超级会员免费看
二进制LWE问题的格解码攻击新方法
1. LWE误差与模约简
在学习带误差(LWE)问题中,误差通常从标准差至多为 $2\sqrt{n}$ 的离散高斯分布中选取,所以误差向量的范数 $|e|$ 通常为 $O(\sqrt{mn})$。模约简(来自 $W_s$ 项)引入的额外噪声通常约为 $\frac{1}{4}\sqrt{nm}$。因此,我们能期望的最佳情况是 $q’/q \approx \frac{1}{8}$,这会使误差向量的范数缩小约 $\frac{1}{4}$(从 $2\sqrt{mn}$ 缩小到 $\frac{\sqrt{mn}}{2}$),这对LWE的格解码算法性能有一定的提升。
2. 二进制LWE的新攻击方法
- 将二进制LWE转化为ISIS并重新缩放
- 设 $(A, b)$ 是 $(n, m, q, \chi)$ - LWE实例,可丢弃一些行以减小 $m$ 的值。令 $m’ = n + m$,$A’ = (A|I_m)$ 是一个 $m \times m’$ 的矩阵,考虑ISIS实例 $b \equiv A’ \begin{pmatrix} s \ e \end{pmatrix} \pmod{q}$,其中目标短向量是 $\begin{pmatrix} s \ e \end{pmatrix}$。
- 下一步是将这个ISIS实例转化为格中的最近向量问题(CVP)。定义向量 $w = (0, b^T)^T$,显然 $A’w \equiv b \pmod{q}$。构造格 $L’ = {v \in \mathbb{Z}^{m’}: A’v \equiv 0 \pmod{q}
订阅专栏 解锁全文
扫一扫
1638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
