RLWE上的Wikipedia文章提到了对“小”多项式进行采样的两种方法,即均匀采样和离散高斯采样。均匀采样显然是最简单的,涉及从一组小的系数中简单地均匀选择系数,从而确保它们很小。但是,文章提到安全性证明依赖于离散高斯采样。

但是,我有点难以理解


为什么离散高斯采样

我的意思是,通常最好是统一的-它使每个样本的熵/信息最大化,从而使结果更加不可预测。如果高斯抽样技术能够以某种方式避免(至少以较高的概率)避免结果空间的“弱”部分,我可以理解这一点,但是我没有发现/事实证明是这种情况。

我能看到离散高斯为何会更好的另一个原因是,毕竟有一个机会(尽管很小)会选择一个非小系数,因此结果的空间实际上更大。但是,考虑到(通过设计)达到此额外空间的可能性很小,而且由于算法需要一个较小的多项式,人们很可能会立即拒绝这种样本,因此这似乎无关紧要。

并不是因为我反对离散高斯采样,我只是想了解为什么它更安全。另外,我想了解它是否真的更安全,或者更容易证明该模型的安全性。如果确实如此,我实际上会认为这很有趣,因为它提出了一个问题,即为什么在直观上较差的条件下(即离散高斯与直观上更好的统一情况)更容易证明安全性?如果直观上清楚统一抽样比较好,那么在统一抽样下肯定有可能将这种直觉转换为RWE的安全证明。否则,我担心直觉很可能是错误的,或者至少是可疑的。

评论

评论不作进一步讨论;此对话已移至聊天。
由于几年前斯蒂芬·加尔布雷思(Stephen Galbraith)给出的原因,高斯采样被发现是易受攻击的,并且在PQCrypto '17暑期学校会议上(八分钟基于莱迪思的加密IV),彼得·施瓦贝(Peter Schwabe)也谈到了高斯采样。 videos.2017.pqcrypto.org/school
抱歉,当转移到“新希望-简单”时,进入Lattice IV对话需要30分钟。
似乎已经被回答了,尽管我不确定它是否特别适合您的确切不确定性:crypto.stackexchange.com/questions/32624/…您总是可以说“因为数学”并完成它。
我在另一篇文章中回答了这个问题:crypto.stackexchange.com/questions/59903/…基本上,高斯误差分布比您认为的“均匀”分布更均匀,更容易以与晶格无关的方式实现,并且更容易证明有关的事情。

#1 楼

TL; DR:


从理论上讲,高斯人是更好的选择,从安全性证明的简便性和紧密性方面来看都是最优的;
实际上,大多数情况下,您可以用其他分布替换高斯而没有太多麻烦。

理论

首先,让我详细说明为什么高斯在以下方面会更好的几个原因理论:



在LBC中使用错误分布时,分布以两种相互冲突的方式影响方案:


< br正确性:如果误差分布的标准偏差太大,则将不再确保该方案的正确性。例如,在您的Wikipedia链接中的密钥交换中,如果我们将错误分布设置为在R_q上是均匀的,则两方会有效地互相发送随机噪声,因此,他们无法使用此协议就公用密钥达成一致。

熵:随机分布的熵通常在证明方案的安全性中起重要作用。当然,这不限于基于晶格的方案,但是由于它们是当前的主题,因此我们可以例如考虑剩余的哈希引理(请参阅此SE文章:决策SIS与网格中剩余的哈希引理之间的关系)。 SE帖子认为误差分布超过$ \ {0,1 \} ^ m $,您也可以使用其他分布,但需要它们具有足够的熵。

面临两个有点矛盾的条件:您需要一个小的标准偏差以确保正确性,但是您需要足够的熵才能通过安全证明。事实证明,对于固定的均值和标准差,对于高斯,熵最大。这就是为什么它们看起来像是这些条件之间的最佳折衷。

尽管与高斯人一起工作并不容易,但它们具有一些“神奇”的特性,在进行安全性证明时非常方便:例如,两个高斯人的总和就是一个高斯人。对于统一分布(有限支持),我们不能说相同。

实践

以快速安全的方式(针对边信道攻击)生成高斯分布事实证明这很困难,并且某些方法已经遭受了破坏性的边信道攻击。此外,这可能很乏味,因此许多计划(但不是全部)都试图抛弃成熟的高斯人而不牺牲安全性。例如:


已经考虑了近似的高斯分布(使用表和每个采样的系数16位随机性)。参见FrodoKEM。
一个流行的选择是依靠居中的二项式分布:它们“看起来像高斯”,但是可以高效且安全地进行采样(二项式分布是[0,1]中均匀样本的总和) 。请参阅NewHope和Kyber。
我不知道密钥交换中使用的均匀分布,但是在使用LWE变体的Fiat-Shamir签名方案中很流行(请参阅qTESLA,Dilithium)。

有趣的是,您甚至可以完全放弃错误分布并改用截断;当然,现在您不再依赖LWE假设,而是依赖LWR(舍入学习)。这是Saber所做的。

评论

$ \ begingroup $
+1-我想如果采样问题不是问题,那么每个人都将使用高斯方法在大小和熵之间进行最佳权衡。正是由于这些采样问题,才对替代方案进行了研究。
$ \ endgroup $
–TMM
18/12/31在15:09
$ \ begingroup $
这也是我的理解。此外,在某些情况下,我们仍然不知道如何消除高斯效应(除非以演出的巨大开销为代价):陷门采样(在eprint.iacr.org/2007/432中引入)它与哈希-然后-签名方案,基于身份的加密方案等无关。它与问题没有直接关系,但仍然值得一提。
$ \ endgroup $
–托马斯·珀斯特(Thomas Perst)
19年1月2日在16:27