LWE問題及其公鑰密碼方案_NBS

錯誤學習問題（Learning with Errors，簡稱LWE）由Regev在2005年提出，該問題已經成為格密碼學中廣泛使用的密碼學基礎。LWE問題是一個平均情況下的問題，Regev在論文中將LWE問題量子歸約到格上標準困難問題。因此在LWE問題之上建立的所有密碼學方案，都能夠將其安全建立在格問題的最壞情況下困難性之上。

本文節選自陳智罡博士的博士論文。

1.1.1     LWE問題

LWE問題就是給出一些關于秘密向量s的“近似”隨機線性方程，其目標是恢復秘密向量s。例如給出如下一些“近似”隨機線性方程：

鏈游公司Spielworks推出可退款的NFT計劃:金色財經報道，區塊鏈游戲初創公司 Spielworks 與 Web3 平臺 Mycelium Network 合作推出了一項計劃，允許購買NFT獲得全額退款。 該團隊解釋說，在該計劃中，獲得名為“Reverties”的 NFT 的用戶有資格獲得全額USDC退款。該項目還允許用戶在 Spielworks 的游戲《Dungeon Master》中質押這一系列新的 NFT，并通過單獨的鑄造機制使用 USDC 購買它們。

通過此次合作，Spielworks 將利用 Mycelium Network 支持 USDC 購買。在鑄幣交易中，USDC 將被轉移到Aave 協議上的DeFi借貸池中。該團隊表示，貸款池中賺取的利息將用于回購 Spielwork 的代幣，以幫助他們的社區。部分收入還將用于幫助澳大利亞袋熊保護協會。[2023/7/13 10:51:33]

14s1+ 15s2+ 5s3+ 2s4≈8  (mod 17)

CoolBitX與Crypto.com合作推出CoolWallet Pro硬件錢包:金色財經報道，區塊鏈安全公司CoolBitX宣布與加密貨幣平臺Crypto.com合作，推出特別版CoolWallet Pro硬件錢包。CoolWallet的官方網站已經整合了Crypto.com Pay，為用戶以加密貨幣支付和接收付款提供現金返還和其他獎勵。Crypto.com Pay支持超過25種加密貨幣，包括BTC、ETH、DOGE，支持通過Crypto.com App和其他ERC-20錢包進行CRO支付。（prnewswire）[2021/10/26 20:57:57]

13s1+ 14s2+ 14s3+ 6s4≈16 (mod 17)

FILWallet完成新版本升級，支持BLS算法及節點Owner管理:據官方消息, 專注于FIL生態的去中心化數字資產錢包FILWallet已升級至V1.1.0版本。 在新版本中實現節點管理、可監控節點詳情、變更Owner，Owner多簽管理，多簽提幣，同時新增對BLS(f3)算法的支持。

FilWallet致力于為Filecoin生態的參與者提供專業、安全的數字資產服務，共同推動生態建設。[2021/9/6 23:03:25]

6s1+ 10s2+ 13s3+ 1s4≈3 (mod 17)

波卡生態預言機HazelWord獲得新一輪融資:2月21日，據HazelWord官方宣布稱，HazelWord獲得White Whale Capital、Canace Capital、Sich Ventures、AC Capital、CatcherVC、TODO BLOCK和SSSnodes新一輪投資。

據悉，HazelWord預言機提供一種基于事件資產抵押的數據預測服務，以及基于事實驗證的數據修正機制。通過創新機制設計解決區塊鏈可信數據源的根本問題。此前HazelWord曾宣布獲得種子輪融資。[2021/2/21 17:36:34]

10s1+ 4s2+ 12s3+ 16s4≈12 (mod 17)

…………

9s1+ 5s2+ 9s3+ 6s4≈9   (mod17)

在上述每個方程中，加入了一個小的錯誤，該錯誤在+1和-1之間，目標是恢復向量s。如果上述方程中沒有加入錯誤，則使用高斯消元法就可以在多項式時間內恢復向量s。但是由于加入了錯誤，使得該問題變得非常的困難。

LWE問題定義 參數n ≥1，模q ≥ 2，是上的一個錯誤概率分布。是上的一個概率分布，該分布通過如下方式獲得：隨機均勻選擇一個向量a∈，根據分布選擇錯誤向量e∈，輸出（a，b=< a , s > +emod q）。LWE問題是對于s∈，給出任意數量的從取出的獨立實例，其目的是輸出s。

LWE判定問題  上述LWE問題是一個LWE搜索問題，密碼學中更感興趣的是LWE問題的另外一個版本：平均情況下的LWE判定問題。即對于隨機均勻選擇的s∈，能夠以不可忽略的概率區分分布與均勻分布上的實例。判定LWE問題可以歸約到搜索LWE問題。

如果在均勻選擇秘密向量s的情況下，判定LWE問題可以被解決，則對于所有秘密向量s，判定LWE問題都可以被解決。

LWE問題與BDD問題  上述LWE問題定義中，對于m個從取出的獨立實例，可以用隨機均勻矩陣A∈和b=AT s+e表出。所以LWE問題可以看成是隨機格上的BDD問題。

參數說明  分布是一個標準偏離是的類似高斯分布，其中，通常取為1/poly（n）。模q一般是關于n的多項式。LWE實例的數量并不重要。

LWE問題的困難性 以下三個原因說明LWE問題是困難的。第一，已知最好的求解LWE問題的算法運行時間是指數級的，即使是對量子計算機也沒有任何幫助。第二，LWE問題是LPN問題的自然擴展，而LPN問題在學習理論中被廣泛研究而且普遍認為是困難的。此外LPN問題可以形式化為隨機線性二元碼的解碼問題，如果LPN問題的求解算法有一點進步，則意味著編碼理論的一個突破。第三，也是最重要的，LWE問題被歸約到最壞情況下的格上標準困難問題，例如GapSVP和SIVP[11,85]。

Regev在2005年證明了只要，那么在平均情況下解決LWE問題，其困難性至少與使用量子算法近似格上標準困難問題相同，其中近似因子是。隨后Peikert在2009年給出了一個相同近似因子的經典約減而非量子約減，但是需要滿足q≥2n/2。最近Brakerski等人在2013年給出了在q為多項式的情況下的一個經典LWE問題的約減，但是在維數上有所損失[120]。

在LWE問題中，s可以隨機均勻的取自于。這一方面使得的長度可以更短，另外一方面其困難性不變。

假設根據高斯分布選擇的錯誤向量長度的界是B，則有B≤，得到，從而。該式反映了近似因子與q/B的大小有關，而q/B又與全同態加密方案的計算深度有關，所以當維數n和B固定的情況下，模q越大，全同態加密方案的安全性越低，而全同態加密方案的同態計算能力越高。

Tags：NBSBSPWORORKnbs幣發行量BSP價格Opium NetworkMetaverse Network

TUSD