(हस्ताक्षरित) त्रुटियों के साथ सीखना

$\underline{\bf Background}$

2005 में, रेगेव [1] ने एरर्स (एलडब्ल्यूई) समस्या के साथ लर्निंग को पेश किया, लर्निंग पेरिटी फॉर एरर प्रॉब्लम का सामान्यीकरण। कुछ पैरामीटर विकल्पों के लिए इस समस्या की कठोरता की धारणा अब जाली-आधारित क्रिप्टोग्राफी के क्षेत्र में पोस्ट-क्वांटम क्रिप्टोसिस्टम्स के एक मेजबान के लिए सुरक्षा प्रमाण को रेखांकित करती है। एलडब्ल्यूई के "कैनोनिकल" संस्करण नीचे वर्णित हैं।

प्रारंभिक:

चलो $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ Reals modulo 1 का एडिटिव ग्रुप हो, यानी इसमें वैल्यू ले रहा हो $[0, 1)$। सकारात्मक पूर्णांकों के लिए$n$ तथा $2 \le q \le poly(n)$, एक "गुप्त" वेक्टर ${\bf s} \in \mathbb{Z}_q^n$, एक संभावना वितरण $\phi$ पर $\mathbb{R}$, चलो $A_{{\bf s}, \phi}$ वितरण हो $\mathbb{Z}_q^n \times \mathbb{T}$ चुनकर प्राप्त किया ${\bf a} \in \mathbb{Z}_q^n$ समान रूप से यादृच्छिक पर, एक त्रुटि शब्द खींचना $x \leftarrow \phi$, और आउटपुट $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$।

चलो $A_{{\bf s}, \overline{\phi}}$ का "विवेक" होना $A_{{\bf s}, \phi}$। यही है, हम पहले एक नमूना बनाते हैं$({\bf a}, b')$ से $A_{{\bf s}, \phi}$ और फिर आउटपुट $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$। यहाँ$\lfloor\circ\rceil$ गोलाई को दर्शाता है $\circ$ निकटतम अभिन्न मूल्य पर, इसलिए हम देख सकते हैं $({\bf a}, b)$ जैसा $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$।

विहित सेटिंग में, हम त्रुटि वितरण लेते हैं $\phi$गाऊसी होना। किसी के लिए$\alpha > 0$1-आयामी गाऊसी संभाव्यता वितरण का घनत्व कार्य $\mathbb{R}$ द्वारा दिया गया है $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$। हम लिखते हैं$A_{{\bf s}, \alpha}$ के विवेक के लिए आशुलिपि के रूप में $A_{{\bf s}, D_\alpha}$

LWE परिभाषा:

में खोज संस्करण $LWE_{n, q, \alpha}$ हम दे रहे हैं $N = poly(n)$ से नमूने $A_{{\bf s}, \alpha}$, जिसे हम "शोर" रेखीय समीकरण के रूप में देख सकते हैं (नोट: ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$):

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

जहाँ प्रत्येक समीकरण में त्रुटि स्वतंत्र रूप से एक (केन्द्रित) चौड़ाई असतत गाऊसी से खींची गई है । हमारा लक्ष्य को पुनर्प्राप्त करना है । (ध्यान दें कि, बिना किसी त्रुटि के, हम इसे गौसियन उन्मूलन के साथ हल कर सकते हैं, लेकिन इस त्रुटि की उपस्थिति में, गाऊसी उन्मूलन नाटकीय रूप से विफल हो जाता है।)$\alpha q$${\bf s}$

में निर्णय संस्करण , हम एक दैवज्ञ के लिए उपयोग दिया जाता है कि रिटर्न के नमूने जब पूछे। हम वादा कर रहे हैं कि नमूने या तो सभी या समान वितरण । हमारा लक्ष्य भेद करना है जो मामला है।$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

माना जाता है कि दोनों समस्याओं को तब माना जाता है जब ।$hard$$\alpha q > 2\sqrt n$

जटिलता सिद्धांत से कनेक्शन:

यह ज्ञात है (विवरण के लिए [1], [2] देखें) कि LWE एक GapSVP उदाहरण के दोहरे जाली पर एक बाउंडेड डिस्टेंस डिकोडिंग (BDD) समस्या को हल करने से मेल खाती है। LWE के लिए एक बहुपद समय एल्गोरिथ्म एक बहुपद समय एल्गोरिथ्म का संकेत होगा, जिसमें SIVP और SVP जैसे लगभग कुछ समस्याओं को जहाँ एक छोटा बहुपद कारक है (कहें, )।$\tilde O(n/\alpha)$$1/\alpha$$n^2$

वर्तमान एल्गोरिथम सीमाएँ

जब for सख्ती से 1/2 से कम हो, तो अरोड़ा और जीई [3] LWE के लिए एक सब-प्रॉपर्टी-टाइम एल्गोरिथ्म दें। विचार यह है कि, गाऊसी के प्रसिद्ध गुणों से, ड्राइंग त्रुटि शब्द इस छोटे से फिट बैठता है एक "संरचित शोर" सेटिंग में घातीय कम संभावना के अलावा। इस सेटिंग में सहज रूप से, हर बार जब हमें 1 नमूना प्राप्त होता है, तो हमें एक वादा के साथ नमूनों का एक ब्लॉक प्राप्त होता है जिसमें कुछ स्थिर अंशों से अधिक त्रुटि नहीं होती है। वे इस अवलोकन का उपयोग समस्या को "रेखीय करने" के लिए करते हैं, और त्रुटि स्थान पर गणना करते हैं।$\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

मान लें कि हम, इसके बजाय, एक oracle को एक्सेस दिया गया है । जब प्रश्न किया जाता है, तो एक नमूना प्राप्त करने के लिए पहला प्रश्न । अगर से तैयार की गई थी , तो रिटर्न एक नमूना जहां त्रुटि अवधि के "दिशा" (या -valued "चिन्ह") का प्रतिनिधित्व करता है। । यदि यादृच्छिक पर निकाला गया था, तो रिटर्न"$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ । (वैकल्पिक रूप से, हम मामले पर विचार कर सकते हैं जब बिट को प्रतिकूल रूप से चुना जाता है जब यादृच्छिक रूप से समान रूप से खींचा जाता है।)$d$$b$

आज्ञा देना पहले के रूप में हो, सिवाय इसके कि अब पर्याप्त रूप से बड़े निरंतर , कहते हैं। हस्ताक्षर त्रुटि के साथ सीखना परिभाषित करें (LWSE) समस्याओं (यह सुनिश्चित करना है कि प्रत्येक समीकरण में निरपेक्ष त्रुटि अप्रभावित रहता है।) और से पहले के रूप में, सिवाय इसके कि अब हमारे पास प्रत्येक त्रुटि अवधि के संकेत के लिए अतिरिक्त सलाह है।$n, q, \alpha$$\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

क्या LWSE का कोई संस्करण उनके LWE समकक्षों की तुलना में काफी आसान है?

उदाहरण के लिए

1. क्या एलडब्ल्यूएसई के लिए एक सब-एक्सपोनेंशियल-टाइम एल्गोरिथ्म है?

2. एक बहुपद-समय एल्गोरिथ्म के आधार पर क्या कहते हैं, रैखिक प्रोग्रामिंग?

उपरोक्त चर्चा के अलावा, मेरी प्रेरणा LWE के लिए एल्गोरिथम विकल्प तलाशने में रुचि है (जिनमें से वर्तमान में हमारे पास चुनने के लिए अपेक्षाकृत कम है)। विशेष रूप से, समस्या के लिए अच्छे एल्गोरिदम प्रदान करने के लिए जाना जाने वाला एकमात्र प्रतिबंध त्रुटि शर्तों के परिमाण से संबंधित है । यहां, परिमाण समान है, लेकिन प्रत्येक समीकरण में त्रुटि की सीमा अब एक निश्चित तरीके से "मोनोटोन" है। (अंतिम टिप्पणी: मैं साहित्य में दिखने वाली समस्या के इस निरूपण से अनजान हूँ; यह मूल प्रतीत होता है)।

संदर्भ:

[१] रेगेव, ओडेड। "पर lattices, त्रुटियों के साथ सीखना, रैंडम रैखिक संहिताओं, और क्रिप्टोग्राफी," JACM 2009 में (मूल रूप से STOC 2005 में) ( पीडीएफ )

[२] रेगेव, ओडेड। "द लर्निंग विथ एरर्स प्रॉब्लम," CCC 2010 में सर्वेक्षण आमंत्रित ( पीडीएफ )

[३] अरोड़ा, संजीव और जीई, रॉन्ग। ICALP 2011 ( PDF ) में "नए एल्गोरिदम की उपस्थिति में सीखने के लिए एल्गोरिदम"

(वाह! तीन साल के समय बीतने के बाद, अब यह जवाब देना आसान है। मजेदार यह कि कैसे जाता है! - डेनियल)

यह "लर्निंग विद (हस्ताक्षरित त्रुटियां) त्रुटियां" ( LWSE ) समस्या है, जैसा कि मेरे द्वारा (तीन साल पहले) आविष्कार किया गया और ऊपर बताया गया है, एररर्स ( eLWE ) के साथ विस्तारित अधिगम से तुच्छ रूप से कम हो जाती है, जो पहली बार द्वि-व्यवहार्य सार्वजनिक में पेश की गई समस्या है CRYPTO 2011 में O'Neill, Peikert और वाटर्स द्वारा -Key एन्क्रिप्शन ।

ELWE समस्या "मानक" करने के लिए तुलनात्मक रूप से परिभाषित किया गया है , वामपंथी उग्रवाद (यानी [ Regev2005 ,]) वितरण '(कुशल) distinguisher अतिरिक्त वामपंथी उग्रवाद से नमूना की त्रुटि वेक्टर पर "संकेत" दिया गया है को छोड़कर के रूप में, ( संभवतः शोर) एक मनमाना वेक्टर साथ आंतरिक उत्पाद । (ऐप्लिकेशन में अक्सर कुछ क्रिप्टोकरेंसी का डिक्रिप्शन-कुंजी वेक्टर होता है।)$\vec{x}$$\vec{z}$$\vec{z}$

औपचारिक रूप से, समस्या का वर्णन इस प्रकार है:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

---

एक पूर्णांक के लिए , और एक त्रुटि वितरण over , त्रुटियों की समस्या के साथ विस्तारित सीखने के वितरण के निम्नलिखित जोड़े के बीच अंतर करना है: जहां और , और जहां$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$$x'\leftarrow\mathcal{D}_{\beta q}$$\mathcal{D}_\alpha$(1-आयामी) चौड़ाई साथ असतत गाऊसी वितरण है ।$\alpha$

---

यह देखना आसान है कि eLWE LWSE की "भावना" को पकड़ लेता है , हालांकि एक औपचारिक कमी को बहुत अधिक अतिरिक्त प्रयास के साथ नहीं दिखाया जा सकता है।

विस्तारित-LWE समस्या को समझने के लिए प्रमुख अनुवर्ती विचारों को कार्यों में विकसित किया गया है:

• Alperin-Sheriff और Peikert द्वारा पहचान-आधारित एन्क्रिप्शन के लिए परिपत्र और KDM सुरक्षा
• Brakerski, Langlois, Peikert, Regev और Stehle द्वारा त्रुटियों के साथ सीखने की शास्त्रीय कठोरता

इस बात पर निर्भर करते हुए कि आपकी गुप्त कुंजी या द्विआधारी (और विभिन्न अन्य पैरामीटर विकल्पों की प्रकृति) है, आप अंततः पहले या दूसरे पेपर की कटौती का उपयोग कर सकते हैं अंततः से मात्रात्मक / शास्त्रीय रूप से कम कर सकते हैं। सन्निकटन कारक के साथ को LWSE ।$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$