基于LWE的任意环长度循环不安全性

基于（环）LWE的任意环长度循环不安全性

摘要

如果一组私钥的加密循环（Encpk1(sk2), Encpk2(sk3)…, Encpkk(sk1)）与对零的加密不可区分，则称一个公钥加密方案具有 k-circular secure。循环安全性在多种场景中具有应用，从符号协议的安全性到完全同态加密均有涉及。一个基本问题是：诸如IND‐CPA/CCA之类的标准安全概念是否蕴含 k‐循环安全性。

对于 k= 2的情况，近年来的几项工作在多种广泛研究的假设（ SXDH、决策线性、LWE）下构造了反例——即那些是CPA甚至CCA安全但不是2‐循环安全的方案。然而，对于 k> 2，唯一已知的反例基于强的 一般目的混淆假设。

在本研究中，我们基于（环）LWE构建了适用于任意k ≥ 2的 k‐循环安全性 反例。具体而言：
– 对于任意常数 k= O(1)，我们基于n维（普通）LWE构造了一个针对 poly(n)近似因子的反例；
– 对于任意 k=poly(λ)，我们基于次数为‐ n环LWE构造了一个针对至多次指数exp(nε)因子的反例。
此外，这两种方案对于 2 ≤ k′ ≤ k都是 k′‐循环不安全的。

值得注意的是，我们的环LWE构造不能立即转化为基于LWE的构造， 因为矩阵乘法不具有交换性。为了克服这一点，我们引入了一种新的“张 量积”形式的LWE变体，该变体提供了所需的交换性，并且我们证明了 它实际上等价于普通LWE。

1 引言

用于加密的经典安全定义，如语义安全[19],仅考虑攻击者自身能够生成的消息。然而在某些情况下，系统必须使用相应的公钥对攻击者未知的私钥进行加密。此类情况的典型示例包括卡梅尼施和利西扬斯卡娅的匿名凭证方案[13],证明方法

C. 佩克特——本材料基于国家科学基金会资助的职业奖CCF‐1054495和 CNS‐1606362以及阿尔弗雷德·P·斯隆基金会的支持。所表达的观点属于作者，并不 一定反映国家科学基金会或斯隆基金会的官方政策或立场。

密文c©国际密码学研究协会 2016年 M. Robshaw 和 J. Katz (编):CRYPTO 2016, 第二部分, LNCS 9815, 第659–680页，2016年。DOI: 10.1007/978‐3‐662‐53008‐5 23

本文档由 funstory.ai 的开源 PDF 翻译库 BabelDOC v0.5.10 (http://yadt.io) 翻译，本仓库正在积极的建设当中，欢迎 star 和关注。

660 N. 阿拉马蒂 和 C. 佩克特

符号化协议的计算可靠性[2],密码管理器和磁盘加密工具，以及金特里用于实 现（无界）完全同态加密的“自举”技术[16,17]。

由于这些原因，循环安全性以及更一般的密钥依赖消息（KDM）安全性在 近年来受到了广泛关注。非正式地说，如果一个加密循环（Encpk1(sk2), Encpk2 (sk3)…, Encpkk(sk1)）与对“无用”消息的加密无法区分，则该公钥密码系统 是 k‐循环安全的。KDM安全性考虑了更广泛的情形，其中敌手可指定任意函 数，并将这些函数关于私钥的取值使用任意公钥进行加密。

关于循环/KDM安全性的早期积极成果可追溯到布莱克et al.[8,13],，他们 提出了在随机预言模型下具有KDM安全性的方案。几年后，博内et al.[9]首 次在标准模型下给出了基于广泛研究的假设——决策性Diffie‐Hellman（ DDH）——并证明了其对仿射函数具有KDM安全性的密码系统。随后很快出现 了基于带误差学习（LWE）[5]和二次剩余性[10]假设的构造；针对更丰富概 念（如基于身份的加密）的构造[3]；以及“KDM放大”变换，可将函数类扩 展到远超仿射函数的范围[4,6,11,24]。

尽管取得了所有这些进展，但关于循环/KDM安全性仍有一个非常基本却尚未解决的问 题——特别是考虑到上述几乎所有系统都是specially designed以实现这一点的——即： 经典安全概念（如 IND-CPA 或 IND-CCA）是否意味着 k-循环安全性？

对于 k= 1存在平凡的反例，但对于 k ≥ 2这个问题则有趣得多，并且近年来已被 广泛研究。迄今为止， k= 2和 k> 2这两种情况之间的已知结果仍有显著差距。

情况 k= 2

在此设定下，已有一些基于广泛研究的假设得出的反例。首个反例由Acar等 [1]以及Cash等 [14],分别提出，他们各自给出了CPA安全 但不满足2‐循环安全的方案，以及CPA/CCA安全但甚至不满足弱两重循环安全 的方案。（弱循环安全性是指在存在加密循环的情况下，其他被加密消息的保 密性。）这两项工作中的CPA/CCA安全均基于非对称双线性配对群上的 SXDH假设。

最近，Bishop et al.[7]基于决策线性和LWE假设，给出了针对 k= 2的 更多反例。此外，他们引入了有用的环测试器概念，简化并模块化了反例的构 造。例如，他们展示了如何将一个k‐环测试器与任意CPA/CCA安全的密码系统 结合，以获得CPA/CCA安全但不满足 k‐循环安全的方案。（然而，他们所有的 具体环测试器都仅针对 k= 2。）

情况 k> 2

对于更大的 k值，CPA/CCA与循环安全性之间的关系多年来一 直未解。直观上，构造一个

基于（环）LWE的任意周期长度的循环不安全性 66 1

这种情况下的反例更为困难，因为加密必须在 k密文之间建立一种能够被有效 检测的关系；双线性映射使得 k= 2成为可能，但对于 k> 2似乎作用有限。实 际上，目前仅有的负面结果是科普及其合作者与马尔塞多内和奥兰迪最近的两 项并行且独立的研究工作et al.[20]，他们利用较强的混淆假设，针对任意 k构 造了CPA安全但 k‐循环不安全的加密方案。更具体地说，[20]中的反例基于任 意电路的不可区分混淆（iO）（例如，[15]中提出的候选构造），而[25]则使 用了更强的假设，即针对某类足够大的函数的虚拟黑盒（VBB）混淆。（后来， [20],的作者们[25]改进了他们的方案，使其仅依赖于iO。）此外，科普鲁et al.还表明，任何 k‐循环安全性反例都可以被一般性地转化为甚至不是弱循环安 全的反例，因为一个加密循环会隐式地泄露所有私钥。

总之，对于 k= 2，我们在一系列广泛且经过深入研究的假设下拥有循环 安全性的反例，而对于 k> 2，现有证据较弱，因为它基于更具有推测性的假 设，即安全的iO存在。特别是到目前为止，我们还没有一个在简单、合理且具 体的假设下具有安全性证明的iO候选方案。这与诸如双线性对或（环）LWE等 经过深入研究的问题形成对比，后者在某些格问题的最坏情况困难性假设下被 证明是困难的[12,22,27,28]。

1.1 贡献

我们的主要贡献是基于LWE假设和环LWE假设，针对任意 k ≥ 2的 k‐循环安全 性的反例。我们强调，这些是首个不依赖通用混淆假设的 k> 2循环安全性反 例。更具体地说，我们证明了以下两个主要定理（下文中， λ表示安全参数）：

非正式定理1 。 对于任意poly(λ)-有界的 k ≥ 2，在公共随机字符串模型中，存 在一个基于环LWE、定义在次数为-n环上的 k-环测试器，适用于 O˜(nk)O(k)近 似因子。此外，它也是一个适用于 2 ≤ k′ ≤ k的 k′-环测试器。

作为示例参数化，对于任意常数 k= O(1)，我们可获得一个基于poly(n)近 似因子的 k‐环测试器，这些近似因子据推测可提供˜ 2Ω(n)困难性。对于任意 k= poly(λ)，通过令 n=Ω ˜(λc/ε)成为 λ的一个足够大的多项式，我们可以获得一个 基于任意所需常数 ε> 0的亚指数 2n ε因子的 k‐环测试器。对于此类因子，环 LWE据推测可提供 2 ˜ Ω(n 1 − ε )≥ 2Ω(λ)困难性。

非正式定理2 。 对于任意常数 k ≥ 2，存在一个（在公共随机字符串模型中）基于普通 LWE的 k-环测试器，其维度为 n，适用于n O(k 2 )近似因子。此外，它也是一个针对 2 ≤ k′ ≤ k的 k′-环测试器。

662 北阿拉马蒂 和 C. 佩克特

我们强调，与许多基于格的密码方案不同，我们第一个定理中基于环 LWE的循环测试器并不能“机械地”转化为普通LWE，因此需要额外的思想来 证明我们的第二个定理。简而言之，这是因为环LWE问题通常定义在交换的环 上，而在普通LWE设定中，对应的n阶n矩阵环是非交换的（详见下文第1.2节）。 为了克服这一障碍，我们引入了一种新的LWE变体，称为张量积LWE，并证明 其对于相应参数等价于普通LWE。然而需要注意的是，该技术将解决方案限制 为常数（但任意） k= O（1），因为它导致密钥大小随 k指数增长。

最后，通过将我们的环测试器与基于（环）LWE的CPA/CCA安全加密方 案[18,26,28]相结合，并利用[7,20],中给出的通用转换方法，我们立即得到 了 k‐循环不安全的CPA/CCA安全密码系统，并且（在CPA安全的情况下）， 加密环甚至会泄露所有被加密的秘密密钥。

近期相关工作

在一项并行且独立的研究中，科普拉和沃特斯 [21]也基于普通LWE构造了一个任意（预先有界） k周期长度的 k环测试器；通过标准变换 可轻松适配至环LWE。与我们的方案类似，他们的构造也使用了“伸缩积”， 但具体用于检测环的方式存在显著差异——特别是，他们的构造不需要私钥在 乘法下可交换（详见下文第1.2节）。这使得两个方案在简洁性和效率特征上有 所不同。具体而言，我们的环LWE 方案中的公钥、私钥和密文均比他们方案的 环LWE版本小 Ω（n）倍，且在技术上可以说更简洁、更直接。然而，他们的 普通LWE 构造可支持任意多项式 周期长度 k= poly(λ)，而我们的普通L WE构造由于采用“张量积”形式的普通LWE以实现私钥的可交换性，导致密 钥和密文长度增加了 k= O（1）因子，因此仅限于任意常数 nk周期长度。此 外，他们的方案不使用公共随机字符串，而我们的方案需要。

1.2 技术

这里我们概述了我们的构造方法和证明技术。首先，我们简要介绍来自[7]的基 于LWE的双循环测试器。我们回顾一下，一个 k‐阶循环测试器是一种宽松形式 的加密方案，它不需要解密算法；它仅需要一个能够可靠检测 k元组密文是否 构成加密循环的高效算法。

在来自[7],的双循环测试器中，密钥是用于生成均匀随机矩阵S ∈ Z n×m q 以 及“陷门” TS的随机性，该过程使用例如[26]中的GenTrap算法。矩阵S被解 释为一个由LWE密钥构成的矩阵，而公钥则是对应于均匀随机的A ∈ Z n×m q 的 LWE实例（A,B ≈ StA）。

使用公钥（A,B）加密时，我们将消息解释为GenTrap的随机性，从而生成具 有陷门 Tˆ S 的某个S。然后我们选择

基于（环）LWE的任意环长度循环不安全性 663

一个随机短整数向量 r，令 v= Ar，并输出双组分密文c (x ← Sˆ−1[v], u= Br ≈ StAr= Stv) ∈ Zm × Zmq. 这里 x ← ˆS−1[v]表示使用陷门 TˆS来随机抽取一个关于 Sx= v的短解， 且不泄露任何关于TˆS的信息，例如使用离散高斯分布 [18]。（这在IND‐CPA安 全性的证明中被使用。）注意 x是一个短整数向量，而u是“大”的。

N现在考虑两个密钥的加密循环，它由密文c 组成 s (xi= S−1 1−i[vi], ui ≈ St ivi) 对于 i ∈{0, 1}，其中Si是由GenTrap使用第 i个私钥作为随机性生成的（秘密）矩 阵。由于xi是短向量，我们有 〈u0, x1〉= ut 0 · x1 ≈ vt 0S0 · S−1 0[v1]= vt 0 · v1= 〈v0, v1〉 〈u1, x0〉= ut 1 · x0 ≈ vt 1S1 · S−1 1[v0]= vt 1 · v0= 〈v1, v0〉. 由于内积是交换的，因此测试 〈u0,x1〉 ≈ 〈u1,x0〉(mod q) 是否成立即可检测二 阶循环。（对于普通密文，该近似关系不太可能成立，因为内积本质上是均匀 分布且独立的。）

超越二阶循环的挑战

将上述构造推广到周期长度大于二的情况会带来若干技 术挑战。其一是似乎不存在适用于三个或更多向量的内积 〈·,·〉的合适推广形式。 然而，一个有前景的想法是将v替换为具有多个列的矩阵V，同样将x替换为 X ← ˆS−1[V],ˆ，使得S ·X= V。那么对于例如一个三阶循环，如果我们能以 某种方式安排Vi= Zi ·Si，其中Zi为某矩阵，则可得到“伸缩积” Ut 0 · X1 · X2= V t 0 · S0 · S−1 0[V1] · X2 = St 0 · Zt 0 · Z1 · S1 · S−1 1[V2] = St 0 · Zt 0 · Z1 · Z2 · S2, 以及对于U1 ·X2 ·X0的情况类似。遗憾的是，我们并未发现任何方法能在加密算 法中生成Vi= Zi ·Si，因为Si是私密的（只能从第 i个私钥获得）。另一种 尝试可能是利用公钥获得一个更“类似LWE”的近似值Vi ≈ Zi ·Si，但此时 上述等式甚至无法近似成立，因为V0是“大的”，从而会过度放大误差。

我们的解决方案

基于上述尝试，我们采用了一种不同且可能更简单的方法来构建 基于LWE的循环检测器，该方法解决了这两个问题

664 N. 阿拉马蒂和C. 佩克特

上述确定的困难。我们的方法首先在环设置下最容易理解。具体来说，为 n（2的幂） 定义 R= Z[X]/(Xn+ 1)，并为足够大的模数 q定义 Rq= R/qR= Zq[X]/(Xn+ 1)。 与 [7],在我们的系统中，私钥是（环版本）GenTrap用于生成带有陷门的 行向量 a ∈ Rm q的随机性。 Ta然而，这里我们直接将 a作为公钥公钥，而不是 将其用作环LWE密钥的向量。

使用公钥a进行加密时，如[7]中所述，我们将消息解释为GenTrap的随机性， 以获得一个ˆa ∈ Rm q和陷门 Tˆa。然后，我们从环LWE误差分布中选择一个 s ∈ R， 令b ≈ s ·a ∈ Rm q（其中近似隐藏了环LWE误差），并输出密文c C← ˆa−1[b] ∈ Rm×m, 其中，ˆa−1[b]使用 Tˆa随机采样一个在 R上的短矩阵C，使得ˆa ·C= b成 立。注意，与[7],不同的是，密文c仅包含一个短矩阵——不包含任何“大”分 量，这对于环检测至关重要。

现在考虑一个由三个私钥组成的加密循环，该循环包含每个 {v1} 的密文（其中下标 算术对三取模）。 Ci ← a−1 i−1[bi], bi ≈ si · ai 其中近似成立是因为所有的 i ∈ Z3 和 {v4} 都很短。类似 地 a2 · C0 · C1 · C2= a2 · a−1 2[b0] · C1 · C2 ≈ s0 · a0 · a−1 0[b1] · C2 ≈ s0 · s1 · a1 · a−1 1[b2] ≈ s0 · s1 · s2 · a2, whe其中近似成立是因为所有的si和 Ci都很短。类似地 , a0 · C1 · C2 · C0 ≈ s1 · s2 · s0 · a0. 现在由于环 R是交换的，上述等式右边几乎完全相同，只是公钥a0,a2不 同。但这一问题很容易解决：GenTrap算法有一个版本，它以一个在 Rq上的向 量作为公共参数，并输出一个以该向量作为前缀的a。因此，我们的环测试器 只需检查上述乘积的前几项（对应于a0,a2的公共前缀）是否近似相等。更准确 地说，其差值应小于某个与我们希望检测的最大周期长度 k相关的界限；这决 定了我们对模数 q的选择。最后请注意，该测试器对于长度为 k′的周期同样有 效，其中 2 ≤ k′ ≤ k。

基于（环）LWE的任意环长度循环不安全性 665

适应普通LWE

存在一种从环LWE到普通LWE的密码系统的标准机械式转换， 该转换将每个均匀随机a ∈ Rq替换为一个均匀随机矩阵A ∈ Zn×n q ，并将每个 误差项 s ∈ R替换为一个矩阵S ∈ Zn×n，其元素独立地从LWE误差分布中抽 取。然而，当此转换应用于上述方案时，很容易发现环测试器无法正常工作， 因为误差矩阵Si在乘法下不太可能相互交换。

我们通过引入一种新的张量积技术来解决这一难题，该技术可保证交换性。 （我们相信该技术将有更多应用。）我们使用的核心事实是：平方 n维矩阵的 张量积满足混合积性质的以下特殊情况： S1 ⊗ S2=(S1 ⊗ In)·(In ⊗ S2)=(In ⊗ S2)·(S1 ⊗ In) ∈ Zn2×n2. 特别是，矩阵 S1 ⊗In 和 In ⊗S2 在乘法下可交换。（显然，上述等式可推广到 任意 k> 2 矩阵的张量积。）

我们将上述事实应用于我们的普通LWE环测试器中，具体如下：在向第 i个公钥加 密时，我们使用一个LWE秘密矩阵 S′ i= In ⊗··· ⊗ In ︸ ︷︷ ︸ i terms ⊗ Si ⊗ In ⊗··· ⊗ In ︸ ︷︷ ︸ k−i−1 terms ∈ Z nk×nk , 其中Si ∈ Zn×n的元素取自误差分布。根据上述内容，这些Si在乘法下彼此可 交换，从而可以得出伸缩积（某些元素）近似相等的结论。另外请注意，最终 的乘积中并不需要出现所有Si，因此同一个环测试器也能检测 k′‐环，适用于 2 ≤ k′ ≤ k。

为了使这一切得以实现，公钥矩阵Ai必须具有 nk行，这正是我们的构造 仅限于常数 k= O(1)的原因。当然，目前尚不明确LWE对于这种高度结构化的 秘密矩阵S′ i是否确实具有困难性。幸运的是，我们证明了该问题形式与相同误 差分布的 n维LWE是等价的，最多仅在敌手A获得的样本数量上存在一个多项 式因子的差异。已知的LWE最坏情况困难性定理本质上对样本数量不敏感，因 此归约过程在此方面的损失并不重要。

2 预备知识

对于正整数 t，我们令[t]={0,…, t−1}。主安全参数表示为 λ。

张量积

一个 m 1乘 n 1矩阵A与一个 m 2乘 n 2矩阵B（两者均定义在同一个环 R上）的张 量积（或称Kronecker积）A ⊗ B，是一个由 m 2 乘n 2 个子块构成的m1 m 2 乘n 1 n 2 分块矩阵， 其中第(i, j)个子块为 a i, j ·B，此处a i, j 表示矩阵A的第(i, j)个元素。等价地，我们可以将A⊗B

666 N. 阿拉马蒂 和 C. 佩克特

其行由[m1]×[m2]索引，列由[n1]×[n2]索引，其中((i1, i2),(j1, j2))项为ai1, j1 · bi2,j2。这对应于通过使用将(k1, k2) ∈[1] ×[2]映射到 k1 · 2+ k2 ∈[12]的 双射对行和列索引集进行“展平”后的前述定义。

我们广泛使用张量积的混合积性质，该性质表明 (A⊗ B)·(C⊗ D)=(AC)⊗(BD) 对于任意维度兼容的矩阵 A,B,C,D。特别地 (A⊗B)=(A⊗Iheight(B))·(Iwidth(A)⊗B)=(Iheight(A)⊗B)·(A⊗Iwidth(B)).

次高斯分布

为了分析我们方案中的误差增长，使用次高斯随机变量和矩阵的 概念将非常方便。我们称一个实值随机变量 X（或其分布）是参数为 s的次高 斯分布，如果对于所有 t ∈ R，其（缩放后的）矩生成函数满足1 E[exp(2πtX)] ≤(1+ negl(λ))· exp(πs2t2). 更一般地，我们说一个随机矩阵（或向量）X是参数为 s的次高斯矩阵， 如果对于所有单位向量u,v，utXv都是参数为 s的次高斯变量。由定义可立即 得出，一个维度为poly(λ)的矩阵，若其元素（或行、或列）是具有公共参数 s 的独立次高斯变量，则该矩阵本身也是参数为 s的次高斯矩阵。

矩阵X的最大奇异值，也称为谱范数，定义为 s1(X) := maxu=0‖Xu‖/‖ u‖。显然，谱范数具有次可加性和次可乘性： s1(X+Y) ≤ s1(X)+ s1(Y) 且 s1 (XY) ≤s1(X) · s1(Y)。我们使用关于次高斯矩阵的以下标准事实；参见 [29] 获取证明。

命题 1 。 对于参数为 s的次高斯矩阵X∈ R m×n，我们有s1(X) ≤ s· O( √m+√n)，成立的概率至少为 2−Ω(m+n)。

我们指出， 1+ negl(λ) 因子使得这一定义相较于标准的次高斯定义略有放松；它与[26] 中提出的 negl(λ)‐次高斯概念一致。

2.1 密码学定义

这里我们给出一些密码学定义。 k‐环测试器的定义来自[7]。

定义 1 。设 Π=(Setup,Gen,Enc)是一个公钥加密方案（省略解密算法），其 消息空间为M= Mλ。我们称Π是IND-CPA安全的，如果每个高效对手 A在 区分以下两个关于 b ∈{0, 1}的游戏时具有可忽略的（相对于 λ）优势：

1. 生成 pp ← Setup(1λ)和 (pk, sk) ← Gen(pp)。
2. 将 (pp,pk)提供给敌手A，敌手 A输出一对消息 (m0, m1) ∈M2。
3. 生成 c ← Enc(pk, mb)并将密文c c交给对手。

定义2 。设 Π=(Setup,Gen,Enc)是一个公钥加密方案（省略解密算法），其 消息空间为M= Mλ ⊇ Sλ，其中Sλ表示安全参数 λ对应的密钥空间。我们称 Π是IND-CIRC-CPA k安全的，如果以下两个游戏在计算上不可区分。

1. 生成 pp ← Setup(1λ) 和 (pki, ski) ← Gen(pp)，对每个 i ∈ Zk。
2. 在游戏0 中，令 ci ← Enc(pki, ski−1) 对于 i ∈ Zk （下标中的运算对 k取模）。在游 戏1中，令 ci ← Enc(pki,0) 对于 i ∈ Zk（其中 0 ∈ M 表示某个任意固 定消息）。
3. 输出(pp, (pki)i∈Zk, (ci)i∈Zk)。

定义3（环测试器 [7]） 。设 Γ=（设置，生成算法，加密算法，测试）是一组满 足以下条件的随机化算法元组：

– Π=(Setup,Gen,Enc)是用于消息空间M= Mλ ⊇Sλ的公钥加密方案；
– Test((pki, ci)i∈Zk)，给定一个公钥元组 pki及其对应的密文c ci，输出一位 b ∈{0, 1}。

我们说 Γ是一个 k-cycletester，如果 Π是IND-CPA安全的，并且测试器在对 抗 Π的IND-CIRC-CPA k游戏中具有非可忽略的优势。

2.2 误差学习

定义4 。对于正整数维度 n, m，模数 q，以及在 Z上的误差分布 χ，判定性LWEn,q, χ,m问题的目标是以不可忽略的优势来区分以下两组：(A;bt= stA+ et)，其中 A ← Z n×m q ，s ← χn，e← χm，以及相同维度下的均匀随机分布的（A;bt）。2

LWE的标准实例化是令 χ为一个定义在 Z上的参数为 r= 2√n的离散高 斯分布（已知其为具有参数 r的次高斯分布（参见[26]）。对于此参数化，且 对于任意多项式有界的 m，已知LWE至少与在最坏情况下量子地近似 n维格上 的某些“短向量”问题一样困难，其近似度在 O（q√n）因子内[28]。对于不 同参数化[12,27]，也存在经典归约。

2注意到s的坐标是从误差分布 χ中抽取的；如[5],所示，该形式的问题（在 m上存在 微小差异）等价于s ← Z n q 从均匀分布中随机抽取的问题。

668 N. 阿拉马蒂 和 C. 佩克特

一个标准的混合论证表明，LWE 的多密钥形式——即区分 ( A B= SA+ E) ∈ Z(n+t)×m q 来自均匀分布，其中 A ← Zn×m q ，S ← χt×n，以及 E ← χt×m，对于某些期望 的t, m= poly(n)——等价于上述单密钥版本，最多仅在区分优势上损失一个 t因子。

张量形式

在本研究中，我们依赖LWE的另一种等价形式，称之为张量形式。 令 m, t= poly(n)如上所述，并且另外令l, r= poly(n)为任意值。该问题是要区分 ( A B=(Il ⊗ S⊗ Ir)· A+ E) ∈ Zl(n+t)r×m q 来自均匀分布，其中 A ← Zlnr×m q ，S ← χt×n，以及 E ← χltr×m。

引理 1 。 LWE的张量形式在参数 n, t, m, l, r下，与相同 n, t和 M= mlr样本的多 密钥形式等价。

证明 。这种等价性只需通过适当的（高效且可逆的）重新索引即可得出。具体 而言，给定一个多密钥实例(A; B) ∈ Z(n+t)×M q ，我们将其转换为张量实例(A′; B′) ∈ Z l(n+t)r×m q ，方法如下。为方便起见，我们以标准方式通过[l]×[n]×[r] 对A′的行进行索引，B′同理。我们将A划分为 m个块，每个块由维度为 n的 lr 列组成。我们任意地用[l]×[r]对这些列进行索引，并以明显的方式将它们排列 成一个由[l]×[n]×[r]索引的单列；矩阵A′由这些 m列构成。类似地，我们通 过对B中每组维度为 t的 lr列进行分组，构造出B′，形成一个由[l]×[t]×[r]索引 的单列向量。显然，如果(A; B)是均匀随机的，则(A′; B′)也是均匀随机的。此 外，根据构造方式以及矩阵乘法的定义，可以验证：若B = SA + E 对某个S, E成立，则B′=(Il ⊗ S ⊗ Ir) · A′+ E′，其中E′的获取方式与B′从B中获取的方 式完全相同。因此，该变换是从多密钥形式到张量形式的紧归约。此外，该变 换是可高效逆向的，从而给出了反方向的归约。

2.3 格陷门

我们回顾一下关于密码学格的陷门和原像采样的某些标准事实；详细信息请参 见[18,26]。存在高效的随机化算法GenTrap、SampleDom和SamplePre，具有 以下性质。对于任意正整数 n, q，存在合适的 m¯< m= O(n log q)，使得以下 成立（参数 n, q, m¯, m是所有算法的隐式输入）：

基于（环）LWE 的任意环长度循环不安全性 669

– GenTrap( ¯A; R) 接受某个 ¯A ∈ Zn× m¯ q 和来自特定 ¯ 空间 R 的随机比特 R ∈R，并输出一个矩阵 A ∈ Zn×m q ，其前 m¯ 列为 A，且 R作为其“陷门”。
– SampleDom() 输出一个随机的 x ∈ Zm，该值从某个分布 D 中抽取。为简洁 起见，我们通常写作 x ← D。
– 对于任何如上所述定义的 ¯A ∈ Zn× m¯ q 和 R ∈ R，以及任意 u ∈ Zn q,¯SamplePre(A, R, u) 输出一个随机的 x ∈ Zm （从某个分布中抽取），使得 Ax =u。当 A 和 R 在上下文中明确时，为简洁 起见，我们通常写作 A−1[u]，因为它满足恒等式 A ·A−1[u]=u。（需要强调 的是，A−1[·] 表示一个随机化算法，而非形式上的矩阵逆。）

我们将上述记法按列扩展到矩阵，即 D是 Zm×上的分布，其各列独立地从 D中选取，且A−1[B] ∈ Zm×对于B ∈ Zn× q表示将A−1独立地应用于B的每一列。

命题2 。上述算法满足以下统计特性：

1. 对于均匀随机的A ← Zn×m q和x ← D，(A, Ax) 的分布与均匀分布具有可忽略 的统计距离。¯ ¯
2. 对于均匀随 机的A和R ← R，A = GenTrap(A, R) 的分布与均匀分布具有可忽略的统计距 离。¯ ¯
3. 对于任意A和任意R ∈ R定义A = GenTrap(A; R)，以下两个实验具有可忽略的统计距离：(a) 选择x ← D并输出(x, u = Ax)；(b) 选择均匀随机的u ← Z n q，令x ←A−1[u], 并输出(x, u)。
4. 对于由GenTrap（在随机性R下）输出的任意A，以及任意 u ∈ Z n q，A −1[u]的分布是参数为 O˜(m) = O˜(nlog q)的次高斯分布。

备注1 。我们强调，命题2的第3条适用于陷门R的任意（可能由对手选择的）选 择，这在我们的应用中是必需的，因为陷门确实将由敌手A提供。幸运的是， [26]中描述的GenTrap和SamplePre算法可以很容易地实例化以满足此性质。 简而言之，GenTrap生成一个短随机矩阵R ∈ R作为陷门，而SamplePre算法 对任何超过a˜certain Θ(s1(R))界限的高斯参数均有效。通过将 R定义为适当 维度的所有二元矩阵的集合，我们确保对每个R ∈ R都有s1(R) ≤ m，同时通 过剩余哈希引理满足第2条。

2.4 环设置

本文介绍了环、其几何性质以及环LWE的一些背景知识；然后回顾了环设置中 陷门的相关概念。更多细节请参见[22,26]。（这些内容仅用于第4节中的环 LWE构造，可安全跳过。）

为简便起见，我们在 n 为 2 的幂时的第 2n 个分圆环 R:= Z[X]/(
Xn+ 1) 中进行运算。（然而，我们的所有结果均可推广至任意 利用来自[23]的技术对分圆域进行处理。典范嵌入 σ： R →Cn将 r ∈ R映射 到(σi(r))i∈Z 2∗n，其中 σi(r)= r(ωi)，且 ω= exp(π√−1/n) ∈ C是单位复数的第 2n个本原单位根。（注意，此定义不依赖于 Z[X]‐代表元的选择，即对于 r ∈ Z[X]/(Xn+ 1) 的选取是无关的，因此称其为“典范”的。） 我们使用典范嵌入为 R赋予几何结构。具体而言，对于环元素 r ∈ R，我 们定义 ‖r‖:= ‖σ(r)‖以及 ‖r‖∞:= ‖σ(r)‖∞。我们将范数记号扩展到向量和矩 阵，即对任意在 R上的向量x定义 ‖x‖=(∑i‖xi‖2)1/2，并对任意在 R上的向量或矩阵X定义 ‖X‖∞= max‖xi,j‖∞。最后，我们定义谱范数为X的 s1(X):= sup u=0 ‖Xu‖/‖u‖, 其中上确界取遍 R 上所有适当维度的非零向量。显然，谱范数具有次可加性和 次可乘性：s1(X+Y) ≤ s1(X)+ s1(Y) 和 s1(XY) ≤ s1(X) · s1(Y)。以下标准 结论描述了谱范数与 ∞范数之间的关系。

命题3 . 对于任意矩阵 E∈ Rl×k我们有 s1(E) ≤√lk · ‖E‖∞ .

以下标准事实通过环元素 r ∈ R的范数来限定其系数。

命题4 . 对于环元素 r ∈ R，令 r= ∑n−1 j=0 rj · Xj ∈ Z[X]（对 rj ∈ Z）表示 其关于 R 的标准幂基的典范表示。则对每个 j 都有 rj ≤‖r‖∞。

环LWE

对于整数 q，定义 Rq:= R/qR= Zq[X]/(Xn+ 1)。

定义5 . 设 χ 是定义在 R 上的误差分布。决策-RLWER,q,χ,m问题是指以不可忽 略的优势区分以下两组样本：(a;b= s· a+e) ∈ R m q其中 a ← Rm q, s ← χ, e ← χm，以及相同维度的均匀随机 uniformly random(a; b)。

对于适当的参数，决策‐RLWE问题（量子地）至少与q · poly(n, m）‐近似最短 向量问题在任意理想格上一样困难，即在最坏情况下 R，[22]。该定理适用的 标准误差分布是定义在 R上的足够宽的离散高斯分布 χ，对于该分布 Pr e←χ [‖e‖∞> nc ]= negl(n) (1) 对于某个通用常数 c> 1。

陷门

与普通设置类似，存在高效的随机化算法 GenTrap、SampleDom 和 SamplePre，具有以下性质。对于˜任意模数 q，存在合适的 m¯< m= O (log q)，使得以下条件成立（参数 R, q, m¯, m均为所有算法的隐式输入）：

从（环）LWE实现任意周期长度的循环不安全性 671

– GenTrap(¯a; R) 接受某个 ¯a ∈ R m¯ q 和来自特定空间 R 的随机 R，并输出 一个向量 a ∈ Rm q，其前 m¯ 个分量为 ¯a，且 R 是该向量的“陷门”。
– SampleDom() 输出一个随机列向量xt ∈ Rm，该向量从某个分布 D 中抽取。为简洁起见， 我们通常写作 xt ← D。
– 对于任意 ¯a ∈ R¯ m 输出一个随机列向量 xt ∈ Rm（从某个分布中抽取），使得 a ·xt= u。 为简洁起见，我们通常写作 a−1[u]，因为它满足恒等式 a · a−1[u]= u。此外， Dl 是 Rm×l 上的分布，其中各列从 D 中独立抽取。记号 a−1[v] ∈ Rm×l q ，其 中 v ∈ Rl q，表示将 a−1 独立地应用于 v 的每个分量。

以下命题通过将“普通”陷门构造（例如，[26]）标准地适配到环设置， 并结合[23]中给出的环的正则性引理得出。

命题5 . 上述算法满足以下统计特性：

1. 对于均匀随机的 a ← Rm q ∈ Rm+1 t ← D , · t 和 x， (a a x) 的分布与均匀分布具有可忽略的统计距离。
2. 对于均匀随机的 ¯a 和 R ← R，a = GenTrap(¯a, R) 的分布与均匀分布具有可忽略的统计距离。
3. 对于任 意 ¯a 和任意定义了 = GenTrap(¯a; R) 的 R ∈R，以下两个实验具有可忽略的统 计距离：(a) 选择 xt ← D 并输出 (x u= a · xt)；(b) 选择均匀随机的 u ← Rq，令 xt ← a−1[u]，并输出 (x u)。
4. 存在一个普适常数 c> 1，使得对于由 GenTrap （在随机性 R 下）输出的任意 a，以及任意 u ∈ Rq， Pr[‖a−1[u]‖∞> nc]= negl(n).

3 基于LWE的构造

在本节中，我们针对任意常数 k ≥ 2 构造一个基于（普通）LWE 困难性（适 当参数化）的 IND‐CPA 安全的 k‐环测试器。该方案涉及以下参数：

– N:= nk 对于正整数 n、整数模数 q 以及定义在 Z 上的误差分布 χ， 其中 n、 q、 χ 是底层 LWE 问题的参数。为明确起见，我们采用标准的 LWE 误差分布 χ，其具有参数 O 的次高斯分布（√n）。
¯ ¯– M< M= O(Nlog q)，其中 M、 M 是 GenTrap 在给定 N‐乘‐M 输入时关联的维度。– 密钥和消息空间均为 GenTrap 的随机性/陷门空间 R¯，当输入为 N‐乘‐M 时。

672 N. 阿拉马蒂和C. 佩克特

最后，每个密钥都唯一且任意地由某个 i ∈ Zk={0,…, k −1}标识，并提供 给密钥生成算法。测试器定义如下。

– Setup()：输出一个均匀随机的 ¯A ← ZN× M¯ q .¯ ¯
– Gen(i,A)：令 Ai= GenTrap(A; Ri)，其中 Ri ← R，并输出 (i, Ai) 作为公钥， Ri作为私钥的陷门。¯ ¯ 根据命题2可知，Ai的前 M列是 A，且在 A 和 Ri 的随机选择下，Ai¯与均匀分布的差距可忽略。¯
– Enc((i, Ai), R ∈ R)：令 A = GenTrap(A; R)，使得 R 是 A 的陷门。选择一个 LWE密钥 矩阵 Si ← χn×n 和一个误差矩阵 Ei ← χN×M，并输出密文矩阵 C← A−1[S′ i · Ai+ Ei] ∈ ZM×M, where S′ i=(Ini ⊗ Si ⊗ Ink−i−1) ∈ ZN×N. （使用陷门R执行A−1操作。）
– 测试((敌手Ai, Ci)i∈Zk)：给定公钥矩阵 Ai 和密文 Ci，检查是否 (Ak−1·C0·C1 ··· Ck−1−A0·C1 ··· Ck−1·C0)·¯I ∈(−q/4, q/4)N× M¯ (模 q)， (2) 其中 ¯I=( I M¯ 0) ∈ Z M× M¯ 对于每个 i 成立，我们在下文的分析中使用该条件。

备注2 . 在公式(2)中，差值中出现的乘积选择并非特殊；任意两个不同取值 Ai· Ci+1·Ci+2 ··· Ci对应的乘积之间的差值同样适用。

备注3 . 加密循环中密文的数量和顺序也并非十分重要。测试算法可自然地推广 到适用于任意 k′个公钥以及由有序集 S ⊆ Zk索引的密文，其中 2 ≤ k′ ≤ k。 我们只需对两个不同的 i取两个乘积 Ai ·∏j∈S Cj的差值，其中索引 j按 S的 顺序循环排列，并以 j= i结束。

在本节的其余部分，我们将证明以下定理：

定理1 . 对于任意常数 k ≥ 2 和足够大的 q= O˜(n3(k 2 −1 ) /2)，假设判定性L WEn,q,χ,M·n k − 1的困难性成立，则上述方案是针对 2 ≤ k′ ≤ k 的 k′-环测试器。

回想一下，根据定理1的LWE实例化至少与（量子地）在最坏情况下近似 n维格上的某些格问题一样困难，其近似因子为 O˜(n 3k 2 /2−1)=poly(n)，这被 推测在 n上是指数级困难的。

在第3.1节中，我们证明了IND‐CPA安全性；在第3.2节中，我们证明了Test在加密循环 上几乎总是接受；在第3.3节中，我们证明了Test在非循环上几乎从不接受。这些共同证明了 定理1。

3.1 安全性

引理2 . 元组(Setup,Gen,Enc)在定理1所给出的LWE假设下是IND-CPA安全的。

证明 。 我们考虑以下一系列混合实验，表明相邻的混合实验是不可区分的（无 论是计算上还是统计上），并且最后一个实验不依赖于对手对挑战消息的选择， 从而证明了该结论。为简便起见，假设敌手A在IND‐CPA游戏开始时指定了目 标身份 i ∈ Zk。（该证明可轻松扩展到敌手A在看到所有公钥后自适应选择 i 的情况。）

混合实验1 ： 在此，公钥中的矩阵 Ai ∈ ZN×M q是均匀随机生成的，而不是通过 GenTrap生成。根据命题 2的第2项，该实验与真实的IND‐CPA游戏统计上不可区分。

混合实验2 ：此处输入到 A−1 操作的矩阵 Bi ∈ ZN×M q 是从均匀分布中随机选 取的，而不是像之前的混合实验那样为 Bi= S′ i · Ai+Ei。 使用LWE的张量形式，根据引理1 ，它等价于定理陈述中出现的形式，一个 直接的归约表明该实验与前一个实验是计算上不可区分的。具体而言，给定 一个LWE的张量形式实例（A′；B′），归约设置 Ai= A′，Bi= B′，最后 令 Ci ←A −1[Bi]，并利用对手的挑战消息定义 敌手A 并以通常方式计算敌 手A−1[·]操作（使用SamplePre算法）。

混合实验3 ：这里矩阵Ci从 DM中抽取，即每一列独立地从 D中抽取，而不是 通过调用由对手A的挑战消息定义的矩阵A的A−1[Bi]得到。

我们声称，对于任意选择的敌手A和挑战消息，该实验与前一个实验之 间的统计距离是可忽略的。这直接由命题2的第3条得出，应用于Ui和Ci的 每一对应列对。

显然，最终的混合实验不依赖于对手A对挑战消息的选择，因此证明完成。

3.2 测试一个加密循环

引理3 。对于足够大的 q= O˜(n3(k 2 −1 ) /2)，当给定一个加密 k-循环时，即在定义 2的游戏0中，测试算法以除可忽略的概率外的所有情况被接受。

备注4 。 该引理及其证明可轻松推广至测试 被给予一个k′‐循环，如备注 style id=‘12’>3中所述的情况。这是因为矩阵 S′ i 在乘法下相互可交换，且误差 项的数量和大小并未增加。

674 N. 阿拉马蒂和C. 佩克特

¯证明。我们有((i,敌手Ai), Ri) ← Gen(i,敌手A) 以及对于每个i ∈ Zk，Ci ← Enc((i,敌 手Ai), Ri−1)，其中下标中的所有运算均对 k取模。注意到在使用加密算法对私钥Ri−1进行加 密以生成Ci时，加密算法会对A−1执行操作，其中A=敌手Ai−1。因此我们有 Ci ← A−1 i−1[S′i · Ai+ Ei] ∈ ZM×M where S′ i=(Ini ⊗ Si ⊗ Ink−i−1) =(In ⊗··· ⊗ In ︸ ︷︷ ︸ i terms ⊗ Si ⊗ In ⊗··· ⊗ In ︸ ︷︷ ︸ k−i−1 terms ) ∈ ZN×N 对于某些误差矩阵 Si,Ei。注意到由于每个 Si 在其张量积中处于不同的位置， 混合积性质意味着矩阵 S′ i 在乘法下相互可交换，即 S′ i · S′ j= S′ j · S′ i. 现在观察到，在公式(2)中，差值的被减数（左侧项）展开为 L:= Ak−1 · A−1 k−1[S′ 0 · A0+ E0] · C1 ··· Ck−1 ≈ S′ 0 · A0 · A−1 0[S′ 1 · A1+ E1] · C2 ··· Ck−1 (error E0 · C1 ··· Ck−1) ≈ S′ 0 · S′ 1 · A1 · A−1 1[S′ 2 · A2+ E2] · C3 ··· Ck−1 (error S′ 0 · E1 · C2 ··· Ck−1) ··· ≈ S′ 0 ··· S′ k−1 · Ak−1. (error S′ 0 ··· S′ k−2 · Ek−1) （我们将在下方分析误差项。）类似地，差值中的被减数（右侧项）也以相同方式 展开 R:= A0 · C1 ··· Ck−1 · C0 ≈ S′ 1 ··· S′ k−1 · S′ 0 · A0 = S′ 0 · S′ 1 ··· S′ k−1 · A0, 误差项与之前展开式中的相同，但所有下标均递增（模 k）。最后，注意到 (L−R)· ¯I ≈ S′ 0 ··· S′ k−1 ·(Ak−1 − A0)· ¯I= 0, ¯其中近似值包含了上述两个展开式中的误差（乘以I）。 仍需分析上述展开式中的误差项i和Si由从 χ中独立抽取的元素构成，服从 参数为 O(M) 的次高斯分布。类似地，根据命题2的第4项，每个i Ci的列是独 立的次高斯列，参数为 O(M)。因此，根据命题1， s1(Ei)= O(√nM), s1(S ′ i) = s1(Si)= O(n), s1(Ci)= O˜(M 3/2 ) 基于（环）LWE的任意环长度循环不安全性 675 除了以可忽略的概率外，上述对L,R的分析中，每个误差矩阵的谱范数——从而 每个元素的幅值——均被 O˜(n1/2 · M3k/2−1)所限制。选取足够大的q= O˜( n3(k2−1)/2)可确保误差矩阵之和中的每个元素的幅值小于 q/4，因此测试器接受。

3.3 测试一个非循环

引理4 。在定理1的LWE假设下，当给定的所有密文均为加密零时，即在定义2 的游戏1中，测试算法仅以可忽略的概率接受。

证明 。 我们考虑以下生成测试器输入的混合实验序列。我们证明了连续的混合 实验是不可区分的（无论是计算上还是统计上），这意味着测试器在连续混合 实验中的接受概率差异可以忽略不计。此外，我们证明了在最后一个混合实验 中其接受概率是指数级小的，从而证明了该结论。

混合实验1 ：此处公钥Ai是均匀随机且独立的¯（模去它们共同前缀A），且每 个密文Ci均独立地从 DM中采样得到。 在引理2的证明之后，该实验在计算上与真实实验不可区分（基于LWE假设）， 因此测试器在两个实验中的接受概率仅有可忽略的差异。

混合实验2、3、⋯⋯、 k+ 1 ：在混合实验2中，在环测试算法（公式(2)）中，我 们将Ak−1 ·C0替换为一个均匀随机的A′ 0，并类似地将A0 ·C1替换为一个均匀随机的 A′ 1（两者均与其他所有内容独立）。混合实验3至 k+ 1以类似方式定义，使得最 终的环测试¯算法仅测试(A′ k−1 − A′ 0) · I ∈(−q/4, q/4) (mod q)是否成立，其中A ′ k−1、A′ 0为均匀随机且独立的。显然，该测试接受的概率被可忽略量 2−N· M¯ ≤ 2−n所 限制。

我们声称，每一个混合实验与前一个之间的统计距离都是可忽略的。对于混 合实验2，这是由命题2的第1项得出的：因为敌手Ak−1、敌手A0是均匀随机 的，且C0,和C1是独立的，因此敌手Ak−1 ·C0以及敌手A0 ·C1与均匀随机且 独立的情况仅有可忽略的距离。（这里我们用到了 k ≥ 2这一事实。）同样 的论证适用于后续的混合实验。证明完毕。

4 环LWE构造

在本节中，我们提出了一个 k‐环测试器，其在适当参数化的环LWE（RLWE）的困难 性假设下是IND‐CPA安全的。该构造的工作方式与第4节中普通LWE的构造非常相似。 然而，它并不受限于

676 N. 阿拉马蒂和C. 佩克特

到常数 k= O(1)，但可以实例化为任意 k= poly(λ)，因为它不使用张量技术。 该方案涉及以下参数：

– 用于2的幂次 n的环 R= Z[X]/Xn+ 1，标准环LWE误差分布 χ定义在 R上， 以及一个整数模数 q（将在下文实例化）；˜– m¯< m= O(log q)，其中 m¯, m 是与基于环的GenTrap在参数 R, q下的维度相关联的参数；– 密钥和消息空间 均为 R，即基于环的GenTrap的随机性/陷门空间。

构造如下。

– Setup()：输出一个均匀随机的 ¯a ∈ R m¯ q。
– Gen(¯a)：令 a ← GenTrap(¯a;R)，其中 R ← R。输出 a 作为公钥，陷门 R 作为私钥。
– Enc(a,R ∈ R)：令 v ← GenTrap(¯a;R)，其中 v ∈ Rm q。选择 s ← χ 和 e ← χm。输出密文c C← v−1[s· a+ e] ∈ R m×m, 其中v−1操作是使用陷门R执行的。
– Test((ai, Ci)i∈Zk): 给定公钥 ai 和密文 Ci，检查是否 (ak−1 · C0 · C1 ··· Ck−1 − a0 · C1 ··· Ck−1 · C0)· ¯I ∈ Q m¯(mod q), (3) 其中 ¯I=( I m¯ 0) ∈ Rm× m¯，且 Q ⊆ R 是指所有系数（相对于标准幂基） 均位于 (−q/4, q/4) 内的环元素的集合。

在本节的其余部分，我们将证明以下定理：

定理2 . 对于任意 k=poly(λ)和足够大的 q= O˜(nk)O(k)，在假设决策-RLWER,q,χ,m 困难性的前提下，上述方案是针对 2 ≤ k′ ≤ k的 k′-环测试器。

回想一下，根据定理2的环LWE实例化至少与在最坏情况下量子地近似 R 中理想格上的某些格问题一样困难，其近似因子为 O˜(nk)O(k)。

引理 5 下文建立了IND‐CPA安全性。在第4.1节中，我们证明了测试在加密循环上几乎 总是通过，而在第4.2节中，我们证明了测试在非循环上几乎从不通过。这些共同证明了定理 2。

引理5 。元组(设置,生成算法,加密算法)在定理2的RLWE假设下是IND-CPA安全的。 由于篇幅限制，我们省略了证明，该证明与引理2的证明非常相似。

基于（环）LWE的任意环长度循环不安全性 677

4.1 测试一个加密循环

引理6 。对于足够大的 q= O˜(nk)O(k)，当给定一个加密 k-环时，测试算法在游 戏0（定义2）中以除可忽略的概率之外的所有情况下均接受。

证明 . 对于输入 (ai, Ci)i∈Zk，我们有 Ci ← a−1 i−1[si · ai+ ei] 存在某些 si ← χ和 ei ← χm。此外，根据 R的交换性，我们有sisj= sj si对 任意 i, j ∈ Zk成立。现在，对于等式(3)的左边项，我们有 l:= ak−1 · a−1 k−1[s0 · a0+ e0] · C1 ··· Ck−1 ≈ s0 · a0 · a−1 0[s1 · a1+ e1] · C2 ··· Ck−1 (error e0 · C1 ··· Ck−1) ≈ s0 · s1 · a1 · a−1 1[s2 · a2+ e2] · C3 ··· Ck−1 (error s0 · e1 · C2 ··· Ck−1) ··· ≈ s0 ··· sk−1 · ak−1. (error s0 ··· sk−2 · ek−1) （我们将在下文分析误差项。）类似地，对于等式(3)的右边项，我们有 r:= a0 · C1 ··· Ck−1 · C0 ≈ s1 ··· sk−1 · s0 · a0 = s0 ··· sk−1 · a0, 其误差项与前一次展开中的相同，但所有下标均递增（模 k）。因此， (l− r)· ¯I ≈ s0 ··· sk−1 ·(ak−1 − a0)· ¯I= 0, ¯其中近似值包含了l和r展开后的误差，并且我们利用了对于每个 i ∈ Zk都有ai ·I= ¯a 这一事实。 接下来需要分析误差项。回顾一下，每个ei由来自 χ的独立元素构成。此 外，每个秘密 si来自 χ。最后，每个密文Ci ∈ R m×m以某种方式选取为a−1[·]。 因此根据公式(1)，命题3以及命题5的第4项，我们有（除可忽略的概率外） s1(si) ≤ nc, s1(ei) ≤√m· nc, s1(Ci) ≤ m· nc 对于某个通用常数 c> 1。令e表示上述关于l,r的近似中所有误差项之和。我们有 ‖e‖∞ ≤ s1(e) ≤ 2k · m k−1 · n ck . 因为 m= O˜（log q），对于足够大的 q= O˜（nk）O(k)，命题4保证了e的 每个元素的每个系数的幅值都小于 q/4，因此e ∈ Q m且Test接受，符合预期。

678 N. 阿拉马蒂 andC. 佩克特

4.2 测试非循环

引理 7 .在定理2所使用的相同RLWE假设下，对于 k ≥ 2所有加密零的密文， Test算法仅以可忽略的概率接受，即在定义2的游戏1中。

证明 . 我们考虑如下混合序列。我们证明相邻的混合实验是不可区分的，无论是 计算意义上的还是统计意义上的。因此，测试器在连续混合实验中的接受概率 差异仅为一个可忽略量。

混合实验1 : 在此混合实验中，公钥是均匀随机且独立的（模去它们共同的前缀 ¯a），并且每个密文独立地从 Dm中采样。根据引理 5的证明，此混合实验与 真实游戏在计算上不可区分。

混合实验2, 3, …, k+ 1 :在第二个混合实验中，在等式(3)中，我们将 ak−1 · C0 替换为一个均匀随机的a′ 0，并将a0 ·C1替换为一个均匀随机的a′ 1。我们类似地 定义混合实验3到 k+ 1。因此，最终算法测试 (a′ k−1 − a′ 0) · ¯I ∈ Qm¯是否成立， 其中差值中的两项均为均匀随机且独立。因此，接受概率被限制在 2−n。 这些混合模型在统计上与前一个的不可区分性遵循命题第1项5。因此，该算 法会以高概率拒绝非循环情况，证明完成。