1.LWE问题和GapSVP
LWE问题是被Regev[Reg05]所提出。
定义1(LWE) 对于安全参数,令
是整数维度,
是整数,
是在
上的分布。
问题是去区分下面两个分布:在第一个分布,
均匀抽样
。在第二个分布中,首先均匀取出
(均匀选取),之后取样
,其中
(均匀选取),设置
。
假设是
问题是无解的。
有时这是合适的去把向量看作为矩阵
的行,重新定义
为
。然后,要么矩阵
是均匀的,要么存在一个第一项系数为1的向量
使得
,这里
的系数来自分布
。
对于格维度参数为和数
,
问题是区分是否一个
维格有一个向量短于
或者没有向量短于
。下面的两个定理捕获了某些参数从GapSVP到LWE的量子和经典约简。我们用
分布来表示结果。
定义2(B-bounded distributions). 一个分布全体,支持在整数上,当
,该分布成为B有界的。
定理1([Reg05,Pei09,MM11,MP12],stated as Corollary 2.1 from [Bra12]). 让要么是质数幂,要么是小(多项式大小)不同质数的乘积,令
。那么如果存在一个有效的可采样的B有界分布
,使得存在一个有效的算法可以解决平均情况下的LWE参数
。那么:
- 存在有效的量子算法可以解决任意n维度
问题。
- 如果
,那么对于任意n维度的格,有一个有效的经典算法
。
在所有的情况,如果我们考虑以次多项式(sub-polynomial)区分器,那么我们要求和结果近似因子(resulting approximation factor)略微大于
。
定理2(Informal Theorem 1.1 of [BL13]). 用多项式
模解决n维LWE暗示一个等价有效的解对于关于维度为
的最糟糕情况的格问题(e.g.,GapSVP) 。
2.基于身份和基于属性的同态加密
在同态加密方案HE=(KeyGen,Enc,Dec,Eval),信息空间是一些环,Eval同态求值算术电路在环上(关于加法门和乘法门)。我们省略了关于同态加密的正式的定义和理论,这些可以在相关的文献中找到。
一个基于身份HE方案IBHE=(Setup,KeyGen,Enc,Dec,Eval)有关于标准的IBE,IBE=(Setup,KeyGen,Enc,Dec)[Sha84,BF03]所有的性质。Setup生成万能密钥(MSK,MPK),KeyGen(MSK,ID)输出一个私钥对于身份ID,Enc(MPK,ID,m)输出密文c,这个c是信息m在ID下的加密,Dec(
)解密c(如果是在ID下的情况)。标准安全性质应用。例如,一个IBE方案是期待抗碰撞的(collusion-resistant),特别,敌手能够询问很多私钥,只要挑战密文是在未查询的身份。
对于一些函数族F,IBHE程序(procedure)同态求值任意函数
关于密文
在同样的ID。最后,
。我们定义基于身份(有限级)全同态加密方案在期待的方式。
IBHE的定义可以被扩充为多身份的设置-具体地,Eval能够工作在多个身份的密文上。为了让安全性有意义,Dec要求所有被使用在Eval算法的参与方合作。在这篇文章,我们严格我们的注意在单个身份的设置。
一个基于属性的HE方案ABHE=(Setup,KeyGen,Enc,Dec,Eval)有所有关于标准的ABE方案[SW05,GPSW06]的性质。对于一些关系R,一些函数族F和任意
,和任意密文
在共同的指数情况下加密,密文
能被解密为
使用密钥
对任意的y,
。在一个对于电路的ABE方案,R可以是电路的多项式深度。我们定义基于属性(有限级)全同态加密(ABFHE)用期待的方式。
相似于IBHE,ABHE能被扩展,以至于Eval操作在密文上在多个索引。关于解密,这里有不同的可能性。例如,使用密钥
(这里密钥有关系
)结果能被用来解密。另外,结果可以通过使用
合作解密,以致于对每个
有一些j使得
。我们限制我们的注意在单指数设置上。
3.其他准备(Other Preliminaries)
对于n,q和,我们定义程序BitDecomp,BitDecomp^{-1},Flatten和Powersof2描述在介绍中,
表示N维的单位矩阵。