用於基於格的密碼學的硬體高斯隨機數
我最近一直在閱讀有關基於格的密碼學。
我讀到此類協議的一個關鍵方面依賴於在晶格上添加的高斯雜訊,因此需要高效且恆定時間的高斯採樣器,這似乎需要非平凡的算法。對於我所得到的,這仍然是可以在基於格的密碼學中改進的東西。
我知道有自然產生高斯分佈的硬體隨機數生成器。例如,來自有源和無源元件的熱電子雜訊通常表現出高斯行為。還已知一些光學隨機數發生器會產生不可預測且正態分佈的隨機數。
我的問題是:高斯硬體隨機數生成器能否在添加基於格的密碼學安全所需的高斯雜訊方面發揮作用?
或者,關於如何建構這些高斯採樣器,我是否缺少一些基本的東西?也許與標準差的選擇有關?還是因為某些確定性是首選?
理解這一點的任何幫助都會有所幫助,還有任何關於在哪裡找到好的(簡單的 :-D )介紹基於格的密碼學中的高斯採樣的說明。
我是這個領域的新手,如果我說的不准確或不正確,請原諒我
親切的問候,拉法
您將離散高斯採樣與高斯採樣混淆了。參數的離散高斯 $ \mu, \sigma $ 是支持的隨機變數 $ \mathbb{Z} $ 與 pmf: $$ \Pr[X = k]\propto \exp(-\pi |x-\mu|^2/\sigma^2) $$ 參數的連續高斯 $ \mu, \sigma $ 是支持的隨機變數 $ \mathbb{R} $ 與pdf: $$ \Pr[X = r] \propto\exp(-\pi |x - \mu|^2/\sigma^2) $$ 一個自然的希望是離散高斯只是“四捨五入到最接近整數的連續高斯”。情況並非如此(留下兩個分佈,雖然相似,但並不相同。一個特別的區別是我不相信兩個舍入高斯的總和是捨入高斯,但在適當的限制下,這適用於離散高斯)。話雖如此,人們可以調整某些證明以使用“圓角高斯”,這是 Hulsing 等人的這篇論文。做。
請注意,離散高斯分佈比連續高斯分佈更難採樣。雖然(在適當的限制下)它仍然滿足離散高斯的總和是離散高斯的“卷積定理”,但需要某些在連續情況下不存在的限制。另一個不同的例子是不存在離散高斯的Box-Muller 變換的類似物,這是從均勻隨機源生成連續高斯的一種相當有效的方法。
有時甚至可以使用似乎與離散高斯關係不太相關的隨機變數,即二項式隨機變數(在恆定時間內從中採樣非常有效)。有關此問題的一些討論,請參閱Kyber 論文(目前 NIST PQC 第 2 輪 KEM 候選)的第 14 頁。Dilithium(NIST PQC 第 2 輪簽名候選)使用均勻雜訊,因為擔心在恆定時間內有效地實現離散高斯採樣。
至於對文獻的良好介紹,之前有一些關於硬體實現的工作(here,雖然我對硬體的了解不夠,無法評估工作。除此之外,Miccincio 有一些與最近工作的連結,儘管它缺少一些去年的論文(本質上是對目前 NIST PQC 候選人採樣器的更新)。
我一般喜歡 Michael Walter 對現有方法的闡述(參見本文的第 6節或本文的第 3 節)。如果從那裡開始,然後再看看最近關於 NIST PQC 第 2 輪候選的工作(特別是基於格的簽名方案 Falcon 和 qTESLA),那將是一個非常好的開始。