LWE 的參數
在LWE 問題中,有兩種方法可以選擇安全參數。Lindner-Peikert 和 Miciancio-Regev 方法。第一種方法是對 BDD 的攻擊:知道距離是有界的,找到最近的向量。第二種方法使用SIS問題的區分器來攻擊Decision-LWE。如果有人應用前面的方法之一,最終會找到 LWE 參數的一些值。在本文(表 1,第 15 頁)中,這已針對 Ring LWE 的情況進行。我的問題是,如果有人知道 LWE 案例的類似參考,它建議了安全參數的特定值。
正如評論中所提到的,在解決學習錯誤的算法領域仍然有很多積極的研究正在進行,因為顯然它是估計基於 LWE 的密碼學安全性的一個重要主題。因此,如果您希望今天的參數選擇是準確的,那麼依賴 5 年前的論文可能已經不是一個好主意。
例如,在Crypto 2015上,有兩篇重要論文(此處和此處)關於提高 BKW 的複雜性以解決 LWE,導致當時被認為“安全”的新參數建議。解決 LWE 的其他方法,例如基於格基縮減方法的方法,如LLL和BKZ ( 2.0 ),直接受到 SVP 算法的最新復雜度的影響。在這個方向上還有很多工作正在進行,SVP 挑戰網站讓您合理地了解目前在學術實踐中可以實現的目標。
也有人嘗試開發更有效的量子算法來解決 LWE(因為基於格的密碼學通常被聲稱可以安全地抵禦量子攻擊),而就在幾個月前,由於有人聲稱找到了一種有效的LWE 的量子算法。事實證明這是不正確的,但是對於選擇參數,您必須問自己是否要(稍微)增加參數以實現量子安全,或者選擇較小的參數並僅保持經典安全。
最後,即使您完全了解解決 LWE 的最新方法,仍然可以通過各種方式選擇參數,從激進/優化到保守/安全。您是否選擇參數使得目前最佳攻擊將採取 $ 2^{80} $ 時間?因此,對算法的任何小的改進都可能使最好的攻擊只需要 $ 2^{60} $ 時間?或者你是否選擇參數使得目前最好的攻擊至少需要 $ 2^{120} $ 這樣即使有一些改進,您也不必在不久的將來調整您的參數?
無論如何,有幾個人/論文試圖按照某種方法選擇具體的參數,或者批評其他人選擇錯誤的參數。下面是過去兩年在這個方向上的更多閱讀材料 - 只需在Cryptology ePrint 檔案中搜尋術語“LWE”即可找到許多論文。
- https://eprint.iacr.org/2017/047 - 考慮對小秘密 LWE 的攻擊,破壞以前認為安全的參數選擇。
- https://eprint.iacr.org/2016/1126 - 討論攻擊以及為其基於 LWE 的加密方案選擇參數的方法。
- https://eprint.iacr.org/2016/659 - 關於為基於經典 LWE 的密鑰交換選擇參數(與下面提到的環 LWE 變體 New Hope 相對)。
- https://eprint.iacr.org/2016/380 - 在 LWE 上執行 BDD 攻擊的實驗結果。
- https://eprint.iacr.org/2015/1222 - LWE 不同方法的漸近分析。
- https://eprint.iacr.org/2015/1092 - 基於 Ring-LWE 的密鑰交換,具有保守的參數估計。獲得網際網路防禦獎,正在接受Google測試。