低精度高斯採樣將如何影響 BLISS 的安全性？

對於數字簽名，我在我的密碼套件中實現了 BLISS ，並基於Lattice Signatures 和 Bimodal Gaussians編寫了高斯採樣器。但與參考實現和 StrongSwan 不同的是，我使用了 32 位浮點預計算常量而不是整數數組，我認為整數數組將在我的目標平台上可用。

圖為我的BLISS-I採樣器預設的16384次迭代累積採樣分佈圖。

本質上，我的問題是：

• 低精度高斯採樣將如何影響安全性或其他方面？
• 在加密採樣中使用 32 位浮點是一個壞主意嗎？

請注意，圖片中的峰值奇點是由於在移位和算術執行前向零舍入之前的水平縮放，而不是實現中的錯誤。（並且修改了圖像生成算法）

對於您的第一個問題： 我假設您正在談論原始 BLISS 論文的算法 8 中的預計算值。Bai 等人最近的一篇論文。已經表明（見表 1）這些值可以以比最初聲稱的更低的精度儲存，而不會損害安全性。對於 BLISS-I，分析產生40 位的精度。對於其他參數集，您必須使用論文的公式重新計算精度。

對於您的第二個問題： 所需的精度取決於您的採樣方式；採樣高斯的方法有很多，而且還取決於您的方案的參數……話雖如此，32 位似乎非常非常低。上述論文中獲得的 40 位精度是我所知道的最好的。

引用自：https://crypto.stackexchange.com/questions/37935