Aprenentatge amb errors

En criptografia, l'aprenentatge amb errors (LWE) és un problema matemàtic que s'utilitza àmpliament per crear algorismes de xifratge segurs.^[1] Es basa en la idea de representar la informació secreta com un conjunt d'equacions amb errors. En altres paraules, LWE és una manera d'amagar el valor d'un secret introduint-hi soroll.^[2] En termes més tècnics, es refereix al problema computacional d'inferir un lineal ${\displaystyle n}$ funció -ària ${\displaystyle f}$ sobre un anell finit de mostres donades ${\displaystyle y_i=f({𝐱}_i)}$ alguns dels quals poden ser errònies. Es conjectura que el problema LWE és difícil de resoldre ^[1] i, per tant, és útil en criptografia.^[3]

Més precisament, el problema LWE es defineix de la següent manera. Deixar ${\displaystyle {\mathbb{Z}}_q}$ denoten l'anell de nombres enters mòdul ${\displaystyle q}$ i deixar ${\displaystyle {\mathbb{Z}}_q^n}$ denoten el conjunt de ${\displaystyle n}$-vectors superats ${\displaystyle {\mathbb{Z}}_q}$. Existeix una determinada funció lineal desconeguda ${\displaystyle f:{\mathbb{Z}}_q^n\to {\mathbb{Z}}_q}$, i l'entrada al problema LWE és una mostra de parells ${\displaystyle (𝐱,y)}$, on ${\displaystyle 𝐱\in {\mathbb{Z}}_q^n}$ i ${\displaystyle y\in {\mathbb{Z}}_q}$, de manera que amb alta probabilitat ${\displaystyle y=f(𝐱)}$. A més, la desviació de la igualtat és segons algun model de soroll conegut. El problema requereix trobar la funció ${\displaystyle f}$, o alguna aproximació propera, amb alta probabilitat.

El problema LWE va ser introduït per Oded Regev l'any 2005 (que va guanyar el premi Gödel 2018 per aquest treball); és una generalització del problema d'aprenentatge paritat. Regev va demostrar que el problema LWE és tan difícil de resoldre com diversos problemes de gelosia en el pitjor dels casos. Posteriorment, el problema LWE s'ha utilitzat com a suposició de duresa per crear sistemes criptogràfics de clau pública, com l'aprenentatge d'anell amb intercanvi de claus d'errors per Peikert.^[4]

Denotar per ${\displaystyle 𝕋=ℝ/\mathbb{Z}}$ el grup additiu dels reals mòdul u. Deixar ${\displaystyle 𝐬\in {\mathbb{Z}}_q^n}$ ser un vector fix. Deixar ${\displaystyle \varphi }$ ser una distribució de probabilitat fixa sobre ${\displaystyle 𝕋}$. Denotar per ${\displaystyle A_{𝐬,\varphi }}$ la distribució sobre ${\displaystyle {\mathbb{Z}}_q^n\times 𝕋}$ obtingut de la següent manera.

1. Trieu un vector ${\displaystyle 𝐚\in {\mathbb{Z}}_q^n}$ de la distribució uniforme ${\displaystyle {\mathbb{Z}}_q^n}$ ,
2. Tria un número ${\displaystyle e\in 𝕋}$ de la distribució ${\displaystyle \varphi }$ ,
3. Avaluar ${\displaystyle t=⟨𝐚,𝐬⟩/q+e}$, on ${\displaystyle ⟨𝐚,𝐬⟩={\sum }_{i=1}^n{a}_i{s}_i}$ és el producte interior estàndard , la divisió es fa en el camp dels reals (o més formalment, aquesta "divisió per " és la notació per a l'homomorfisme del grup ${\displaystyle {\mathbb{Z}}_q⟶𝕋}$ cartografia ${\displaystyle 1\in {\mathbb{Z}}_q}$ a ${\displaystyle 1/q+\mathbb{Z}\in 𝕋}$ ), i l'addició final és a ${\displaystyle 𝕋}$.
4. Sortida de la parella ${\displaystyle (𝐚,t)}$.

El problema de l'aprenentatge amb errors ${\displaystyle {\mathrm{L}\mathrm{W}\mathrm{E}}_{q,\varphi }}$ és trobar ${\displaystyle 𝐬\in {\mathbb{Z}}_q^n}$, donat accés a moltes mostres a escollir polinomialment ${\displaystyle A_{𝐬,\varphi }}$.

Per cada ${\displaystyle \alpha >0}$, denoteu amb ${\displaystyle D_{\alpha }}$ la gaussiana unidimensional amb mitjana i variància zero ${\displaystyle {\alpha }^2/(2\pi )}$, és a dir, la funció de densitat és ${\displaystyle D_{\alpha }(x)={\rho }_{\alpha }(x)/\alpha }$ on ${\displaystyle {\rho }_{\alpha }(x)=e^{-\pi (|x|/\alpha {)}^2}}$, i deixar ${\displaystyle {\mathrm{\Psi }}_{\alpha }}$ ser la distribució ${\displaystyle 𝕋}$ obtingut tenint en compte ${\displaystyle D_{\alpha }}$ mòdul un. La versió de LWE considerada en la majoria dels resultats seria ${\displaystyle {\mathrm{L}\mathrm{W}\mathrm{E}}_{q,{\mathrm{\Psi }}_{\alpha }}}$

Plantilla:Referències