Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Sciences
  2. Chimie
  3. Chimie physique
  4. Chimie quantique

Autour de la difficulté du problème "Learning With Errors"

publicité 
Autour de la difficulté du problème
"Learning With Errors"
Adeline Langlois
Équipe Aric du LIP, ENS Lyon
Travaux en commun et en cours avec D. Stehlé,
Z. Brakerski, C. Peikert et O. Regev
12 octobre 2012
Adeline Langlois
Difficulté de LWE
12 octobre 2012
1/ 12
Résultats principaux
◮
Difficulté du problème LWE indépendamment de la forme
arithmétique du module q.
◮
Difficulté du problème Ring-LWE indépendamment de la
forme arithmétique du module q.
◮
Conséquence : Dequantumisation de la preuve de
difficulté de LWE pour q polynomial.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
2/ 12
Réseaux euclidiens et problèmes sur les réseaux
•
•
•
•
•
•
b2
•
•
•
•
•
•
b1
•
•
•
•
•
Réseau euclidien
P
L(B) = { ni=1 ai bi , ai ∈ Z}, avec (bi )1≤i≤n , vecteurs
linéairement indépendants, est une base de L(B).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
3/ 12
Réseaux euclidiens et problèmes sur les réseaux
Définitions :
•
•
•
•
•
•
◮
1er minimum
◮
2nd minimum
λ2
•
•
•
•
•
•
λ1
•
•
•
•
•
Réseau euclidien
P
L(B) = { ni=1 ai bi , ai ∈ Z}, avec (bi )1≤i≤n , vecteurs
linéairement indépendants, est une base de L(B).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
3/ 12
Réseaux euclidiens et problèmes sur les réseaux
Définitions :
•
•
•
•
•
•
◮
1er minimum
◮
2nd minimum
Problèmes :
•
•
•
•
•
•
b1
•
•
•
•
◮
Shortest Vector Pb
•
Réseau euclidien
P
L(B) = { ni=1 ai bi , ai ∈ Z}, avec (bi )1≤i≤n , vecteurs
linéairement indépendants, est une base de L(B).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
3/ 12
Réseaux euclidiens et problèmes sur les réseaux
Définitions :
•
•
•
•
•
•
b2
•
•
•
•
•
•
◮
1er minimum
◮
2nd minimum
Problèmes :
b1
•
•
•
•
•
◮
Shortest Vector Pb
◮
Shortest Independent
Vectors Pb
Réseau euclidien
P
L(B) = { ni=1 ai bi , ai ∈ Z}, avec (bi )1≤i≤n , vecteurs
linéairement indépendants, est une base de L(B).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
3/ 12
Réseaux euclidiens et problèmes sur les réseaux
Définitions :
•
•
•
•
•
•
b2
•
•
•
•
•
•
◮
1er minimum
◮
2nd minimum
Problèmes :
b1
•
•
•
•
◮
Shortest Vector Pb
◮
Shortest Independent
Vectors Pb
◮
Facteur
d’approximation : γ
•
Conjecture
Les problèmes d’approximation dans les réseaux avec des γ
polynomiaux sont des problèmes exponentiellement difficiles.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
3/ 12
Cryptographie reposant sur les réseaux
Intérêts
◮
Simplicité
◮
Efficacité potentielle
◮
Preuves de sécurité
◮
Cryptographie post-quantique
◮
Gentry 2009 : chiffrement totalement homomorphe
Adeline Langlois
Difficulté de LWE
12 octobre 2012
4/ 12
Contexte
◮
Zq = Z/qZ,
Distribution Gaussienne
Pour tout α > 0 et x ∈ Zn , on
définit la distribution
Gaussienne :
να (x) =
1 . −πk x k2
α
.
e
αn
Propriété : e ∼ να ⇒ e petit.
Adeline Langlois
Figure: Gaussienne continue
Difficulté de LWE
12 octobre 2012
5/ 12
Learning With Errors
[Regev05]
:
LWEq,α version calculatoire
Trouver s ∈ Znq , étant donné A ∈ Zm×n
et b = As + e [q], où e
q
est Gaussien.
LWEq,α version décisionnelle
Distinguer entre (A, b) uniforme et (A, As + e mod q), où
A ← U (Zm×n
), s ← U (Znq ) est secret, et e est Gaussien.
q
s1
e1
m
A
,
A
sn
trouver
+
s
em
n
Adeline Langlois
Difficulté de LWE
12 octobre 2012
6/ 12
Exemple chiffrement à clé publique
[Regev 2005]
◮ Paramètres : n, m, q ∈ Z, α ∈ R,
◮ Clés :
sk = s ←֓ U (Znq ),
soient A ←֓ U (Zm×n
) et e ←֓ ναm , pk = (A, b) avec b = As + e [q].
q
◮ Chiffrement (M ∈ {0, 1}) : Choisir r ←֓ U ({0, 1}m ),
r1
uT =
rm
r1
A
rm b1
,v=
+ ⌊q/2⌉ . M
bm
Adeline Langlois
Difficulté de LWE
12 octobre 2012
7/ 12
Exemple chiffrement à clé publique
◮ Clés :
←֓ U (Zn
q ),
U (Zm×n
) et e ←֓
q
[Regev 2005]
sk = s
soient A ←֓
ναm , pk = (A, b) avec b = As + e [q].
◮ Chiffrement (M ∈ {0, 1}) : Choisir r ←֓ U ({0, 1}m ),
r1
rm
r1
A
uT =
rm b1
,v=
+ ⌊q/2⌉ . M
bm
◮ Déchiffrement de (u, v) : calcul de v − uT s :
r1
e1
s1
rm
A
sn
+
r1
s1
rm
A
+ ⌊q/2⌉ . M −
sn
=
small + ⌊q/2⌉ . M
em
|
{z
v
} |
{z
uT s
}
Si proche de 0 : renvoyer 0, si proche de ⌊q/2⌋ : renvoyer 1.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
7/ 12
Exemple chiffrement à clé publique
◮ Clés :
←֓ U (Zn
q ),
U (Zm×n
)
et
e ←֓
q
[Regev 2005]
sk = s
soient A ←֓
ναm , pk = (A, b) avec b = As + e [q].
◮ Chiffrement (M ∈ {0, 1}) : Choisir r ←֓ U ({0, 1}m ),
r1
rm
r1
A
uT =
rm b1
,v=
+ ⌊q/2⌉ . M
bm
◮ Déchiffrement de (u, v) : calcul de v − uT s :
r1
e1
s1
rm
A
sn
+
r1
s1
rm
A
+ ⌊q/2⌉ . M −
sn
=
small + ⌊q/2⌉ . M
em
|
LWE difficile
Adeline Langlois
{z
v
⇒
} |
{z
uT s
}
ce chiffrement résiste aux attaques
à clair choisi.
Difficulté de LWE
12 octobre 2012
7/ 12
Résultats existants
◮
Regev 05 : réduction quantique de SIVP à LWE pour q
premier et polynomial.
◮
Peikert 09 : réduction classique de SIVP à LWE pour q
exponentiel et produit de petits facteurs connus.
⇒ Contraintes sur q
Pourquoi enlever ces contraintes ?
Problème ouvert depuis Regev en 2005.
Obtenir une réduction classique pour q polynomial.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
8/ 12
Notre résultat
Résultat
Soient n ≥ 1, p, q ≥ 2, α, β > 0 et smax une borne sur la norme
du secret, tels que :
e
β≥Ω
s
s2max
α2 +
min(p2 , q 2 )
!
√
e 1),
et αq ≥ Ω(
alors il existe une réduction de LWEq,α à LWEp,β .
Conséquence
Il existe une réduction quantique de SIVP à LWE pour tout q.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
9/ 12
Aperçu de la preuve : "modulus switching"
Principe : Transformer un échantillon de LWEq,α en un
échantillon de LWEp,β :
◮
Discrétiser la distribution et réduire la taille de s.
◮
).
) en A′ ←֓ U (Zm×n
Transformer A ←֓ U (Zm×n
p
q
◮
b = As + e = A′ s + (A′ − A)s + e.
◮
Nouvelle erreur : e′ = (A′ − A)s + e.
Adeline Langlois
Difficulté de LWE
12 octobre 2012
10/ 12
Conséquence : "Dé-quantumisation"
du secret
.
On note SIVPdim,γ et LWEdistribution
dim,q,α
Suite de réductions :
U (Zn )
U (Zn )
U ({0,1}n )
q
6 LWEn,poly(n),
SIVP√n,nω(1) 6 LWE√n,2q n ,n−ω(1) 6 LWEn,2n , 1
1
|{z}
|{z}
poly(n) |{z}
poly(n)
1
2
3
1. Peikert 2009
2. Goldwasser Kalai Peikert Vaikuntanathan 2010
3. Notre résultat
Adeline Langlois
Difficulté de LWE
12 octobre 2012
11/ 12
Conclusion et travaux en cours
Résultat
◮
Une réduction de LWEq,α à LWEp,β .
◮
"Dé-quantumisation" de la preuve de difficulté de LWE.
◮
Difficulté de R-LWE pour tout modulo q (quantique !).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
12/ 12
Conclusion et travaux en cours
Résultat
◮
Une réduction de LWEq,α à LWEp,β .
◮
"Dé-quantumisation" de la preuve de difficulté de LWE.
◮
Difficulté de R-LWE pour tout modulo q (quantique !).
Et ensuite ?
◮
"Dé-quantumisation" pour RLWE ?
◮
Est-ce que le module q est vraiment indispensable ?
◮
Difficulté de RLWE sous SIVP pour des réseaux arbitraires
(non idéaux).
Adeline Langlois
Difficulté de LWE
12 octobre 2012
12/ 12
Documents connexes
Compte-rendu de la commission cantine du 07 février 2017 Etaient
Compte-rendu de la commission cantine du 07 février 2017 Etaient
Je reconnais le verbe et son sujet. 1. Souligne les verbes. Entoure
Je reconnais le verbe et son sujet. 1. Souligne les verbes. Entoure
Freyming : le malaise en réanimation La Légion d’honneur
Freyming : le malaise en réanimation La Légion d’honneur
hommes - Aquatis
hommes - Aquatis
Extrait - Canalblog
Extrait - Canalblog
La Direction Gestion Industrielle d`une société de service en
La Direction Gestion Industrielle d`une société de service en
n°368 CE1-CE2 12 décembre 2014 - Ecole St Joseph – Mauves sur
n°368 CE1-CE2 12 décembre 2014 - Ecole St Joseph – Mauves sur
escuela superior politécnica del litoral
escuela superior politécnica del litoral
Téléchargement
publicité