9、改进密钥恢复攻击与轻量级分组密码 WARP 的线性密码分析

改进密钥恢复攻击与轻量级分组密码 WARP 的线性密码分析

1. 学习误差问题（LWE）的攻击方法

在密码学领域，学习误差问题（LWE）是一个重要的研究方向，针对 LWE 有多种攻击方法。

1.1 Odlyzko 的中间相遇攻击

对于三元 LWE 实例 $(A, b = As + e)$，Odlyzko 将 $s$ 拆分为 $s = (s_1, s_2) \in T^{n/2}(w/4) \times T^{n/2}(w/4)$，矩阵 $A$ 相应拆分为 $A = (A_1, A_2)$。由于 $b = As + e \mod q$，可得 $A_1s_1 = b - A_2s_2 + e \mod q$，其中 $e \in {-1, 0, 1}^n$，这意味着对于正确的 $s = (s_1, s_2)$，$A_1s_1$ 接近 $b - A_2s_2$。

以下是 Odlyzko 的中间相遇攻击算法：

算法 3. Odlyzko 的中间相遇攻击
输入: LWE 密钥 $(A, b)$，$s$ 的汉明重量 $\omega$
输出: $s \in T^n(w/2)$ 使得 $e = b - As \mod q \in T^n$
1: 对于所有 $s_1 \in T^{n/2}(w/4)$ 执行
2:     计算 $\ell(A_1s_1)$ 并将 $(s_1, \ell(A_1s_1))$ 存储在列表 $L_1$ 中
3: 结束循环
4: 对于所有 $s_2 \in T^{n/2}(w/4)$ 执行
5:     计算 $(s_2, \ell(b - A_2s_2))$
6