GSW（2）Preliminaries

最新推荐文章于 2024-01-18 22:49:10 发布

够钟ing

最新推荐文章于 2024-01-18 22:49:10 发布

阅读量477

点赞数

分类专栏： GSW 文章标签：同态加密

本文链接：https://blog.csdn.net/weixin_58331078/article/details/124947277

版权

GSW 专栏收录该内容

4 篇文章 1 订阅

订阅专栏

1.LWE问题和GapSVP

LWE问题是被Regev[Reg05]所提出。

定义1(LWE) 对于安全参数 $\lambda$ ，令 $n = n ( \lambda )$ 是整数维度， $q = q( \lambda) \geq 2$ 是整数， $\chi =\chi (\lambda)$ 是在 $Z$ 上的分布。 $LWE_{n,q, \chi}$ 问题是去区分下面两个分布：在第一个分布， $Z^{n+1}_{q}$ 均匀抽样 $(\vec{a_{i}},b_{i})$ 。在第二个分布中，首先均匀取出 $\vec{s} \leftarrow Z_{q}^{n}$ (均匀选取)，之后取样 $(\vec{a_{i}},b_{i}) \in Z_{q}^{n+1}$ ，其中 $\vec{a_{i}} \leftarrow Z_{q}^{n}$ (均匀选取)，设置 $b_{i} = \left \langle \vec{a_{i}},\vec{s} \right \rangle + e_{i}$ 。 $LWE_{n,q, \chi}$ 假设是 $LWE_{n,q, \chi}$ 问题是无解的。

有时这是合适的去把向量 $b_{i}||\vec{a_{i}}$ 看作为矩阵 $A$ 的行，重新定义 $\vec{s}$ 为 $(1, -\vec{s})$ 。然后，要么矩阵 $A$ 是均匀的，要么存在一个第一项系数为1的向量 $\vec{s}$ 使得 $A \cdot \vec{s} =\vec{e}$ ，这里 $\vec{e}$ 的系数来自分布 $\chi$ 。

对于格维度参数为 $n$ 和数 $d$ ， $GapSVP_{\gamma }$ 问题是区分是否一个 $n$ 维格有一个向量短于 $d$ 或者没有向量短于 $\gamma (n) \cdot d$ 。下面的两个定理捕获了某些参数从GapSVP到LWE的量子和经典约简。我们用 $B-bounded$ 分布来表示结果。

定义2(B-bounded distributions). 一个分布全体 $\left\{\chi_{n} \right\}_{n \in N}$ ，支持在整数上，当 $\mathop{Pr}\limits_{e\leftarrow \chi_{n}} [|e| > B] =negl(n)$ ，该分布成为B有界的。

定理1([Reg05,Pei09,MM11,MP12],stated as Corollary 2.1 from [Bra12]). 让 $q=q(n) \in N$ 要么是质数幂，要么是小(多项式大小)不同质数的乘积，令 $B \geq \omega (\log n) \cdot \sqrt{n}$ 。那么如果存在一个有效的可采样的B有界分布 $\chi$ ，使得存在一个有效的算法可以解决平均情况下的LWE参数 $n,q,\chi$ 。那么：

存在有效的量子算法可以解决任意n维度 $GapSVP_{\tilde{O}(nq/B)}$ 问题。
如果 $q \geq \tilde{O}(2^{n/2})$ ，那么对于任意n维度的格，有一个有效的经典算法 $GapSVP_{\tilde{O}(nq/B)}$ 。

在所有的情况，如果我们考虑以次多项式(sub-polynomial)区分器，那么我们要求 $B \geq \tilde{O}(n)$ 和结果近似因子(resulting approximation factor)略微大于 $\tilde{O(n^{1.5}q/B)}$ 。

定理2(Informal Theorem 1.1 of [BL $P^{+}$ 13]). 用多项式 $poly(n)$ 模解决n维LWE暗示一个等价有效的解对于关于维度为 $\sqrt{n}$ 的最糟糕情况的格问题(e.g.，GapSVP) 。

2.基于身份和基于属性的同态加密

在同态加密方案HE=(KeyGen,Enc,Dec,Eval)，信息空间是一些环，Eval同态求值算术电路在环上(关于加法门和乘法门)。我们省略了关于同态加密的正式的定义和理论，这些可以在相关的文献中找到。

一个基于身份HE方案IBHE=(Setup,KeyGen,Enc,Dec,Eval)有关于标准的IBE,IBE=(Setup,KeyGen,Enc,Dec)[Sha84,BF03]所有的性质。Setup生成万能密钥(MSK,MPK)，KeyGen(MSK,ID)输出一个私钥 $sk_{ID}$ 对于身份ID，Enc(MPK,ID,m)输出密文c，这个c是信息m在ID下的加密，Dec( $sk_{ID},c$ )解密c（如果是在ID下的情况）。标准安全性质应用。例如，一个IBE方案是期待抗碰撞的(collusion-resistant)，特别，敌手能够询问很多私钥，只要挑战密文是在未查询的身份。

对于一些函数族F，IBHE程序(procedure) $c \leftarrow Eval(MPK,ID,f,c_{1},\cdots,c_{t})$ 同态求值任意函数 $f \in \mathcal{F}$ 关于密文 $\left \{ c_{i} \leftarrow Enc(MPK,ID,m_{i}) \right \}$ 在同样的ID。最后， $Dec(sk_{ID},c)=f(m_{1},\cdots,m_{t})$ 。我们定义基于身份(有限级)全同态加密方案在期待的方式。

IBHE的定义可以被扩充为多身份的设置-具体地，Eval能够工作在多个身份的密文上。为了让安全性有意义，Dec要求所有被使用在Eval算法的参与方合作。在这篇文章，我们严格我们的注意在单个身份的设置。

一个基于属性的HE方案ABHE=(Setup,KeyGen,Enc,Dec,Eval)有所有关于标准的ABE方案 $ABE=(Setup,KeyGen,Enc,Dec)$ [SW05,GPSW06]的性质。对于一些关系R，一些函数族F和任意 $f \in \mathcal{F}$ ，和任意密文 ${c_{i} \leftarrow Enc(MPK,x,m_{i})}$ 在共同的指数情况下加密，密文 $c \leftarrow Eval(MPK,x,f,c_{1},\cdots, c_{t})$ 能被解密为 $f(m_{1},\cdots,m_{t})$ 使用密钥 $sk_{y}$ 对任意的y， $R(x,y)=1$ 。在一个对于电路的ABE方案，R可以是电路的多项式深度。我们定义基于属性(有限级)全同态加密(ABFHE)用期待的方式。

相似于IBHE，ABHE能被扩展，以至于Eval操作在密文上在多个索引 $x_{1},\cdots,x_{k}$ 。关于解密，这里有不同的可能性。例如，使用密钥 $sk_{y}$ （这里密钥有关系 $R(x_{1},y) = \cdots =R(x_{k},y)=1$ ）结果能被用来解密。另外，结果可以通过使用 $sk_{y1},\cdots,sk_{yl}$ 合作解密，以致于对每个 $x_{i}$ 有一些j使得 $R(x_{i},y_{j})=1$ 。我们限制我们的注意在单指数设置上。

3.其他准备(Other Preliminaries)

对于n,q和 $l=\left \lfloor \log q \right \rfloor +1$ ，我们定义程序BitDecomp,BitDecomp^{-1},Flatten和Powersof2描述在介绍中， $I_{N}$ 表示N维的单位矩阵。

够钟ing

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
GSW（2）Preliminaries

1.LWE问题和GapSVPLWE问题是被Regev[Reg05]所提出。定义1(LWE) 对于安全参数，令是整数维度，是整数，是在上的分布。问题是去区分下面两个分布：在第一个分布，均匀抽样。在第二个分布中，首先均匀取出(均匀选取)，之后取样，其中(均匀选取)，设置。假设是问题是无解的。有时这是合适的去把向量看作为矩阵的行，重新定义为。然后，要么矩阵是均匀的，要么存在一个第一项系数为1的向量使得，这里的系数来自分布。对于格维度参数为和数，问题是区分是否一个维格有一个向量短于或者没有向量短于。
复制链接

扫一扫