Post-Quantum-Cryptography
如何處理針對大量查詢的具體安全性?
一般來說, $ O(1/\epsilon^2) $ 需要查詢來區分最多統計上接近的兩個分佈 $ \epsilon $ .
這種非正式狀態處理所需數量的查詢以區分兩個分佈。但是,我找不到任何聲明,當我們有 $ Q $ 查詢,那麼我們可以區分一些下的兩個分佈 $ P $ 可能性。
關於密碼學領域的一些常識,我有幾個問題。
- 如何針對大量查詢正式編寫有關具體安全性的聲明?
- 我們如何設置參數以防止對手受到允許 $ Q $ 查詢?作為標準決策問題,對手的優勢可以忽略不計?
- 為什麼 NIST PQC 標準化建議參數對查詢數量是安全的 $ 2^{64} $ ? 有什麼特殊原因嗎?隱含共識與什麼有關 $ 2^{64} $ ?
在分佈測試領域研究了區分分佈。有關更多資訊,請參閱此調查。特別是,我相信調查表明正確的樣本界限包括一個大致如下形式的術語 $ O(|\Omega|/\epsilon^2) $ , 在哪裡 $ \Omega $ 是底層分佈的支撐。
至於你的具體問題:
- 通常,在提出 Renyi 散度參數時,查詢邊界會出現在密碼學中,因為人們通常可以通過限制查詢來獲得顯著收益(比如 $ q \leq 2^{64} $ , 而不是 $ 2^{128} $ ,這是 128 位安全性的“微不足道”界限)。例如,請參見Thomas Prest 的這張幻燈片(或一般來說他最近的出版物 — 他對在格密碼學中開發 renyi 分歧論證非常感興趣)。
- 當您被允許設置查詢範圍時設置參數,請參閱幻燈片。特別是,他研究了聲稱 100 位安全性的特定算法(Micciacio Walter 卷積採樣器)的範例,並表明(最多 $ 2^{96} $ 查詢)採樣器實際上實現了 256 位的安全性。對於不同的算法,他能夠設置參數,使得算法所需的某些狀態小一個數量級。
不過,我真的不能以任何具體的方式談論第三個問題。