，其中$A\in Z_q^{m\times n},s\in Z_q^n,e\leftarrow {\chi }^m$

LWE问题的硬度与样本数量完全独立。

一般地，错误分布$\chi$取做离散高斯分布$D_{Z,\alpha q}$：整数集$Z$上，以$0$为分布中心，宽度参数为$\alpha$；使用连续高斯分布的标准差$\sigma =\frac{\alpha q}{\sqrt{2\pi }}$来近似离散情况，要求标准差大于平滑参数$\sigma \ge {\eta }_{ϵ}(Z)$

normal form：对于秘密$s\in Z_q^n$，错误分布$D_{Z^{m+n},\alpha q}$，得到了$m+n$个LWE样本，将其中$n$个样本写作$(A_0,c_0)=(A_0,A_0\cdot s+e_0)$，其中$A_0\in Z_q^{n\times n}$满秩的概率为
$$Pr=\prod _{i=1}^n\frac{q^n-q^{i-1}}{q^n}$$
另外$m$个样本写作$(A_1,c_1)=(A_1,A_1\cdot s+e_1)$，其中$A_1\in Z_q^{m\times n}$

计算
$$\begin{array}{rlr}{A}_1{A}_0^{-1}\cdot c_0-c_1& =& A_1{A}_0^{-1}(A_{0}s+e_0)-A_{1}s-e_1\\ & =& A_{1}s+A_1{A}_0^{-1}{e}_0-A_{1}s-e_1\\ & =& A_1{A}_0^{-1}\cdot e_0-e_1\end{array}$$
于是
$$(A_1{A}_0^{-1},A_1{A}_0^{-1}\cdot c_0-c_1)=(A_1{A}_0^{-1},A_1{A}_0^{-1}\cdot e_0-e_1)$$
简记$A^{\prime }:=A_1{A}_0^{-1}$，$c^{\prime }=A_1{A}_0^{-1}\cdot c_0-c_1$，$s^{\prime }:=e_0$，$e^{\prime }=-e_1$

由于错误分布$D_{Z^{m+n},\alpha q}$是对称的，并且$A_0^{-1}$满秩，所以$(A^{\prime },c^{\prime })=(A^{\prime },A^{\prime }{s}^{\prime }+e^{\prime })$是m个LWE样本，其中$s^{\prime }\leftarrow D_{Z^n,\alpha q}$

解决$(A^{\prime },A^{\prime }{s}^{\prime }+e^{\prime })$等价于解决$(A_0,A_0\cdot s+e_0)$，因为$s=A_0^{-1}(c_0-s^{\prime })$

modulus switching：对于足够小的秘密$s\in Z_q^n$，
$$\Vert <\frac{p}{q}\cdot a-\lfloor \frac{p}{q}\cdot a\rceil ,s>\approx \frac{p}{q}\cdot \Vert e\Vert$$
对于$(a,c)\leftarrow L_{s,D_{Z,\alpha q}}$，令$p\approx \sqrt{\frac{2\pi n}{12}}\cdot \frac{{\sigma }_s}{\alpha }$，其中${\sigma }_s$是秘密$s$的每个分量的标准差；如果$p<q$，那么
$$(\bar{a},\bar{c})=(\lfloor \frac{p}{q}\cdot a\rceil ,\lfloor \frac{p}{q}\cdot c\rceil )\in Z_p^n\times Z_p$$
是一个LWE样本，其错误分布的标准差是$\frac{\sqrt{2}\alpha p}{\sqrt{2\pi }}+O(1)$，即是$L_{s,D_{Z,\sqrt{2}\alpha q+1}}$

切比雪夫不等式：对于任意分布，都有$Pr[\Vert X-E(X)\Vert \ge ϵ]\le \frac{D(X)}{{ϵ}^2}$

错误长度分布：令$\chi$是标准差为$\sigma$且均值为$0$的连续高斯分布，对于任意常数$C$，都有
$$Pr[e\leftarrow \chi :\Vert e\Vert >C\cdot \sigma ]\le \frac{2}{C\sqrt{2\pi }}\cdot e^{-C^2/2}$$
即，错误$e$出现的概率，随$\Vert e\Vert$的增长，呈指数级衰减。

求解LWE的三种策略

对于搜索版本的LWE问题，给定$m$个独立的LWE样本$(A,c)\leftarrow L_{s,\chi }$；对于决策版本的LWE问题，给定$m$个独立样本，要么$(A,c=As+e)\leftarrow L_{s,\chi }$，要么$(A,c)\leftarrow U(Z_q^n\times Z_q)$

1. SIS策略：

   将决策版本，转化为解决由$A$生成的格的对偶格（scaled (by $q$) dual lattice）上的SIS问题，即在 L = { w ∈ Z q m ∣ w A ≡ 0 m o d    q } L=\{w \in Z_q^m|wA \equiv 0 \mod q\} L={w∈Zqm​∣wA≡0modq}中找到向量$v\in L$，使得$\Vert v\Vert$足够小。计算$v\cdot c\equiv v\cdot As+v\cdot e\equiv v\cdot e\mathrm{m}\mathrm{o}\mathrm{d}q$

   当样本是LWE分布时，$v,e$都足够短，于是$<v,e>$的值总是很小。

   当样本是均匀分布时，$<v,e>$的值也服从均匀分布。

   对于参数$n,q,\alpha$的LWE实例，假设找到了短向量$v$，那么将$<v,e>$从均匀分布中区分的优势接近$e^{-\pi (\Vert v\Vert \cdot \alpha {)}^2}$；当$\Vert v\Vert =1/\alpha$，优势约为$1/23$；对于成功概率$ϵ$的算法，反复执行$1/{ϵ}^2$次，根据切比雪夫界，成功概率接近于1

2. BDD策略：

   将搜索版本，转化为解决由$A$生成的格上的BDD问题，即在 L = { A z ∈ Z q n ∣ z ∈ Z n } L=\{Az \in Z_q^n|z \in Z^n\} L={Az∈Zqn​∣z∈Zn}中找到格点$v\in L$，使得向量$c$与格点$v$的欧几里得距离足够近。计算$s=A^{-1}\cdot v$即可。

   如果$A$不满秩，再次采样，直到它可逆。

3. 直接求解策略：

   望文生义，直接搜索一个合适的$s$，使得$\Vert As-c\Vert$足够小。这是上述BDD策略的变体。

算法

1. 穷举算法（策略三）
2. BKW算法（策略一）
3. BKZ算法（策略一）
4. Babai最近平面算法（策略二）
5. Kannan嵌入技术（策略二）
6. Arora-Ge算法（策略三）

不写啦，以后想起来再更新(ಥ_ಥ)