（署名付き）エラーでの学習

$\underline{\bf Background}$

2005年に、Regev [1]はLearning with Errors（LWE）問題を導入しました。これは、Learning Parity with Error問題の一般化です。特定のパラメータ選択に対するこの問題の厳しさの仮定は、ラティスベースの暗号化の分野における多くのポスト量子暗号システムのセキュリティ証明の根底にあります。LWEの「正規」バージョンを以下に説明します。

予備：

ましょう実数の加法群、すなわち内の値をとり、1を法とする。正の整数の及び、 "秘密"ベクトル、確率分布上の、聞かせてに分布することが $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ $[0, 1)$ $n$ $2 \le q \le poly(n)$ ${\bf s} \in \mathbb{Z}_q^n$ $\phi$ $\mathbb{R}$ $A_{{\bf s}, \phi}$ $\mathbb{Z}_q^n \times \mathbb{T}$ 選択することによって得られた、一様にランダムに描画誤差項、および出力。 ${\bf a} \in \mathbb{Z}_q^n$ $x \leftarrow \phi$ $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$

してみましょうの"離散"で。つまり、我々は、最初のサンプルを描くからして出力。ここでは示し丸め $A_{{\bf s}, \overline{\phi}}$ $A_{{\bf s}, \phi}$ $({\bf a}, b')$ $A_{{\bf s}, \phi}$ $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ $\lfloor\circ\rceil$ $\circ$ 最も近い整数値に、我々が見ることができるようにとして。 $({\bf a}, b)$ $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$

標準的な設定では、我々は、誤差配分取るガウスします。いずれかのために、上に1次元のガウス確率分布の密度関数で与えられる。我々は、書き込みの離散化のための略記として $\phi$ $\alpha > 0$ $\mathbb{R}$ $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$ $A_{{\bf s}, \alpha}$ $A_{{\bf s}, D_\alpha}$

LWEの定義：

で検索バージョン 我々が与えられるからのサンプル我々は"うるさい"線形方程式（注として表示することができ、：）： $LWE_{n, q, \alpha}$ $N = poly(n)$ $A_{{\bf s}, \alpha}$ ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⟨ a_{1}, s ⟩ \approx_{χ} b_{1} \mod q

$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$

⋮

$\vdots$

⟨ a_{N}, s ⟩ \approx_{χ} b_{N} \mod q

$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$

ここで、各方程式の誤差は、幅（中心にある）離散ガウスから独立して描画されます。私たちの目標はを回復することです。（エラーがなければ、ガウスの消去法でこれを解決できますが、このエラーが存在すると、ガウスの消去法は劇的に失敗します。） $\alpha q$ ${\bf s}$

で決定バージョン 、我々は、Oracleへのアクセス権が与えられ戻りサンプルこと照会します。サンプルはすべてまたは均一分布いずれかからされることが約束されています。私たちの目標は、どちらがそうであるかを区別することです。 $DLWE_{n, q, \alpha}$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

場合、どちらの問題もと考えられています。 $hard$ $\alpha q > 2\sqrt n$

複雑性理論への接続：

LWEがGapSVPインスタンスのデュアルラティスでの境界距離デコーディング（BDD）問題の解決に対応することは知られています（[1]、[2]を参照）。LWEの多項式時間アルゴリズムは、多項式時間アルゴリズムを意味して、SIVPやSVPなどの特定の格子問題を内で近似します。ここで、は小さな多項式因子です（たとえば）。 $\tilde O(n/\alpha)$ $1/\alpha$ $n^2$

現在のアルゴリズムの制限

場合ため厳密に小さい1/2より、アローラおよびGe [3]はLWE用準指数時間アルゴリズムを与えます。ガウス分布のよく知られた特性から、この小さな誤差項は、指数関数的に低い確率を除いて、「構造化ノイズ」設定に適合します。この設定では直感的に、1つのサンプルを受け取るたびに、一定のフラクションにエラーが含まれていないという約束のあるサンプルのブロックを受け取ります。彼らはこの観察を使用して問題を「線形化」し、エラー空間を列挙します。 $\alpha q \le n^\epsilon$ $\epsilon$ $m$

$\underline{\bf Question}$

代わりに、オラクルのへのアクセス権が与えられているとします。照会されると、最初にを照会してサンプルを取得します。もしから引き出された、次いで戻りサンプルここで、はエラー項の「方向」（または値の「符号」）を表します。場合ランダムに描画し、その後戻ります $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ $d$ $\pm$ $({\bf a}, b)$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ 。（あるいは、がランダムに一様に描かれているときに、ビットが逆に選択された場合を考えることができます。） $d$ $b$

ましょうその今を除いて、以前のようになる十分に大きな定数のために、と言います。（これは、各方程式の絶対誤差が影響を受けないようにするためです。）以前と同様に、符号付き学習（LWSE）の問題およびを定義します。これで、各エラー項の記号について追加のアドバイスがあります。 $n, q, \alpha$ $\alpha q > c\sqrt n$ $c$ $LWSE_{n, q, \alpha}$ $DLWSE_{n, q, \alpha}$

LWSEのどちらのバージョンも、LWEのバージョンよりもはるかに簡単ですか？

例えば

1. LWSEのサブ指数時間アルゴリズムはありますか？

2.たとえば線形計画法に基づく多項式時間アルゴリズムはどうですか？

上記の議論に加えて、私の動機は、LWEのアルゴリズムオプション（現在、選択できる選択肢が比較的少ない）に興味があることです。特に、問題に対して適切なアルゴリズムを提供することが知られている唯一の制限は、エラー項の大きさに関連しています。ここでは、マグニチュードは同じままですが、各方程式のエラーの範囲は特定の方法で「単調」になりました。（最後のコメント：私は、文献に現れる問題のこの定式化に気づいていません。オリジナルのようです。）

参照：

[1] Regev、Oded。JACM 2009（当初はSTOC 2005）の「格子、エラーを伴う学習、ランダム線形コード、および暗号化について」（PDF）

[2] Regev、Oded。「The Learning with Errors Problem」、CCC 2010での招待調査（PDF）

[3]アローラ、サンジーブ、ゲ、ロン。「エラーの存在下で学習するための新しいアルゴリズム」、ICALP 2011（PDF）

— ダニエル・アポン
ソース

（すごい！3年が経過した後、これは簡単に答えられるようになりました。おかしいです！-ダニエル）

（この「（署名）エラーと学習」LWSE（3年前）私が上記の発明-と-述べたように）問題は、自明のエラー（と拡張学習から減少しeLWE最初の仕事のBi-否認公開に導入された）問題-O'Neill 、Peikert、WatersによるCRYPTO 2011の鍵暗号化。

eLWEの問題は、「標準」と同様に定義されるLWE（すなわち[ Regev2005識別器は、さらに、LWEサンプルの誤差ベクトルの『ヒント』を与えられている（効率的な）分布を除いて、]）の形で、（ノイズの可能性がある）任意のベクトル持つ内積。（アプリケーションでは、多くの場合、は一部の暗号システムの復号鍵ベクトルです。） $\vec{x}$ $\vec{z}$ $\vec{z}$

正式には、問題は次のように説明されています。 $\mathsf{eLWE}_{n,m,q,\chi,\beta}$

整数、および上の誤差分布場合、エラーのある拡張学習は、次の分布のペアを区別することです：ここで、および、および $q = q(n) \ge 2$ $\chi = \chi(n)$ $\mathbb{Z}_q$

{A, \vec{b} = A^{T} \vec{s} + \vec{x}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},

$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ ${A, \vec{u}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},$ $\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ $x'\leftarrow\mathcal{D}_{\beta q}$ $\mathcal{D}_\alpha$ 幅がの（1次元）離散ガウス分布です。 $\alpha$

ことを確認することは容易であるeLWEののキャプチャが「精神」LWSE正式な減少があまりない追加の労力で示すことができるが、。

拡張LWE問題を理解するための主なフォローアップのアイデアは、作業中に作成されます。

Alperin-SheriffとPeikertによるアイデンティティベースの暗号化のための循環およびKDMセキュリティ
Brakerski、Langlois、Pikekert、Regev、およびStehleによるエラーのある学習の古典的な困難さ

秘密鍵がかバイナリであるかに応じて（およびその他のさまざまなパラメーター選択の性質）、最初または2番目の論文の簡約を使用して、最終的にから量子的または古典的に簡約できます近似係数でにLWSE。 $\mathbb{Z}_q$ $\mathsf{GapSVP}_\alpha$ $\alpha \ge \Omega(n^{1.5})$

— ダニエル・アポン
ソース

PSまたは1つのフレーズ「LWE is Robust」、またはこの精神を最もよく表す

— Daniel

PPS今、主な回答の本文から適切な距離...ここに、エラーのある拡張学習の理解を「拡張」する最近の作業があります：eprint.iacr.org/2015/993.pdf

— Daniel