学习（签名）错误

$\underline{\bf Background}$

在2005年，Regev [1]引入了带错误学习（LWE）问题，这是带错误学习奇偶性问题的概括。对于某些参数选择，此问题的难度假设现在为基于晶格密码学领域中许多后量子密码系统的安全证明奠定了基础。LWE的“规范”版本如下所述。

预备赛：

令为实数模1的加法组，即取。为正整数和，一个“秘密”矢量，概率分布上，让是对分布通过选择获得的均匀地在随机，画一个误差项，然后输出 $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ $[0, 1)$ $n$ $2 \le q \le poly(n)$ ${\bf s} \in \mathbb{Z}_q^n$ $\phi$ $\mathbb{R}$ $A_{{\bf s}, \phi}$ $\mathbb{Z}_q^n \times \mathbb{T}$ ${\bf a} \in \mathbb{Z}_q^n$ $x \leftarrow \phi$ $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$ 。

令为的“离散化” 。也就是说，我们首先从绘制一个样本，然后输出。这里表示将舍入到最接近的整数值，因此我们可以将视作。 $A_{{\bf s}, \overline{\phi}}$ $A_{{\bf s}, \phi}$ $({\bf a}, b')$ $A_{{\bf s}, \phi}$ $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$ $\lfloor\circ\rceil$ $\circ$ $({\bf a}, b)$ $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$

在规范的设置中，我们将误差分布设为高斯分布。对于任何，在一维高斯概率分布的密度函数由。我们将为离散化的简写 $\phi$ $\alpha > 0$ $\mathbb{R}$ $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$ $A_{{\bf s}, \alpha}$ $A_{{\bf s}, D_\alpha}$

LWE定义：

在搜索版本 我们从中得到样本，我们可以将其视为“嘈杂的”线性方程式（注意：）： $LWE_{n, q, \alpha}$ $N = poly(n)$ $A_{{\bf s}, \alpha}$ ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$

⟨ a_{1}, s ⟩ \approx_{χ} b_{1} \mod q

$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$

⋮

$\vdots$

⟨ a_{N}, s ⟩ \approx_{χ} b_{N} \mod q

$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$

其中每个方程式的误差均由宽度（）的（居中）离散高斯独立得出。我们的目标是恢复。（观察到，没有错误，我们可以使用高斯消除来解决这个问题，但是在出现此错误时，高斯消除会严重失败。） $\alpha q$ ${\bf s}$

在决策版本 ，我们可以访问一个oracle，该oracle在查询时返回样本。我们保证样本全部来自或来自均匀分布。我们的目标是区分情况。 $DLWE_{n, q, \alpha}$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

当时，两个问题都解决。 $hard$ $\alpha q > 2\sqrt n$

与复杂性理论的联系：

已知（有关详细信息，请参见[1]，[2]），LWE对应于解决GapSVP实例的双晶格上的有界距离解码（BDD）问题。用于LWE的多项式时间算法将暗示一种多项式时间算法，以近似中的某些晶格问题，例如SIVP和SVP，其中是一个小的多项式因数（例如）。 $\tilde O(n/\alpha)$ $1/\alpha$ $n^2$

当前算法限制

当为超过1/2，阿罗拉和Ge [3]得到亚指数时间为LWE算法严格以下。这个想法是，从高斯的众所周知的属性来看，这种绘制误差项除了指数幂的可能性很小之外，就适合“结构噪声”设置。直观地讲，在这种情况下，每当我们收到1个样本时，我们都会收到一个样本块，并保证不超过某个恒定分数包含错误。他们使用这种观察来“线性化”问题，并列举误差空间。 $\alpha q \le n^\epsilon$ $\epsilon$ $m$

$\underline{\bf Question}$

假设我们被赋予了对oracle访问权限。在查询时，首先查询以获得样本。如果是从中提取的，则返回一个样本，其中代表错误项的“方向”（或值的“符号”）。如果是随机绘制的，则返回 $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}^+$ $\mathcal{O}_{\bf s}$ $({\bf a}, b)$ $({\bf a}, b)$ $A_{{\bf s}, \alpha}$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$ $d$ $\pm$ $({\bf a}, b)$ $\mathcal{O}_{\bf s}^+$ $({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ 。（或者，我们可以考虑以下情况：当随机均匀地绘制时，敌对地选择位。） $d$ $b$

令像以前一样，只是对于一个足够大的常数，现在。（这是为了确保每个方程中的绝对误差不受影响。）与签名错误定义学习（LWSE）问题和和以前一样，不同之处在于现在，对于每个错误术语的符号，我们还有其他建议。 $n, q, \alpha$ $\alpha q > c\sqrt n$ $c$ $LWSE_{n, q, \alpha}$ $DLWSE_{n, q, \alpha}$

两种版本的LWSE是否比LWE的版本容易得多？

例如

1. LWSE是否有次指数时间算法？

2.基于线性规划的多项式时间算法又如何呢？

除上述讨论外，我的动机是探索LWE的算法选项（目前我们相对较少选择）。特别地，已知的为问题提供良好算法的唯一限制与误差项的大小有关。在这里，大小保持不变，但是每个方程式中的误差范围现在都以某种方式为“单调”。（最后的评论：我不知道文献中出现的问题的提法；它似乎是原始的。）

参考文献：

[1] Regev，Oded。JACM 2009中的“论格，有错误的学习，随机线性代码和密码术”（最初在STOC 2005上发表）（PDF）

[2] Regev，Oded。CCC 2010邀请调查中的“有错误的学习问题”（PDF）

[3] Arora，Sanjeev和Ge，Rong。ICALP 2011上的“有错误时学习的新算法”（PDF）

— 丹尼尔·阿蓬
source

（哇！经过三年的时间，现在很容易回答。这很有趣！-丹尼尔）

正如我（三年前）在上文中提出并指出的，“（带符号的错误）学习”（LWSE）问题与双向可否认公众工作中首次引入的“ 带错误的扩展学习”（eLWE）问题无关紧要。由O'Neill，Peikert和Waters在CRYPTO 2011上进行的密钥加密。

该ELWE问题是定义类似于“标准” LWE（即[ Regev2005 ]），除了（高效）的识别器被附加给在LWE样品的误差向量‘提示’分布，在形式（带有任意向量内积。（在应用程序中通常是某些密码系统的解密密钥向量。） $\vec{x}$ $\vec{z}$ $\vec{z}$

形式上，问题的描述如下： $\mathsf{eLWE}_{n,m,q,\chi,\beta}$

对于整数，以及误差分布超过，有错误的问题的扩展学习是下面对分布之间进行区分：其中和，其中 $q = q(n) \ge 2$ $\chi = \chi(n)$ $\mathbb{Z}_q$

{A, \vec{b} = A^{T} \vec{s} + \vec{x}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},

$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ ${A, \vec{u}, \vec{z}, ⟨ \vec{z}, \vec{x} ⟩ + x^{'}},$ $\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$ $x'\leftarrow\mathcal{D}_{\beta q}$ $\mathcal{D}_\alpha$ 是宽度的（一维）离散高斯分布。 $\alpha$

这是很容易看到，ELWE的捕获“的精神” LWSE，虽然正式的降低可以没有太多额外的努力来显示。

在工作中提出了有关理解扩展LWE问题的主要后续思路：

Alperin-Sheriff和Peikert的基于身份的加密的循环和KDM安全
Brakerski，Langlois，Peikert，Regev和Stehle的经典学习错误错误

根据您的密钥是位于还是二进制（以及其他各种参数选择的性质），您可以使用第一篇或第二篇论文的还原词最终从量子/经典还原。与近似度到LWSE。 $\mathbb{Z}_q$ $\mathsf{GapSVP}_\alpha$ $\alpha \ge \Omega(n^{1.5})$

— 丹尼尔·阿蓬
source

PS或用一句话“ LWE是强壮的”，或用一种最能体现这种精神的论文：people.csail.mit.edu/vinodv/robustlwe.pdf

— Daniel Apon

PPS现在距主要答案的主体适当的距离...这是最近的工作，“扩展”了我们对带有错误的扩展学习的理解：eprint.iacr.org/2015/993.pdf

— Daniel