超级会员免费看
带二元秘密的模块LWE问题的难度分析
1. 引言
在过去二十年里,基于格的密码学愈发流行,因为格为公钥密码原语提供了多种被认为困难的问题作为安全基础。格是欧几里得空间的离散子群,它带来了一些在经典和量子计算机上都被推测难以解决的计算问题。其中,最短向量问题(SVP)是核心问题之一,它要求从给定的格中找到最短的非零向量。SVP还有决策变体(GapSVP)和近似变体(GapSVPγ),后者需要判断向量的范数是小于阈值r还是大于γr(γ ≥ 1)。
不过,大多数基于格的原语的安全性基于平均情况问题,例如Regev引入的带误差学习问题(LWE)。LWE有两种变体:搜索变体要求根据形如 (a, q⁻¹⟨a, s⟩ + e) 的样本找到秘密 s ∈ Zₙq,其中 a 在 Zₙq 上均匀分布,e 是 T = R/Z 上的小误差;决策变体要求区分均匀秘密 s ∈ Zₙq 的样本和 Zₙq × T 上的均匀随机样本。误差通常从参数为 α > 0 的高斯分布 Dα 中采样。LWE 问题与著名的格问题如 GapSVPγ 相关,它从 GapSVPγ 有量子和经典的最坏情况到平均情况的归约,使其成为密码构造的有力候选。LWE 问题为从公钥加密到全同态加密、非交互零知识证明等各种密码原语开辟了道路。
尽管 LWE 提供了可证明安全的密码系统,但这些方案缺乏效率,这促使了对结构化变体的研究。这些变体通过考虑数域的整数环(R - LWE)、多项式环(P - LWE)或数域上的模块(M - LWE)来提高效率。本文聚焦于 M - LWE,它通过连接 LWE 和 R - LWE 提供了良好的安全 - 效率权衡。
设 K 是度数为 n 的数域,R 是其整数环。用 d 表示模块秩,q 表示模数
订阅专栏 解锁全文
扫一扫
805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
