Обучение с ошибками

Обучение с ошибками (англ. Learning with errors, LWE) — задача нахождения многочлена с коэффициентами из определённого кольца вычетов, для которого дана система линейных уравнений, в которой есть ошибки (что делает простую вычислительную задачу сложной).

Представленная^[1] Одедом Регевым в 2005 году LWE оказалась удивительно универсальной основой для криптографических конструкций, в частности, для создания постквантовых криптографических алгоритмов^[1]^[2]^[3].

Вариант задачи обучения с ошибками, в котором многочлены рассматриваются в фактор-кольце по модулю заданного многочлена, называется обучение с ошибками в кольце.

Определение

Зафиксируем параметр $n\geqslant 1$ , модуль $q\geqslant 2$ и распределение вероятности «ошибки» $\chi$ на ${Z}_{q}$ . Пусть $A_{\mathbf {s} ,\chi }$ — распределение вероятности на $\mathbb {Z} _{q}^{n}\times \mathbb {Z} _{q}$ , полученное выбором вектора $\mathbf {a} \in \mathbb {Z} _{q}^{n}$ равномерно случайно, выбором ошибки $\mathbf {e} \in \mathbb {Z} _{q}$ в соответствии с $\chi$ и полученным выражением $(\mathbf {a} ,\langle \mathbf {a} ,\mathbf {s} \rangle +e)$ , где $\textstyle \langle \mathbf {a} ,\mathbf {s} \rangle =\sum _{i=1}^{n}a_{i}s_{i}$ и сложение производится по модулю $q$ .

Говорят^[4], что алгоритм решает задачу $\mathrm {LWE} _{q,\chi }$ , если для любого $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ , имея произвольное полиномиальное число независимых соотношений из $A_{\mathbf {s} ,\chi }$ он с высокой вероятностью выдаст $s$ .

История появления

Возникновение концепции LWE отслеживается в работах Миклоша Айтаи^[англ.] и Синтии Дворк^[5]. Они описали первую криптосистему на открытых ключах, использующую криптографию на решётках, и последующие её улучшения и модификации^[6]. LWE не была в явном виде представлена в этих работах, однако тщательное исследование конструкции Айтаи—Дворк, упрощённой в работе Регева^[7], показывает^[4], что идеи LWE неявно возникают в этой работе.

Ранние исследования в этой области^[5]^[7] опирались на недостаточно хорошо изученную задачу нахождения уникального кратчайшего вектора. Долгое время было непонятно, можно ли заменить её более стандартными задачами на решётках. Позднее Крис Пейкерт^[8] и Вадим Любашевский с Даниэле Миччанчо выяснили^[9], что задача нахождения уникального кратчайшего вектора на самом деле является эквивалентом стандартной задачи на решетках GapSVP, что привело к более ясной картине в данной области.

Пример задачи

Рассмотрим типичную задачу LWE^[4]: необходимо восстановить вектор $x\in \mathbb {Z} _{q}^{n}$ , имея последовательность приближенных линейных уравнений по x. Например:

{\begin{cases}14x_{1}+15x_{2}+5x_{3}+2x_{4}=8(mod17)\\13x_{1}+14x_{2}+14x_{3}+6x_{4}=16(mod17)\\\dots \\6x_{1}+7x_{2}+16x_{3}+2x_{4}=3(mod17),\\\end{cases}}

где каждое соотношение верно с некоторой маленькой дополнительной ошибкой, скажем, ± $1$ , и наша цель восстановить $x$ (в данном примере $x=(0,13,9,11)$ ). Без ошибки найти $x$ было бы просто: например, за полиномиальное время, используя метод Гаусса. Учёт же ошибки делает задачу значительно более трудной, поскольку с каждой итерацией ошибка возрастает и в конечном итоге достигает неуправляемых значений^[4].

Криптографические приложения

Диапазон криптографических приложений LWE становится в последнее время достаточно широким. Кроме приведенного ниже примера криптосистемы, существуют и более эффективные схемы^[2]^[10]. Более того, использование Ring-LWE может сделать систему реально применимой^[11].

LWE может использоваться как основа для создания криптографических схем, предоставляющих полностью гоморфное шифрование. Например, она использовалась в реализации открытой для общественного пользования библиотеки FHEW^[12].

Система на открытых ключах

Рассмотрим простой пример криптосистемы на открытых ключах, предложенной Регевом^[1]. Она опирается на сложность решения задачи LWE. Система описывается следующими числами: $n$ -секретный параметр, $m$ -размерность, $q$ -модуль и распределением вероятности $\chi \in \mathbb {Z} _{q}$ . Для гарантии безопасности и корректности системы следует выбрать следующие параметры:

$q\geq 2$ , простое число между $n^{2}$ и $2n^{2}$
$m=(1+\epsilon )(n+1)\log {q}$ для произвольной константы $\epsilon$
$\alpha (n)=1/{\sqrt {n}}\log ^{2}{n}$

Тогда криптосистемы определяется следующим образом:

Секретный ключ: Секретный ключ это $\mathbf {s} \in \mathbb {Z} _{q}^{n}$ выбранный произвольно.
Открытый ключ: Выберем $m$ векторов $a_{1},\ldots ,a_{m}\in \mathbb {Z} _{q}^{n}$ произвольно и независимо. Выберем допустимые ошибки $e_{1},\ldots ,e_{m}\in \mathbb {Z} _{q}$ независимо в соответствии с распределением $\chi$ . Открытый ключ состоит из $(a_{i},b_{i}=\langle a_{i},\mathbf {s} \rangle /q+e_{i})_{i=1}^{m}$
Шифрование: Шифрование бита $x\in \{0,1\}$ производится так: выбирается случайное подмножество $S$ из $[m]$ и определяется шифр $Enc(x)$ как $(\sum _{i\in S}a_{i},x/2+\sum _{i\in S}b_{i})$
Расшифрование: Расшифровка $(a,b)$ это $0$ в случае если $b-\langle a,\mathbf {s} \rangle /q$ ближе к $0$ , чем ${\frac {1}{2}}$ , и $1$ в противном случае.

В своих работах^[1]^[4] Одед Регев доказал корректность и защищенность данной криптосистемы при соответствующем выборе параметров.

Примечания

↑ ¹ ² ³ ⁴ Oded Regev «On lattices, learning with errors, random linear codes, and cryptography», in Proceedings of the thirty-seventh annual ACM symposium on Theory of computing (Baltimore, MD, USA: ACM, 2005), 84-93, http://portal.acm.org/citation.cfm?id=1060590.1060603.
↑ ¹ ² D. Micciancio and O. Regev. Lattice-based cryptography. In D. J.Bernstein and J. Buch-mann, editors,Post-quantum Cryprography. Springer, 2008
↑ Regev, O. (2005). On lattices, learning with errors, random linear codes, and cryptography. Journal of the ACM.
↑ ¹ ² ³ ⁴ ⁵ Oded Regev, «The Learning with Errors Problem» http://www.cims.nyu.edu/~regev/papers/lwesurvey.pdf Архивная копия от 23 сентября 2015 на Wayback Machine
↑ ¹ ² M. Ajtai and C. Dwork. A public-key cryptosystem with worst-case/average-case equivalence. In Proc. 29th Annual ACM Symp. on Theory of Computing (STOC), pages 284—293. 1997
↑ M. Ajtai and C. Dwork. The first and fourth public-key cryptosystems with worst-case/average-case equivalence, 2007. Available from ECCC at http://www.uni-trier.de/eccc/ (недоступная ссылка)
↑ ¹ ² O. Regev. New lattice-based cryptographic constructions. Journal of the ACM, 51(6):899-942, 2004. Preliminary version in STOC’03
↑ C. Peikert. Public-key cryptosystems from the worst-case shortest vector problem. In Proc. 41st ACM Symp. on Theory of Computing (STOC), pages 333—342. 2009
↑ V. Lyubashevsky and D. Micciancio. On bounded distance decoding, unique shortest vectors, and the minimum distance problem. In CRYPTO, pages 577—594. 2009.
↑ C. Peikert, V. Vaikuntanathan, and B. Waters. A framework for efficient and compos-able oblivious transfer. In CRYPTO, pages 554—571. 2008
↑ V. Lyubashevsky, C. Peikert, and O. Regev. On ideal lattices and learning with errors over rings. In EUROCRYPT. 2010.
↑ Leo Ducas, Daniele Micciancio. FHEW: A Fully Homomorphic Encryption library (неопр.). Дата обращения: 31 декабря 2014. Архивировано 21 мая 2016 года.

Литература

Post-Quantum Cryptography (неопр.). — Springer, 2008. — С. 245. — ISBN 978-3540887010.
Peikert, Chris. Lattice Cryptography for the Internet (неопр.) / Mosca, Michele. — Springer International Publishing, 2014. — С. 197—219. — (Lecture Notes in Computer Science). — ISBN 978-3-319-11658-7.
Chen, Yuanmi; Phong Q., Nguyen. BKZ 2.0: Better Lattice Security Estimates (англ.). — Springer Berlin Heidelberg, 2011. — P. 1—20.