明文和密文模量的關係是否影響BGV/BV SwHE的安全性?
由於 Brakerski 和 Vaikuntanathan (BV) 和 Brakerski-Gentry-Vaikuntanathan (BGV) 的 SwHE 方案具有共同的概念,其中消息位放在密文的最低有效位中。讓 $ t, q\in \mathbb{Z} $ 是分別確定明文和密文空間的模數。BV 和 BGV 計劃要求 $ t $ 和 $ q $ 成為共質。
讓
- $ \mathbf{s} \in \mathbb{Z}_q^n $ :從密鑰分發中採樣的密鑰
- $ \mathbf{e} \in \mathbb{Z}_q $ :從錯誤分佈中採樣的錯誤
- $ \mathbf{a} \in \mathbb{Z}_q^n $ : 一個隨機向量採樣自 $ \mathbb{Z}_q^n $ 均勻隨機。
- $ m \in \mathbb{Z}_t $ : 一個消息。
然後, $$ (\mathbf{a}, b):=(\mathbf{a}, \langle \mathbf{a},\mathbf{s} \rangle + t\cdot e + m) \in \mathbb{Z}^n \times \mathbb{Z} $$ 是一種對稱加密 $ m $ . 通過計算解密 $ ((b - \langle \mathbf{a}, \mathbf{s} \rangle) \mod q )\mod t $ .
這是明文和密文的空間關係嗎( $ t $ 和 $ q $ 是否需要共同質押?如果發生什麼 $ q $ 可以被 $ t $ ? 我知道模數切換不起作用,因此至少會影響正確性。保安呢?
這是安全所必需的。考慮是否 $ q $ 是的倍數 $ t $ , 所以 $ q = v\cdot t $ . 獲取你的密文 $ (a, \langle a, s \rangle + t\cdot e + m) $ 並乘以 $ v $ . 你現在有 $$ (v\cdot a, \langle v\cdot a, s \rangle + v\cdot t\cdot e + v \cdot m) = (v\cdot a, \ \langle v \cdot a, s \rangle + v\cdot m) \mod q $$ 假設你在玩 CPA 遊戲,那麼只有兩個可能的值 $ m $ ,你知道的,所以試著減去 $ v\cdot m $ 從第二個元素開始,並使用您最喜歡的算法解決“無錯誤學習”問題,以解決線性方程組(高斯消元法適用於 BV 和 BGV)。
對於更一般的答案,如果 $ t $ 是環中的零除數 $ \mathbb{Z}_q $ ,上述攻擊將起作用,因為您可以通過乘以一個非零值來消除錯誤。通過強制 $ t $ 和 $ q $ 互質,消除錯誤的唯一方法是乘以 $ q $ , 在環中為 0 $ \mathbb{Z}_q $ .