Lwe
為什麼 Ring-LWE 比 LWE 更高效?
有人可以告訴我為什麼 Ring-LWE 更高效嗎?
通過引入多項式代替矩陣,我們引入了什麼樣的優化來使 Ring-LWE 更高效?
先前(驚破天)的回答給出了 Ring-LWE 更高效的兩個很好的理由。他們解釋了為什麼 LWE 方案的執行時間比 Ring-LWE 的差。(n^2 vs n 方程更多的是效率問題,因為在這兩種情況下,這部分密鑰都是使用 XOF 從 256 位種子擴展而來的。因此,擴展 LWE 密鑰比擴展 LWE 密鑰需要更長的時間。環-LWE 一)。
除了速度優勢,還有基於 Ring-LWE 的尺寸優勢方案。在 PKE 中,消息空間對應於環的大小——因此,在 n 維環上的 ring-LWE 允許加密更大的消息而無需額外費用。
在 Fiat-Shamir 數字簽名(由 Sigma 協議建構的簽名)中,環維度決定了挑戰空間的大小。挑戰空間越大,方案的健全性誤差越小,底層辨識方案必須重複的次數越少,簽名越短。
在使用正常 LWE 時,有一些方法可以繞過消息/挑戰空間,但這些方法總是需要將公鑰的大小增加一個與安全參數相關的因素。