(স্বাক্ষরিত) ত্রুটিগুলি সহ শিখছে

$\underline{\bf Background}$

2005 সালে, রেজেভ [1] ত্রুটিজনিত সমস্যা সহ লার্নিং প্যারিটির একটি সাধারণীকরণ, লার্নিং উইথ এারারস (এলডাব্লুই) সমস্যাটি প্রবর্তন করেছিলেন। নির্দিষ্ট পরামিতি পছন্দগুলির জন্য এই সমস্যার কঠোরতার অনুমান এখন জাল-ভিত্তিক ক্রিপ্টোগ্রাফির ক্ষেত্রে হোস্ট কোয়ান্টাম পোস্ট ক্রিপ্টোসিস্টেমগুলির সুরক্ষার প্রমাণগুলির অন্তর্গত। LWE এর "ক্যানোনিকাল" সংস্করণগুলি নীচে বর্ণিত হয়েছে।

preliminaries:

দিন $\mathbb{T} = \mathbb{R}/\mathbb{Z}$ বাস্তবের মডুলোর 1 এর সংযোজন গ্রুপ হোন, মানে মান গ্রহণ করা $[0, 1)$। ধনাত্মক পূর্ণসংখ্যার জন্য$n$ এবং $2 \le q \le poly(n)$, একটি "গোপন" ভেক্টর ${\bf s} \in \mathbb{Z}_q^n$, একটি সম্ভাবনা বিতরণ $\phi$ চালু $\mathbb{R}$, দিন $A_{{\bf s}, \phi}$ উপর বিতরণ করা $\mathbb{Z}_q^n \times \mathbb{T}$ চয়ন করে প্রাপ্ত ${\bf a} \in \mathbb{Z}_q^n$ এলোমেলোভাবে অভিন্ন, একটি ত্রুটি শব্দ অঙ্কন $x \leftarrow \phi$, এবং আউটপুটিং $({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}$।

দিন $A_{{\bf s}, \overline{\phi}}$ এর "বিচক্ষণতা" হতে হবে $A_{{\bf s}, \phi}$। যে, আমরা প্রথমে একটি নমুনা আঁকো$({\bf a}, b')$ থেকে $A_{{\bf s}, \phi}$ এবং তারপরে আউটপুট $({\bf a}, b) = ({\bf a}, \lfloor b'\cdot q\rceil) \in \mathbb{Z}_q^n \times \mathbb{Z}_q$। এখানে$\lfloor\circ\rceil$ বৃত্তাকারকে বোঝায় $\circ$ নিকটতম অবিচ্ছেদ্য মান, যাতে আমরা দেখতে পারেন $({\bf a}, b)$ যেমন $({\bf a}, b= \langle {\bf a}, {\bf s} \rangle + \lfloor q\cdot x\rceil)$।

ক্যানোনিকাল সেটিংয়ে আমরা ত্রুটি বিতরণ করি $\phi$গাউসিয়ান হতে। কোন জন্য$\alpha > 0$, 1-মাত্রিক গাউসিয়ান সম্ভাব্যতা বিতরণের ঘনত্বের ক্রিয়া $\mathbb{R}$ দেওয়া হয় $D_{\alpha}(x)=e^{-\pi(x/\alpha)^2}/\alpha$। আমরা লিখি$A_{{\bf s}, \alpha}$ বিবেচনার জন্য শর্টহ্যান্ড হিসাবে $A_{{\bf s}, D_\alpha}$

LWE সংজ্ঞা:

ইন সার্চ সংস্করণ $LWE_{n, q, \alpha}$ আমরা দেওয়া হয় $N = poly(n)$ থেকে নমুনা $A_{{\bf s}, \alpha}$, যা আমরা "গোলমাল" রৈখিক সমীকরণ হিসাবে দেখতে পারি (দ্রষ্টব্য: ${\bf a}_i, {\bf s} \in \mathbb{Z}_q^n, b_i \in \mathbb{Z}_q$):

$$\langle{\bf a}_1, {\bf s}\rangle \approx_\chi b_1\mod q$$ $$\vdots$$ $$\langle{\bf a}_N, {\bf s}\rangle \approx_\chi b_N\mod q$$

যেখানে প্রতিটি সমীকরণের ত্রুটিটি স্বাধীনভাবে একটি (কেন্দ্রিক) বিস্তৃত গাউসিয়ান প্রস্থ- থেকে আঁকা হয় । আমাদের লক্ষ্য পুনরুদ্ধার হয় । (লক্ষ্য করুন যে কোনও ত্রুটি ছাড়াই আমরা গউসিয়ান নির্মূলের মাধ্যমে এটি সমাধান করতে পারি, তবে এই ত্রুটির উপস্থিতিতে গাউসিয়ান নির্মূল নাটকীয়ভাবে ব্যর্থ হয়))$\alpha q$${\bf s}$

সিদ্ধান্ত সংস্করণ In এ আমাদেরকে একটি ওরাকল to অ্যাক্সেস দেওয়া হয় যা স্যাম্পলগুলি ফেরত দেয় । আমরা প্রতিশ্রুত যে নমুনা হয় সমস্ত থেকে আসা বা অভিন্ন বিতরণ থেকে । আমাদের লক্ষ্যটি কেসের মধ্যে পার্থক্য করা।$DLWE_{n, q, \alpha}$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)$

Both যখন উভয় বলে বিশ্বাস করা হয় ।$hard$$\alpha q > 2\sqrt n$

জটিলতা তত্ত্বের সংযোগ:

এটি জানা গেছে (বিশদে বিশদে [১], [২]) যে এলডাব্লুই একটি গ্যাপএসভিপি উদাহরণের দ্বৈত ল্যাটিসের উপর একটি বাউন্ডেড ডিস্টেন্স ডিকোডিং (বিডিডি) সমস্যা সমাধানের সাথে সম্পর্কিত। এলডাব্লুইয়ের জন্য একটি বহুপদী সময় অ্যালগরিদম বলতে de টিলডে ও মধ্যে এসআইভিপি এবং এসভিপি-র মতো আনুমানিক নির্দিষ্ট জাল সংক্রান্ত সমস্যাগুলিকে একটি বহুবর্ষীয় সময়ের অ্যালগরিদম বোঝায় যেখানে একটি ছোট পলিনোমিয়াল ফ্যাক্টর (বলুন, )।$\tilde O(n/\alpha)$$1/\alpha$$n^2$

বর্তমান অ্যালগরিদমিক সীমাবদ্ধতা

যখন জন্য কঠোরভাবে 1/2, অরোরার এবং জিই [3] Give A subexponential টাইম LWE জন্য অ্যালগরিদম কম। ধারণাটি হ'ল, গাউসের সুপরিচিত বৈশিষ্ট্য থেকে, অঙ্কন ত্রুটির শর্তগুলি এই ক্ষুদ্রতর তাত্পর্যপূর্ণ কম সম্ভাবনা বাদে "কাঠামোগত শব্দ" সেটিংয়ের সাথে ফিট করে। স্বতঃস্ফূর্তভাবে এই সেটিংটিতে, প্রতিবার আমরা 1 টি নমুনা পেয়েছি, আমরা প্রতিশ্রুতি সহ নমুনার একটি ব্লক পেয়েছি যে কিছু ধ্রুবক ভগ্নাংশের চেয়ে বেশি ত্রুটি থাকে না। তারা এই পর্যবেক্ষণটি সমস্যার "লিনিয়ারাইজ" করতে এবং ত্রুটির স্থানটি গণনার জন্য ব্যবহার করে।$\alpha q \le n^\epsilon$$\epsilon$$m$

$\underline{\bf Question}$

মনে করুন পরিবর্তে আমরা কোনও ওরাকল অ্যাক্সেস দিয়েছি । যখন অনুসন্ধান করা হয়, তখন একটি নমুনা প্রথম প্রশ্নগুলি । যদি from থেকে আঁকা হয় , তবে একটি নমুনা দেয় যেখানে ত্রুটি শর্তের "দিকনির্দেশ" (বা মূল্যবান "চিহ্ন") উপস্থাপন করে । যদি এলোমেলোভাবে আঁকা হয় তবে রিটার্ন$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}^+$$\mathcal{O}_{\bf s}$$({\bf a}, b)$$({\bf a}, b)$$A_{{\bf s}, \alpha}$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \in \mathbb{Z}_q^n \times \mathbb{Z}_q \times \mathbb{Z}_2$$d$$\pm$$({\bf a}, b)$$\mathcal{O}_{\bf s}^+$$({\bf a}, b, d) \leftarrow U(\mathbb{Z}_q^n)\times U(\mathbb{Z}_q)\times U(\mathbb{Z}_2)$ । (বিকল্পভাবে, যখন এলোমেলোভাবে অভিন্নভাবে আঁকানো হয় তখন বিট যখন বিপরীতভাবে বেছে নেওয়া হয় তখন আমরা কেসটি বিবেচনা করতে পারি ))$d$$b$

যাক আগের মত এখন ব্যতীত হও, পর্যাপ্ত বৃহৎ ধ্রুবক জন্য বলে। (এটি প্রতিটি সমীকরণে পরম ত্রুটিটি প্রভাবিত না হয় তা নিশ্চিত করার জন্য)) স্বাক্ষরিত ত্রুটি (এলডাব্লুএসই) সমস্যাগুলির সাথে শিক্ষার সংজ্ঞা দিন এবং before ব্যতীত প্রতিটি ত্রুটি শর্তের চিহ্নের জন্য এখন আমাদের কাছে অতিরিক্ত বিট পরামর্শ রয়েছে।$n, q, \alpha$$\alpha q > c\sqrt n$$c$$LWSE_{n, q, \alpha}$$DLWSE_{n, q, \alpha}$

এলডাব্লুএসই এর সংস্করণগুলি কি তাদের এলডাব্লুই সহযোগীদের তুলনায় উল্লেখযোগ্যভাবে সহজ?

যেমন

1. এলডাব্লুএসই-র জন্য একটি সাফল্যময়-সময় অ্যালগরিদম আছে?

২. লিনিয়ার প্রোগ্রামিংয়ের উপর ভিত্তি করে বহু-কালীন অ্যালগরিদম সম্পর্কে কী বলা যায়?

উপরোক্ত আলোচনার পাশাপাশি, আমার অনুপ্রেরণা এলডাব্লুইইর জন্য আলগোরিদিমিক বিকল্পগুলি অনুসন্ধান করার আগ্রহ (যার মধ্যে বর্তমানে আমাদের তুলনামূলকভাবে বেছে নেওয়া খুব কম)) বিশেষত, সমস্যাটির জন্য ভাল অ্যালগরিদম সরবরাহ করতে পরিচিত একমাত্র বিধিনিষেধ ত্রুটির শর্তগুলির মাত্রার সাথে সম্পর্কিত । এখানে, परिमाणটি একইরূপে রয়েছে, তবে প্রতিটি সমীকরণে ত্রুটির পরিসীমা একটি নির্দিষ্ট উপায়ে এখন "একঘেয়েমি"। (একটি চূড়ান্ত মন্তব্য: আমি সাহিত্যে উপস্থিত সমস্যাটির এই সূত্রটি সম্পর্কে অবগত নই; এটি আসল বলে মনে হয়))

তথ্যসূত্র:

[1] রেগেভ, ওদেড। জ্যাকএসিএম ২০০৯ (মূলত এসটিওসি ২০০ 2005-এ) ( পিডিএফ ) -তে "ল্যাটিক্স অন এারারস, র‌্যান্ডম লিনিয়ার কোডস এবং ক্রিপ্টোগ্রাফি সহ শিখছি"

[২] রেগেভ, ওদেড। "দ্য লার্নিং উইথ এারারস প্রব্লেম," সিসিসি 2010 তে আমন্ত্রিত সমীক্ষা ( পিডিএফ )

[3] অরোরা, সঞ্জীব এবং জি, রং। আইসিএলপি ২০১১ ( পিডিএফ ) এ "ত্রুটিগুলির উপস্থিতিতে শেখার জন্য নতুন অ্যালগরিদম"

(বাহ! তিন বছর কেটে যাওয়ার পরে এখন উত্তর দেওয়া সহজ easy কীভাবে মজার! - ড্যানিয়েল)

এই "লার্নিং উইথ (স্বাক্ষরিত) ত্রুটিগুলি" ( এলডাব্লুএসই ) সমস্যাটি আমার উপরে (তিন বছর আগে) উদ্ভাবিত ও বর্ণিত হিসাবে, দ্বি-অস্বীকারযোগ্য পাবলিক রচনায় প্রথমে প্রবর্তিত ত্রুটিগুলি ( eLWE ) সমস্যাটি তুচ্ছভাবে হ্রাস করে reduces সিআরওয়াইপিটিও ২০১১-তে ও'নিল, পিকার্ট এবং ওয়াটারস দ্বারা কে কী এনক্রিপশন ।

ELWE সমস্যা "মান" থেকে অনুরূপভাবে সংজ্ঞায়িত করা হয় LWE (অর্থাত [ Regev2005 ,]) ডিস্ট্রিবিউশন '(দক্ষ) distinguisher অতিরিক্ত LWE নমুনা এর ত্রুটি ভেক্টর এ "নির্দেশ" দেওয়া হয় ব্যতীত আকারে, ( সম্ভবত সশব্দ) একটি অবাধ ভেক্টর দিয়ে ভেতরের পণ্য । (অ্যাপ্লিকেশনগুলিতে often প্রায়শই কিছু ক্রিপ্টোসিস্টেমের ডিক্রিপশন-কী ভেক্টর হয়)$\vec{x}$$\vec{z}$$\vec{z}$

সাধারণত, সমস্যাটি নিম্নরূপ বর্ণিত হয়েছে:$\mathsf{eLWE}_{n,m,q,\chi,\beta}$

---

একটি পূর্ণসংখ্যার এবং ত্রুটি বিতরণ উপর , ত্রুটির সমস্যার সাথে বর্ধিত নিম্নলিখিত বিতরণগুলির মধ্যে পৃথক করা: যেখানে এবং , এবং যেখানে$q = q(n) \ge 2$$\chi = \chi(n)$$\mathbb{Z}_q$

$$\{\mathbf{A}, \vec{b} = \mathbf{A}^T\vec{s}+\vec{x}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $$\{\mathbf{A}, \vec{u}, \vec{z}, \langle\vec{z}, \vec{x}\rangle + x' \},$$ $\mathbf{A}\leftarrow \mathbb{Z}_q^{n\times m}, \vec{s}\leftarrow\mathbb{Z}_q^n, \vec{u}\leftarrow\mathbb{Z}_q^m, \vec{x}, \vec{z}\leftarrow\chi^m,$$x'\leftarrow\mathcal{D}_{\beta q}$$\mathcal{D}_\alpha$প্রস্থ সহ (1-মাত্রিক) বিচ্ছিন্ন গাউসীয় বিতরণ ।$\alpha$

---

এটি দেখতে সহজ যে eLWE যেমনটি এর "আত্মা" LWSE , যদিও একটি প্রথাগত হ্রাস অত্যধিক অতিরিক্ত না প্রচেষ্টার সঙ্গে দেখানো যায়।

বর্ধিত-এলডব্লিউই সমস্যা বোঝার দিকে প্রধান ফলোআপ আইডিয়াগুলি কাজগুলিতে তৈরি করা হয়েছে:

• আল্পেরিন-শেরিফ এবং পিকার্ট দ্বারা পরিচয় ভিত্তিক এনক্রিপশনের জন্য বিজ্ঞপ্তি এবং কেডিএম সুরক্ষা
• ব্র্যাকারস্কি, ল্যাংলোইস, পিকার্ট, রেগেভ এবং স্টেইলে ত্রুটিগুলি সহ শিক্ষার ধ্রুপদী কঠোরতা

আপনার গোপনীয় কী বা বাইনারি (এবং অন্যান্য বিভিন্ন প্যারামিটার পছন্দগুলির প্রকৃতি) এর উপর নির্ভর করে , আপনি প্রথম বা দ্বিতীয় পেপারের শেষ পর্যন্ত কোয়ান্টামলি / ক্লাসিকভাবে থেকে হ্রাস করতে ব্যবহার করতে পারেন প্রায় আনুষঙ্গিক ফ্যাক্টর থেকে এলডাব্লুএসইতে ।$\mathbb{Z}_q$$\mathsf{GapSVP}_\alpha$$\alpha \ge \Omega(n^{1.5})$