22、对LWE密钥恢复攻击的简单分析

对LWE密钥恢复攻击的简单分析

1. 引言

学习带误差（LWE）问题近年来成为基于格的密码学中构建现代方案的核心组成部分。这类方案的安全性依赖于LWE问题的难解性，特别是LWE密码学作为后量子密码学的候选方案受到了广泛关注。

LWE问题是2005年由Regev提出的，它是学习带噪声奇偶校验（LPN）问题在大模数q下的推广。以下是LWE问题的定义：
设n为安全参数，q为素数模数参数（$r = \lfloor log_2(q) \rfloor$），$\chi$为Z上的误差分布。设$s \in Z_q^n$为一个秘密向量，其每个元素是从$Z_q^n$中均匀随机选取的。给定d个LWE样本$ (a_i, [\langle a_i, s \rangle + e_i] q) \in Z_q^n \times Z_q$，其中$a_i$从$Z_q^n$中均匀随机选取，$e_i$从$\chi$中采样。这里有两个问题：
- 决策LWE问题：判断给定的$b = (b_0, …, b {d - 1})$是从上述样本中得到（$b_i = [\langle a_i, s \rangle + e_i]_q$），还是从$Z_q^d$中均匀随机得到。
- 搜索LWE问题：从LWE样本中恢复秘密向量s。

在实际应用中，误差分布$\chi$通常采用离散高斯分布$D_{Z, \sigma}$（标准差$\sigma > 0$），此时搜索LWE问题可记为“搜索 - LWE$_{n, r, d, \sigma}$”。

LWE样本可简单重写为$(A, b)$，满足$b \equiv As + e \mod q$。LWE问题已被证明与最坏情况下的格问题一