格密码基础（3）-SIS,LWE

最新推荐文章于 2024-01-26 10:00:00 发布

原创最新推荐文章于 2024-01-26 10:00:00 发布 · 3.6k 阅读

26 ·

CC 4.0 BY-SA版权

文章标签：

#密码学 #概率论 #安全 #经验分享

格密码专栏收录该内容

4 篇文章

订阅专栏

本文深入探讨了现代格密码系统中的两个核心问题——小整数解问题(SIS)和容错学习问题(LWE)，以及它们的环变体(R-SIS和R-LWE)。通过数学描述和实例解释了这些概念及其在密码学中的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

格密码基础（3）-SIS,LWE

这篇博文的主要内容是关于两个在现代格密码系统构造最基础的平均情况问题（SIS，LWE）以及他们的环变体（R-SIS，R-LWE）。

1.小整数解问题（SIS）

给定 $m$ 个 $a1,…,ama_1,\dots,a_m$ 随机向量， $ai∈Zqna_i\in\mathbb Z^n_q$ 。寻找一组非平凡解（简单理解：非零） $z1,…,zm∈{−1,0,1}z_1,\dots ,z_m \in\{-1,0,1\}$ ,使得 $∑i=0mziai=0∈Zqn\sum \limits_{i=0}^mz_ia_i=0\in \mathbb Z^n_q$ 。

在这里插入图片描述

假设我们不对 $z_i$ 的大小进行限制，那么问题就不是困难的。

SIS问题可以被看作是平均情况下在 $q$ 阶 $m$ 维格上的SVP问题，这个 $q$ 阶 $m$ 维格：
$L^\perp(A):=\{z\in \mathbb Z^m:Az=0 \in \mathbb Z^n_q \} \supseteq q\mathbb Z^m$
SIS问题就相当于是从格 $L⊥(A)L^\perp(A)$ 中找到一个足够短的非零向量，且A为均匀随机选择的。

还有一个非齐次版本的SIS问题， $∑i=0mziai=u∈Zqn\sum \limits_{i=0}^mz_ia_i=u\in \mathbb Z^n_q$ 。这种情况下的解空间 $Lu⊥(A)L^\perp_u(A)$ 可以用 $c+L⊥(A)c+L^\perp(A)$

来表示（ $c∈Zmc\in \mathbb Z^m$ , $c$ 并不要求短），这个版本和齐次版本的问题基本等价。

2.容错学习问题（LWE）

2.1简单理解

给出下列几个多项式：
$$
14⋅𝑠_1+15⋅𝑠_2+5⋅𝑠_3+2⋅𝑠_4≈8𝑚𝑜𝑑17\

13⋅𝑠_1+14⋅𝑠_2+14⋅𝑠_3+6⋅𝑠_4≈16𝑚𝑜𝑑17\

6⋅𝑠_1+10⋅𝑠_2+13⋅𝑠_3+1⋅𝑠_4≈3𝑚𝑜𝑑17\
\dots
$$
要求从中求出 $s_1,s_2,s_3,s_4$ 。

假如所有的“≈”都换成“=”，那么这个问题将变得十分容易，只需要简单的高斯消元就可以解决。但是因为误差的引入，所以使得高斯消元无法解决现在的问题，（即从 $A x = d$ 求解 $x$ ，变成了 $A x + e = d$ 求解 $x$ ）。

2.2 LWE

关于LWE问题主要有两个版本的定义：搜索版本和判断版本。顾名思义，搜索版本就是从给出的问题中找到答案，而判断问题则主要是考察是否有能力区分。

在给出问题定义之前，先定义一个分布：

定义2.2.1 LWE分布

对于一组秘密向量 $s∈Zqns\in\mathbb Z^n_q$ ,LWE分布为 $As,χ∈Zqn×ZqA_{s,\chi}\in \mathbb Z^n_q\times\mathbb Z_q$ 。从中随机选择一个 $a∈Zqna\in\mathbb Z^n_q$ ,选择一个向量 $e←χe\leftarrow \chi$ ，输出 $q)（a，b=<s,a>+e\mod q)$ 。

定义2.2.2 Search-LWE $n,q,χ,m_{n,q,\chi,m}$

给定 $m$ 个独立抽样$(a_i,b_i)\in\mathbb Z^n_q\times \mathbb Z_q $选自$ A_{s,\chi} $，找出随机均匀变量$ s$。

定义2.2.3 Decision-LWE $n,q,χ,m_{n,q,\chi,m}$

给定 $m$ 个独立抽样$(a_i,b_i)\in\mathbb Z^n_q\times \mathbb Z_q $，能否以不可忽略优势来分辨出每个抽样是来自 : (1)$ A_{s,\chi} $， s 是随机均匀选自$ \mathbb Z^n_q$,或者(2)均匀分布。

3.R-SIS

3.1 定义

环上的SIS变体的提出者是受到了NTRU密码方案的启发，主要增加的元素就是环R，这里的环就是NTRU中的所用的n维多项式环 $R=Z[X]/(f(X)),e.g.,f(X)=Xn−1R=\mathbb Z[X]/(f(X)),e.g.,f(X)=X^n-1$ 。

定义3.1 R-SIS $q,β,m_{q,\beta,m}$

给定 $m$ 个 $a1,…,ama_1,\dots,a_m$ 随机多项式， $ai∈Rqa_i\in R_q$ ，定义 $a→∈Rqm\stackrel{\rightarrow}{a}\in R^m_q$ 。寻找非零向量 $z→∈Rm\stackrel{\rightarrow}{z} \in R^m$ ,**且满足 $∥z→∥≤β\|\stackrel{\rightarrow}{z}\|\leq\beta$ **使得 $∑izi⋅ai=0∈Rq\sum \limits_{i}z_i \cdot a_i=0\in R_q$ ，且 $0<max⁡∥(xi)∥≤β0<\max\|(x_i)\|\leq \beta$ 。