Aprendiendo con los errores

En criptografía , el aprendizaje con errores ( LWE ) es un problema matemático que se usa ampliamente para crear algoritmos de cifrado seguros . ^[1] Se basa en la idea de representar información secreta como un conjunto de ecuaciones con errores. En otras palabras, LWE es una forma de ocultar el valor de un secreto introduciendo ruido en él. ^[2] En términos más técnicos, se refiere al problema computacional de inferir una función lineal -aria sobre un anillo finito a partir de muestras dadas, algunas de las cuales pueden ser erróneas. Se conjetura que el problema LWE es difícil de resolver, ^[1] y, por lo tanto, útil en criptografía. ${\estilo de visualización n}$ ${\estilo de visualización f}$ $y_{i}=f(\mathbf {x} _{i})$

Más precisamente, el problema LWE se define de la siguiente manera. Sea α el anillo de enteros módulo y sea α el conjunto de vectores sobre . Existe una cierta función lineal desconocida , y la entrada al problema LWE es una muestra de pares , donde y , de modo que con alta probabilidad . Además, la desviación de la igualdad es de acuerdo con algún modelo de ruido conocido. El problema exige encontrar la función , o alguna aproximación cercana de la misma, con alta probabilidad. $\mathbb {Z} _ {q}$ ${\estilo de visualización q}$ $\mathbb {Z} _{q}^{n}$ $n$ $\mathbb {Z} _{q}$ $f:\mathbb {Z} _{q}^{n}\rightarrow \mathbb {Z} _{q}$ $(\mathbf {x} ,y)$ $\mathbf {x} \in \mathbb {Z} _{q}^{n}$ $y\in \mathbb {Z} _{q}$ $y=f(\mathbf {x} )$ $f$

El problema LWE fue introducido por Oded Regev en 2005 ^{[3] (quien ganó el}Premio Gödel 2018 por este trabajo); es una generalización del problema de aprendizaje de paridad . Regev demostró que el problema LWE es tan difícil de resolver como varios problemas de celosía en el peor de los casos . Posteriormente, el problema LWE se ha utilizado como un supuesto de dureza para crear criptosistemas de clave pública , ^[3]^[4] como el aprendizaje de anillo con intercambio de claves de errores de Peikert. ^[5]

Definición

Denote por el grupo aditivo en los números reales módulo uno . Sea un vector fijo. Sea una distribución de probabilidad fija sobre . Denote por la distribución en obtenida de la siguiente manera. $\mathbb {T} =\mathbb {R} /\mathbb {Z}$ $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ $\phi$ $\mathbb {T}$ $A_{\mathbf {s} ,\phi }$ $\mathbb {Z} _{q}^{n}\times \mathbb {T}$

Elija un vector de la distribución uniforme sobre , $\mathbf {a} \in \mathbb {Z} _{q}^{n}$ $\mathbb {Z} _{q}^{n}$
Elija un número de la distribución , $e\in \mathbb {T}$ $\phi$
Evalúe , donde es el producto interno estándar en , la división se realiza en el campo de los reales (o más formalmente, esta "división por " es la notación para el mapeo del homomorfismo de grupo a ), y la adición final está en . $t=\langle \mathbf {a} ,\mathbf {s} \rangle /q+e$ $\textstyle \langle \mathbf {a} ,\mathbf {s} \rangle =\sum _{i=1}^{n}a_{i}s_{i}$ $\mathbb {Z} _{q}^{n}$ $q$ $\mathbb {Z} _{q}\longrightarrow \mathbb {T}$ $1\in \mathbb {Z} _{q}$ $1/q+\mathbb {Z} \in \mathbb {T}$ $\mathbb {T}$
Generar el par . $(\mathbf {a} ,t)$

El problema del aprendizaje con errores es encontrar , dado acceso a un número polinomial de muestras de elección de . $\mathrm {LWE} _{q,\phi }$ $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ $A_{\mathbf {s} ,\phi }$

Para cada , denotado por la gaussiana unidimensional con media y varianza cero , es decir, la función de densidad es donde , y sea la distribución en obtenida al considerar módulo uno. La versión de LWE considerada en la mayoría de los resultados sería $\alpha >0$ $D_{\alpha }$ $\alpha ^{2}/(2\pi )$ $D_{\alpha }(x)=\rho _{\alpha }(x)/\alpha$ $\rho _{\alpha }(x)=e^{-\pi (|x|/\alpha )^{2}}$ $\Psi _{\alpha }$ $\mathbb {T}$ $D_{\alpha }$ $\mathrm {LWE} _{q,\Psi _{\alpha }}$

Versión de decisión

El problema LWE descrito anteriormente es la versión de búsqueda del problema. En la versión de decisión ( DLWE ), el objetivo es distinguir entre productos internos ruidosos y muestras aleatorias uniformes de (prácticamente, alguna versión discretizada de este). Regev ^[3] demostró que las versiones de decisión y de búsqueda son equivalentes cuando es un primo acotado por algún polinomio en . $\mathbb {Z} _{q}^{n}\times \mathbb {T}$ $q$ $n$

Solución de decisión asumiendo búsqueda

Intuitivamente, si tenemos un procedimiento para el problema de búsqueda, la versión de decisión se puede resolver fácilmente: solo hay que introducir las muestras de entrada para el problema de decisión en el solucionador del problema de búsqueda. Denotemos las muestras dadas por . Si el solucionador devuelve un candidato , para todos los , calcule . Si las muestras son de una distribución LWE, entonces los resultados de este cálculo se distribuirán de acuerdo con , pero si las muestras son uniformemente aleatorias, estas cantidades también se distribuirán uniformemente. $\{(\mathbf {a} _{i},\mathbf {b} _{i})\}\subset \mathbb {Z} _{q}^{n}\times \mathbb {T}$ $\mathbf {s}$ $i$ $\{\langle \mathbf {a} _{i},\mathbf {s} \rangle -\mathbf {b} _{i}\}$ $\chi$

Solución de búsqueda asumiendo una decisión

Para la otra dirección, dado un solucionador para el problema de decisión, la versión de búsqueda se puede resolver de la siguiente manera: Recupere una coordenada a la vez. Para obtener la primera coordenada, , haga una suposición y haga lo siguiente. Elija un número uniformemente al azar. Transforme las muestras dadas de la siguiente manera. Calcule . Envíe las muestras transformadas al solucionador de decisiones. $\mathbf {s}$ $\mathbf {s} _{1}$ $k\in \mathbb {Z} _{q}$ $r\in \mathbb {Z} _{q}$ $\{(\mathbf {a} _{i},\mathbf {b} _{i})\}\subset \mathbb {Z} _{q}^{n}\times \mathbb {T}$ $\{(\mathbf {a} _{i}+(r,0,\ldots ,0),\mathbf {b} _{i}+(rk)/q)\}$

Si la suposición fue correcta, la transformación lleva la distribución a sí misma y, de lo contrario, dado que es primo, la lleva a la distribución uniforme. Por lo tanto, dado un solucionador de tiempo polinómico para el problema de decisión que se equivoca con una probabilidad muy pequeña, ya que está acotado por algún polinomio en , solo se necesita tiempo polinómico para adivinar todos los valores posibles para y usar el solucionador para ver cuál es el correcto. $k$ $A_{\mathbf {s} ,\chi }$ $q$ $q$ $n$ $k$

Después de obtener , seguimos un procedimiento análogo para cada una de las demás coordenadas . Es decir, transformamos nuestras muestras de la misma manera y transformamos nuestras muestras calculando , donde está en la coordenada. ^[3] $\mathbf {s} _{1}$ $\mathbf {s} _{j}$ $\mathbf {b} _{i}$ $\mathbf {a} _{i}$ $\mathbf {a} _{i}+(0,\ldots ,r,\ldots ,0)$ $r$ $j^{\text{th}}$

Peikert ^[4] demostró que esta reducción, con una pequeña modificación, funciona para cualquier número que sea producto de primos distintos y pequeños (polinomios en ). La idea principal es si , para cada , adivinar y verificar si es congruente con , y luego usar el teorema del resto chino para recuperar . $q$ $n$ $q=q_{1}q_{2}\cdots q_{t}$ $q_{\ell }$ $\mathbf {s} _{j}$ $0\mod q_{\ell }$ $\mathbf {s} _{j}$

Dureza media de la caja

Regev ^[3] demostró la autorreducibilidad aleatoria de los problemas LWE y DLWE para valores arbitrarios y . Dadas muestras de , es fácil ver que son muestras de . $q$ $\chi$ $\{(\mathbf {a} _{i},\mathbf {b} _{i})\}$ $A_{\mathbf {s} ,\chi }$ $\{(\mathbf {a} _{i},\mathbf {b} _{i}+\langle \mathbf {a} _{i},\mathbf {t} \rangle )/q\}$ $A_{\mathbf {s} +\mathbf {t} ,\chi }$

Entonces, supongamos que hubiera algún conjunto tal que , y para distribuciones , con , DLWE fuera fácil. ${\mathcal {S}}\subset \mathbb {Z} _{q}^{n}$ $|{\mathcal {S}}|/|\mathbb {Z} _{q}^{n}|=1/\operatorname {poly} (n)$ $A_{\mathbf {s} ',\chi }$ $\mathbf {s} '\leftarrow {\mathcal {S}}$

Entonces habría algún diferenciador que, dadas las muestras , podría decir si fueron uniformemente aleatorias o de . Si necesitamos distinguir muestras uniformemente aleatorias de , donde se elige uniformemente al azar de , simplemente podríamos probar diferentes valores muestreados uniformemente al azar de , calcular y alimentar estas muestras a . Dado que comprende una gran fracción de , con alta probabilidad, si elegimos un número polinomial de valores para , encontraremos uno tal que , y distinguiremos con éxito las muestras. ${\mathcal {A}}$ $\{(\mathbf {a} _{i},\mathbf {b} _{i})\}$ $A_{\mathbf {s} ',\chi }$ $A_{\mathbf {s} ,\chi }$ $\mathbf {s}$ $\mathbb {Z} _{q}^{n}$ $\mathbf {t}$ $\mathbb {Z} _{q}^{n}$ $\{(\mathbf {a} _{i},\mathbf {b} _{i}+\langle \mathbf {a} _{i},\mathbf {t} \rangle )/q\}$ ${\mathcal {A}}$ ${\mathcal {S}}$ $\mathbb {Z} _{q}^{n}$ $\mathbf {t}$ $\mathbf {s} +\mathbf {t} \in {\mathcal {S}}$ ${\mathcal {A}}$

Por lo tanto, no puede existir tal cosa, lo que significa que LWE y DLWE son (hasta un factor polinomial) tan difíciles en el caso promedio como en el peor de los casos. ${\mathcal {S}}$

Resultados de dureza

Resultado de Regev

Para una red n -dimensional , denote el parámetro de suavizado más pequeño tal que donde es el dual de y se extiende a conjuntos sumando los valores de la función en cada elemento del conjunto. Denote la distribución gaussiana discreta en de ancho para una red y real . La probabilidad de cada uno es proporcional a . $L$ $\eta _{\varepsilon }(L)$ $s$ $\rho _{1/s}(L^{*}\setminus \{\mathbf {0} \})\leq \varepsilon$ $L^{*}$ $L$ $\rho _{\alpha }(x)=e^{-\pi (|x|/\alpha )^{2}}$ $D_{L,r}$ $L$ $r$ $L$ $r>0$ $x\in L$ $\rho _{r}(x)$

El problema de muestreo gaussiano discreto (DGS) se define de la siguiente manera: una instancia de se obtiene mediante una red de dimensiones y un número . El objetivo es generar una muestra de . Regev muestra que existe una reducción de a para cualquier función . $DGS_{\phi }$ $n$ $L$ $r\geq \phi (L)$ $D_{L,r}$ $\operatorname {GapSVP} _{100{\sqrt {n}}\gamma (n)}$ $DGS_{{\sqrt {n}}\gamma (n)/\lambda (L^{*})}$ $\gamma (n)\geq 1$

Regev demuestra entonces que existe un algoritmo cuántico eficiente para un acceso dado a un oráculo para un entero y tal que . Esto implica la dureza para LWE. Aunque la prueba de esta afirmación funciona para cualquier , para crear un criptosistema, el módulo tiene que ser polinomial en . $DGS_{{\sqrt {2n}}\eta _{\varepsilon }(L)/\alpha }$ $\mathrm {LWE} _{q,\Psi _{\alpha }}$ $q$ $\alpha \in (0,1)$ $\alpha q>2{\sqrt {n}}$ $q$ $q$ $n$

Resultado de Peikert

Peikert demuestra ^[4] que existe una reducción de tiempo polinomial probabilística desde el problema en el peor de los casos hasta la resolución utilizando muestras para los parámetros , , y . $\operatorname {GapSVP} _{\zeta ,\gamma }$ $\mathrm {LWE} _{q,\Psi _{\alpha }}$ $\operatorname {poly} (n)$ $\alpha \in (0,1)$ $\gamma (n)\geq n/(\alpha {\sqrt {\log n}})$ $\zeta (n)\geq \gamma (n)$ $q\geq (\zeta /{\sqrt {n}})\omega {\sqrt {\log n}})$

Uso en criptografía

El problema LWE sirve como un problema versátil utilizado en la construcción de varios ^[3]^[4]^[6]^[7] criptosistemas. En 2005, Regev ^[3] mostró que la versión de decisión de LWE es difícil asumiendo la dureza cuántica de los problemas de red (para como arriba) y con ). En 2009, Peikert ^[4] demostró un resultado similar asumiendo solo la dureza clásica del problema relacionado . La desventaja del resultado de Peikert es que se basa en una versión no estándar de un problema más fácil (en comparación con SIVP) GapSVP. $\mathrm {GapSVP} _{\gamma }$ $\gamma$ $\mathrm {SIVP} _{t}$ $t=O(n/\alpha )$ $\mathrm {GapSVP} _{\zeta ,\gamma }$

Sistema criptográfico de clave pública

Regev ^[3] propuso un criptosistema de clave pública basado en la dificultad del problema LWE . El criptosistema, así como la prueba de seguridad y corrección, son completamente clásicos. El sistema se caracteriza por y una distribución de probabilidad en . La configuración de los parámetros utilizados en las pruebas de corrección y seguridad es $m,q$ $\chi$ $\mathbb {T}$

$q\geq 2$ , generalmente un número primo entre y . $n^{2}$ $2n^{2}$
$m=(1+\varepsilon )(n+1)\log q$ para una constante arbitraria $\varepsilon$
$\chi =\Psi _{\alpha (n)}$ para , donde es una distribución de probabilidad obtenida al muestrear una variable normal con media y variación estándar y reducir el resultado módulo . $\alpha (n)\in o(1/{\sqrt {n}}\log n)$ $\Psi _{\beta }$ $0$ ${\frac {\beta }{\sqrt {2\pi }}}$ $1$

El criptosistema queda entonces definido por:

Clave privada : La clave privada se elige de manera uniforme y aleatoria. $\mathbf {s} \in \mathbb {Z} _{q}^{n}$
Clave pública : Elija vectores de manera uniforme e independiente. Elija compensaciones de error de forma independiente según . La clave pública consta de $m$ $\mathbf {a} _{1},\ldots ,\mathbf {a} _{m}\in \mathbb {Z} _{q}^{n}$ $e_{1},\ldots ,e_{m}\in \mathbb {T}$ $\chi$ $(\mathbf {a} _{i},b_{i}=\langle \mathbf {a} _{i},\mathbf {s} \rangle /q+e_{i})_{i=1}^{m}$
Cifrado : El cifrado de un bit se realiza eligiendo un subconjunto aleatorio de y luego definiéndolo como $x\in \{0,1\}$ $S$ $[m]$ $\operatorname {Enc} (x)$

\left(\sum _{i\in S}\mathbf {a} _{i},{\frac {x}{2}}+\sum _{i\in S}b_{i}\right)

Descifrado : El descifrado de es si está más cerca de que de , y en caso contrario. $(\mathbf {a} ,b)$ $0$ $b-\langle \mathbf {a} ,\mathbf {s} \rangle /q$ $0$ ${\frac {1}{2}}$ $1$

La prueba de corrección se desprende de la elección de parámetros y de algún análisis de probabilidad. La prueba de seguridad se obtiene por reducción a la versión de decisión de LWE : un algoritmo para distinguir entre cifrados (con los parámetros anteriores) de y puede utilizarse para distinguir entre y la distribución uniforme sobre $0$ $1$ $A_{s,\chi }$ $\mathbb {Z} _{q}^{n}\times \mathbb {T}$

Sistema criptográfico seguro CCA

Peikert ^[4] propuso un sistema que es seguro incluso contra cualquier ataque de texto cifrado elegido .

Intercambio de claves

La idea de utilizar LWE y Ring LWE para el intercambio de claves fue propuesta y presentada en la Universidad de Cincinnati en 2011 por Jintai Ding. La idea surge de la asociatividad de las multiplicaciones de matrices y los errores se utilizan para proporcionar seguridad. El artículo ^[8] apareció en 2012 después de que se presentara una solicitud de patente provisional en 2012.

La seguridad del protocolo se demuestra en base a la dificultad de resolver el problema LWE. En 2014, Peikert presentó un esquema de transporte de claves ^[9] que sigue la misma idea básica de Ding, donde también se utiliza la nueva idea de enviar una señal de 1 bit adicional para el redondeo en la construcción de Ding. La implementación de la "nueva esperanza" ^[10] seleccionada para el experimento post-cuántico de Google, ^[11] utiliza el esquema de Peikert con variación en la distribución de errores.

Aprendizaje de anillos con firma de errores (RLWE-SIG)

Artículo principal: Aprendizaje de anillos con firma de errores

En 2011, Lyubashevsky creó una versión RLWE del protocolo clásico de identificación Feige-Fiat-Shamir y la convirtió en una firma digital. En 2012, Gunesyu, Lyubashevsky y Popplemann ampliaron los detalles de esta firma y los publicaron en su artículo "Criptografía práctica basada en red: un esquema de firma para sistemas integrados". Estos artículos sentaron las bases para una variedad de algoritmos de firma recientes, algunos basados directamente en el problema de aprendizaje en anillo con errores y otros que no están vinculados a los mismos problemas RLWE complejos.

Véase también

Referencias

^ ab Regev, Oded (2009). "Sobre redes, aprendizaje con errores, códigos lineales aleatorios y criptografía". Revista de la ACM . 56 (6): 1–40. arXiv : 2401.03703 . doi :10.1145/1568318.1568324. S2CID 207156623.
^ Lyubashevsky, Vadim; Peikert, Chris; Regev, Oded (noviembre de 2013). "Sobre redes ideales y aprendizaje con errores sobre anillos". Revista de la ACM . 60 (6): 1–35. doi :10.1145/2535925. ISSN 0004-5411. S2CID 1606347.
^ abcdefgh Oded Regev, “Sobre redes, aprendizaje con errores, códigos lineales aleatorios y criptografía”, en Actas del trigésimo séptimo simposio anual de la ACM sobre teoría de la computación (Baltimore, MD, EE. UU.: ACM, 2005), 84–93, http://portal.acm.org/citation.cfm?id=1060590.1060603.
^ abcdef Chris Peikert, “Sistemas criptográficos de clave pública a partir del problema del vector más corto en el peor de los casos: resumen extendido”, en Actas del 41.º simposio anual de la ACM sobre teoría de la computación (Bethesda, MD, EE. UU.: ACM, 2009), 333–342, http://portal.acm.org/citation.cfm?id=1536414.1536461.
^ Peikert, Chris (1 de octubre de 2014). "Criptografía en red para Internet". En Mosca, Michele (ed.). Criptografía postcuántica . Notas de clase en informática. Vol. 8772. Springer International Publishing. págs. 197–219. CiteSeerX 10.1.1.800.4743 . doi :10.1007/978-3-319-11659-4_12. ISBN . 978-3-319-11658-7.S2CID8123895 .
^ Chris Peikert y Brent Waters, “Funciones de trampa con pérdida y sus aplicaciones”, en Actas del 40º simposio anual de la ACM sobre teoría de la computación (Victoria, Columbia Británica, Canadá: ACM, 2008), 187-196, http://portal.acm.org/citation.cfm?id=1374406.
^ Craig Gentry, Chris Peikert y Vinod Vaikuntanathan, “Trampillas para redes duras y nuevas construcciones criptográficas”, en Actas del 40º simposio anual de la ACM sobre teoría de la computación (Victoria, Columbia Británica, Canadá: ACM, 2008), 197-206, http://portal.acm.org/citation.cfm?id=1374407.
^ Lin, Jintai Ding, Xiang Xie, Xiaodong (1 de enero de 2012). "Un esquema de intercambio de claves simple y demostrablemente seguro basado en el problema del aprendizaje con errores". Archivo de criptografía electrónica .{{cite journal}}: CS1 maint: multiple names: authors list (link)
^ Peikert, Chris (1 de enero de 2014). "Criptografía en red para Internet". Archivo de ePrints de criptología .
^ Alkim, Erdem; Ducas, Léo; Pöppelmann, Thomas; Schwabe, Peter (1 de enero de 2015). "Intercambio de claves postcuántico: una nueva esperanza". Archivo de ePrints de criptología .
^ "Experimentando con criptografía post-cuántica". Blog de seguridad en línea de Google . Consultado el 8 de febrero de 2017 .