NBS:LWE問題及其公鑰密碼方案_CRYPT

錯誤學習問題（Learning with Errors，簡稱LWE）由Regev在2005年提出，該問題已經成為格密碼學中廣泛使用的密碼學基礎。LWE問題是一個平均情況下的問題，Regev在論文中將LWE問題量子歸約到格上標準困難問題。因此在LWE問題之上建立的所有密碼學方案，都能夠將其安全建立在格問題的最壞情況下困難性之上。

本文節選自陳智罡博士的博士論文。

1.1.1     LWE問題

LWE問題就是給出一些關于秘密向量s的“近似”隨機線性方程，其目標是恢復秘密向量s。例如給出如下一些“近似”隨機線性方程：

DeFi和鏈游公司Spielworks與Cronos等合作推出 Web3 游戲加速器“Wombat X”:金色財經報道，DeFi 和鏈游公司 Spielworks 宣布推出 Web3 游戲加速器“Wombat X”，該加速器的合作伙伴包括基于 Cosmos SDK 構建的 EVM 兼容 Layer 1 網絡 Cronos、以及 Web3 基礎設施服務提供商 Newcoin，其他參與者包括 EOS Network 基金會、Avicenne、Lifty、Beamable。據悉，入選 Wombat X 加速器的 Web3 游戲項目將獲得資助、教育、以及游戲玩家社區參與等方面的支持。（businesswire）[2023/5/12 14:58:36]

14s1+ 15s2+ 5s3+ 2s4≈8  (mod 17)

機構加密貨幣交易平臺Elwood Technologies擴大產品范圍:2月14日消息，機構加密貨幣交易平臺Elwood Technologies通過引入一套風險管理工具，增加了其為機構客戶提供的服務。

首席執行官James Stickland在周二的一份聲明中表示，旨在為客戶提供“維護傳統資產類別設定的標準”的工具。Elwood的新產品包括實時頭寸和風險敞口跟蹤、情景分析和抵押品監控。（CoinDesk）[2023/2/14 12:06:53]

13s1+ 14s2+ 14s3+ 6s4≈16 (mod 17)

CoolBitX與Crypto.com合作推出CoolWallet Pro硬件錢包:金色財經報道，區塊鏈安全公司CoolBitX宣布與加密貨幣平臺Crypto.com合作，推出特別版CoolWallet Pro硬件錢包。CoolWallet的官方網站已經整合了Crypto.com Pay，為用戶以加密貨幣支付和接收付款提供現金返還和其他獎勵。Crypto.com Pay支持超過25種加密貨幣，包括BTC、ETH、DOGE，支持通過Crypto.com App和其他ERC-20錢包進行CRO支付。（prnewswire）[2021/10/26 20:57:57]

6s1+ 10s2+ 13s3+ 1s4≈3 (mod 17)

BiKi平臺幣種ALLWIN今日漲幅21.93%:據BiKi行情數據顯示，截止今日13:40（ GMT+8），平臺內幣種ALLWIN今日漲幅21.93%，現價0.348979USDT。行情波動較大，請注意風險控制。[2021/4/3 19:42:47]

10s1+ 4s2+ 12s3+ 16s4≈12 (mod 17)

…………

9s1+ 5s2+ 9s3+ 6s4≈9   (mod17)

在上述每個方程中，加入了一個小的錯誤，該錯誤在+1和-1之間，目標是恢復向量s。如果上述方程中沒有加入錯誤，則使用高斯消元法就可以在多項式時間內恢復向量s。但是由于加入了錯誤，使得該問題變得非常的困難。

LWE問題定義 參數n ≥1，模q ≥ 2，是上的一個錯誤概率分布。是上的一個概率分布，該分布通過如下方式獲得：隨機均勻選擇一個向量a∈，根據分布選擇錯誤向量e∈，輸出（a，b=< a , s > +emod q）。LWE問題是對于s∈，給出任意數量的從取出的獨立實例，其目的是輸出s。

LWE判定問題  上述LWE問題是一個LWE搜索問題，密碼學中更感興趣的是LWE問題的另外一個版本：平均情況下的LWE判定問題。即對于隨機均勻選擇的s∈，能夠以不可忽略的概率區分分布與均勻分布上的實例。判定LWE問題可以歸約到搜索LWE問題。

如果在均勻選擇秘密向量s的情況下，判定LWE問題可以被解決，則對于所有秘密向量s，判定LWE問題都可以被解決。

LWE問題與BDD問題  上述LWE問題定義中，對于m個從取出的獨立實例，可以用隨機均勻矩陣A∈和b=AT s+e表出。所以LWE問題可以看成是隨機格上的BDD問題。

參數說明  分布是一個標準偏離是的類似高斯分布，其中，通常取為1/poly（n）。模q一般是關于n的多項式。LWE實例的數量并不重要。

LWE問題的困難性 以下三個原因說明LWE問題是困難的。第一，已知最好的求解LWE問題的算法運行時間是指數級的，即使是對量子計算機也沒有任何幫助。第二，LWE問題是LPN問題的自然擴展，而LPN問題在學習理論中被廣泛研究而且普遍認為是困難的。此外LPN問題可以形式化為隨機線性二元碼的解碼問題，如果LPN問題的求解算法有一點進步，則意味著編碼理論的一個突破。第三，也是最重要的，LWE問題被歸約到最壞情況下的格上標準困難問題，例如GapSVP和SIVP[11,85]。

Regev在2005年證明了只要，那么在平均情況下解決LWE問題，其困難性至少與使用量子算法近似格上標準困難問題相同，其中近似因子是。隨后Peikert在2009年給出了一個相同近似因子的經典約減而非量子約減，但是需要滿足q≥2n/2。最近Brakerski等人在2013年給出了在q為多項式的情況下的一個經典LWE問題的約減，但是在維數上有所損失[120]。

在LWE問題中，s可以隨機均勻的取自于。這一方面使得的長度可以更短，另外一方面其困難性不變。

假設根據高斯分布選擇的錯誤向量長度的界是B，則有B≤，得到，從而。該式反映了近似因子與q/B的大小有關，而q/B又與全同態加密方案的計算深度有關，所以當維數n和B固定的情況下，模q越大，全同態加密方案的安全性越低，而全同態加密方案的同態計算能力越高。

Tags：NBSBSPMODCRYPTnbs幣最新消息BSPTDMOD幣Cryptolandy

歐易交易所