Key-Exchange
*-LWE 相當於 Diffie-HellmanGX2GX2g^{x^2}脆弱性
在A 和 B 選擇相同的隨機數時 Diffie-Hellman 的安全性會降低嗎?,再次提出了 Diffie-Hellman 密鑰交換產生相同對等密鑰的可能性以及它對被動攻擊的脆弱性 - 作為副本。
但是在 *-LWE 系列基於格的密鑰交換中是否存在等價物?我的問題是,在不考慮諸如 Fujisaki-Okamoto 變換和類似 LPR 的加密方案之類的 CCA 強化的情況下,進行簡單的 *-LWE 密鑰交換:
- Q1:有等效漏洞嗎?
- Q2:*-LWE 密鑰交換的什麼數學特性使這種漏洞成為可能或不可能?
給定 $ (A, Ax + e) $ 和 $ (A, x^tA+e’) $ ,您可以(至少)做一件可能有趣的事情來解決 LWE。即,計算樣本
$$ (A+ A^t, Ax + e + (x^tA+e’)^t) = (A+A^t, (A + A^t)x + e + {e’}^t) $$
所以你可以將 LWE 減少到 LWE 的情況,其中隨機矩陣 $ A + A^t $ 是對稱的。我不太清楚這是否可以幫助您進行密碼分析-它在問題中引入了一些結構,但是
- 它的結構似乎比 RLWE/MLWE 引入的假設少(例如, $ n $ 維對稱矩陣由下式確定 $ O(n^2) $ 參數,而如果您將 RLWE 樣本視為“矩陣”,則它具有 $ O(n) $ 參數)。
- 目前尚不清楚該結構將如何發揮作用。
最後一點,我主要是說我不知道對稱隨機線性碼(或隨機格)更容易解決 CVP。如果這是真的,它將立即暗示您感興趣的漏洞。