LWE問題及其公鑰密碼方案_NBS:nbs幣發行量

錯誤學習問題（Learning with Errors，簡稱LWE）由Regev在2005年提出，該問題已經成為格密碼學中廣泛使用的密碼學基礎。LWE問題是一個平均情況下的問題，Regev在論文中將LWE問題量子歸約到格上標準困難問題。因此在LWE問題之上建立的所有密碼學方案，都能夠將其安全建立在格問題的最壞情況下困難性之上。

本文節選自陳智罡博士的博士論文。

1.1.1     LWE問題

LWE問題就是給出一些關于秘密向量s的“近似”隨機線性方程，其目標是恢復秘密向量s。例如給出如下一些“近似”隨機線性方程：

NFT衍生工具公司Bliv.Club宣布完成種子輪融資，Polygon聯合創始人Sandeep Nailwal等參投:1月11日消息，NFT衍生工具公司Bliv.Club宣布完成種子輪融資，Polygon聯合創始人Sandeep Nailwal等參投。

據悉，Bliv.Club旨在通過各種新時代工具減少進入NFT行業的壁壘，并通過衍生品促進NFT生態系統的流動性。Bliv將提供一個衍生品市場，允許普通人以小規模參與NFT市場。（EconomicTimes.IndiaTimes）[2022/1/11 8:41:22]

14s1+ 15s2+ 5s3+ 2s4≈8  (mod 17)

FILWallet完成新版本升級，支持BLS算法及節點Owner管理:據官方消息, 專注于FIL生態的去中心化數字資產錢包FILWallet已升級至V1.1.0版本。 在新版本中實現節點管理、可監控節點詳情、變更Owner，Owner多簽管理，多簽提幣，同時新增對BLS(f3)算法的支持。

FilWallet致力于為Filecoin生態的參與者提供專業、安全的數字資產服務，共同推動生態建設。[2021/9/6 23:03:25]

13s1+ 14s2+ 14s3+ 6s4≈16 (mod 17)

CoinShares將以1700萬美元的價格收購Elwood Technologies的ETF業務:7月6日消息，歐洲最大的加密貨幣資產管理公司CoinShares將以1700萬美元的價格收購Elwood Technologies的交易所交易基金（ETF）業務，該公司由對沖基金重量級人物Alan Howard擁有。該交易將通過股權互換結算，CoinShares將以每股13.09美元的價格發行1,298,322股新普通股。作為交易的一部分，Elwood的股票研究團隊也將加入CoinShares。

據悉，Elwood成立于2018年，與資產管理公司Invesco一起推出了Invesco Elwood全球區塊鏈股票UCITS ETF，試圖讓投資者接觸到從區塊鏈技術產生收益的上市公司。該指數自2019年推出以來，已積累了超過10億美元的管理資產。（The Block）[2021/7/6 0:30:31]

6s1+ 10s2+ 13s3+ 1s4≈3 (mod 17)

動態 | Elwood推出系列產品吸引大型機構投資數字資產:據彭博社消息，Elwood Asset Management計劃推出一系列產品，以吸引大型機構投資者投資數字資產。[2019/3/13]

10s1+ 4s2+ 12s3+ 16s4≈12 (mod 17)

…………

9s1+ 5s2+ 9s3+ 6s4≈9   (mod17)

在上述每個方程中，加入了一個小的錯誤，該錯誤在+1和-1之間，目標是恢復向量s。如果上述方程中沒有加入錯誤，則使用高斯消元法就可以在多項式時間內恢復向量s。但是由于加入了錯誤，使得該問題變得非常的困難。

LWE問題定義 參數n ≥1，模q ≥ 2，是上的一個錯誤概率分布。是上的一個概率分布，該分布通過如下方式獲得：隨機均勻選擇一個向量a∈，根據分布選擇錯誤向量e∈，輸出（a，b=< a , s > +emod q）。LWE問題是對于s∈，給出任意數量的從取出的獨立實例，其目的是輸出s。

LWE判定問題  上述LWE問題是一個LWE搜索問題，密碼學中更感興趣的是LWE問題的另外一個版本：平均情況下的LWE判定問題。即對于隨機均勻選擇的s∈，能夠以不可忽略的概率區分分布與均勻分布上的實例。判定LWE問題可以歸約到搜索LWE問題。

如果在均勻選擇秘密向量s的情況下，判定LWE問題可以被解決，則對于所有秘密向量s，判定LWE問題都可以被解決。

LWE問題與BDD問題  上述LWE問題定義中，對于m個從取出的獨立實例，可以用隨機均勻矩陣A∈和b=AT s+e表出。所以LWE問題可以看成是隨機格上的BDD問題。

參數說明  分布是一個標準偏離是的類似高斯分布，其中，通常取為1/poly（n）。模q一般是關于n的多項式。LWE實例的數量并不重要。

LWE問題的困難性 以下三個原因說明LWE問題是困難的。第一，已知最好的求解LWE問題的算法運行時間是指數級的，即使是對量子計算機也沒有任何幫助。第二，LWE問題是LPN問題的自然擴展，而LPN問題在學習理論中被廣泛研究而且普遍認為是困難的。此外LPN問題可以形式化為隨機線性二元碼的解碼問題，如果LPN問題的求解算法有一點進步，則意味著編碼理論的一個突破。第三，也是最重要的，LWE問題被歸約到最壞情況下的格上標準困難問題，例如GapSVP和SIVP[11,85]。

Regev在2005年證明了只要，那么在平均情況下解決LWE問題，其困難性至少與使用量子算法近似格上標準困難問題相同，其中近似因子是。隨后Peikert在2009年給出了一個相同近似因子的經典約減而非量子約減，但是需要滿足q≥2n/2。最近Brakerski等人在2013年給出了在q為多項式的情況下的一個經典LWE問題的約減，但是在維數上有所損失[120]。

在LWE問題中，s可以隨機均勻的取自于。這一方面使得的長度可以更短，另外一方面其困難性不變。

假設根據高斯分布選擇的錯誤向量長度的界是B，則有B≤，得到，從而。該式反映了近似因子與q/B的大小有關，而q/B又與全同態加密方案的計算深度有關，所以當維數n和B固定的情況下，模q越大，全同態加密方案的安全性越低，而全同態加密方案的同態計算能力越高。

Tags：NBSBSPWOODWOOnbs幣發行量BSPT幣Mini Hollywood DogeWOOK

以太坊交易