基於格的簽名的拒絕採樣推理

我是格子新手。根據拒絕採樣部分的格子簽名和雙峰高斯。在 Schnorr，GQ 你可以簡單地承諾 $ y $ , 用它來隱藏密鑰 $ s $ . 但這在格子中不起作用。你需要用一個小的隱藏密鑰 $ y $ . 事實證明，許多舊的基於格的簽名洩露了部分密鑰。相反，我們必須從窄分佈中選擇 y，然後執行拒絕抽樣，以便 $ s $ 我們添加的時候不會洩露 $ y $ 給它。

現在：

1. 狹窄的分佈是什麼意思？
2. 這意味著什麼 $ y $ 要小嗎？
3. 為什麼這是格子中的一個問題？

1. 窄意味著，分佈的輸出很可能很小。
2. 小是指歐幾里得空間中向量的歐幾里得範數 $ \mathbb R^n $ . 更具體地說， $ v $ 非正式地說是小意思 $ |v| \leq B $ 為了一些價值 $ B > 0 $ 選擇足夠大以使給定方案能夠解決，但又足夠小以使格子問題 SIS 保持困難。
3. 在基於格的加密之外，這不是問題，因為在有限群中 $ G $ ， 如果 $ x \in G $ 是統一的，所以是 $ x+c $ . 我們不能簡單地在無界空間上這樣做，例如 $ \mathbb R^n $ .

引用自：https://crypto.stackexchange.com/questions/64544