在基於 RLWE 的參數下使用基於 LWE 的密碼系統是否安全？

我是電腦人，密碼學有問題。

我最近閱讀了在 LWE 和 RLWE 假設下建構的 BGV 同態加密論文。

我正在實施 BGV 加密的門檻值版本$$ AJW12 $$使用在 RLWE 假設下優化的 HElib，我發現

$$ AJW12 $$證明了 LWE 假設下的安全性。 一篇論文$$ LN16 $$說 RLWE 是 LWE 問題的一個特例。

所以，我認為

$$ AJW12 $$RLWE 參數下的加密仍然是安全的，但我不確定。 我對嗎？

我對嗎？

可能，但不能保證，即使我們假設 LWE 是安全的。

RLWE 是 LWE 的一個特殊實例；但是，這並不意味著如果 LWE 是安全的，RLWE 就是安全的。如果我們有一個隨機實例，則 LWE 假設成立；也就是說，從特定的機率分佈中選擇一個。RLWE 問題具有不同的機率分佈；其中絕大多數 LWE 實例的機率為 0。LWE 將選擇一個具有非零機率的實例作為 RLWE 實例的機率可以忽略不計。可能是 RLWE 實例碰巧很弱；這實際上不會影響 LWE 的安全性。

現在，不知道任何此類弱點都適用於 RLWE。但是，也沒有證明也不存在。

引用自：https://crypto.stackexchange.com/questions/57732