在 R-LWE 中,從正態分佈而不是均勻分佈生成秘密有什麼優勢
在來自Lattice Cryptography for the Internet 的這句話(第 8 頁)中,作者說我們可以使用錯誤分佈(與我們用來生成錯誤的相同)來生成秘密。我的問題是考慮到從正態分佈中採樣是昂貴的,使用正態分佈來生成秘密而不是從均勻分佈中生成秘密的正態方法是否有任何優勢。我只是想知道。只是為了證明如果秘密也從相同的正態分佈中生成,證明有效……
因為它令人困惑且沒有意義,newHope 從分佈中生成秘密(newhope 的情況下為二項式)(第 3 頁),並且此密鑰交換協議也使用正態分佈來生成秘密(第 8 頁)。
如果我理解正確,在 LWE 中,正態分佈只會產生錯誤,而不是秘密。R-LWE 和 R-LWE 密鑰交換也是如此。從正態分佈中採樣成本很高,我們希望誤差接近於零,這樣我們就可以協調密鑰,但為什麼秘密應該接近於零呢?
我們現在回顧一下環 LWE 機率分佈和(決策)計算問題。為了我們的應用程序的簡單和方便,我們以離散的“正常”形式提出問題,其中所有數量都來自 $ R $ 或者 $ R_q = R/qR $ ,並且秘密是從(離散的)誤差分佈中得出的。
Ring-LWE(或LWE)加密中的秘密和錯誤都不需要從正態分佈中生成。只有為了獲得最嚴格的安全證明,人們才會關心分佈的“形狀”。對於實際的密碼分析,這無關緊要——只有秘密(和雜訊)的大小才重要。
話雖如此,正態分佈有一個優勢。在解密期間,看起來像 $ \langle s,e\rangle $ (秘密向量的內積 $ s $ 和誤差向量 $ e $ ) 出現在解密中。我們想要的安全是 $ s $ 和 $ e $ 有很大的規範。我們要避免的解密錯誤是 $ \langle s,e\rangle $ 是小。如果一個人想要有向量 $ s $ 和 $ e $ 特定的 $ l_2 $ 範數並使其內積盡可能小,則應從正態分佈中選擇這些向量。
二項式分佈非常接近正態分佈,並且更容易生成。這就是為什麼它是實際應用的不錯選擇。
編輯:我原來的答案是不完整的。實際上,如果只關心上述兩個屬性,則均勻分佈與二項分佈一樣好。二項分佈的主要優點是它具有更多的熵。這對於防止暴力破解和中間人攻擊很重要。