Fugu-MT 論文翻訳(概要): Quantum Oblivious LWE Sampling and Insecurity of Standard Model Lattice-Based SNARKs

論文の概要: Quantum Oblivious LWE Sampling and Insecurity of Standard Model Lattice-Based SNARKs

arxiv url: http://arxiv.org/abs/2401.03807v2
Date: Tue, 14 May 2024 15:42:51 GMT
ステータス: 処理完了
システム内更新日: 2024-05-15 19:21:18.253300
Title: Quantum Oblivious LWE Sampling and Insecurity of Standard Model Lattice-Based SNARKs
Title（参考訳）: 標準モデル格子型SNARKの量子増幅LWEサンプリングとセキュリティ
Authors: Thomas Debris-Alazard, Pouria Fallahpour, Damien Stehlé,
Abstract要約: Learning Errors With Errors(mathsfLWE$)問題は$(mathbfAmathbfs+mathbfe$)という形式の入力から$mathbfs$を見つけるように要求する私たちは$mathsfLWE$の解決ではなく、インスタンスをサンプリングするタスクに注力しています。我々の主な成果は、よく分散された$mathsfLWE$インスタンスをサンプリングする量子時間アルゴリズムである。
参考スコア（独自算出の注目度）: 4.130591018565202
License: http://creativecommons.org/licenses/by/4.0/
Abstract: The Learning With Errors ($\mathsf{LWE}$) problem asks to find $\mathbf{s}$ from an input of the form $(\mathbf{A}, \mathbf{b} = \mathbf{A}\mathbf{s}+\mathbf{e}) \in (\mathbb{Z}/q\mathbb{Z})^{m \times n} \times (\mathbb{Z}/q\mathbb{Z})^{m}$, for a vector $\mathbf{e}$ that has small-magnitude entries. In this work, we do not focus on solving $\mathsf{LWE}$ but on the task of sampling instances. As these are extremely sparse in their range, it may seem plausible that the only way to proceed is to first create $\mathbf{s}$ and $\mathbf{e}$ and then set $\mathbf{b} = \mathbf{A}\mathbf{s}+\mathbf{e}$. In particular, such an instance sampler knows the solution. This raises the question whether it is possible to obliviously sample $(\mathbf{A}, \mathbf{A}\mathbf{s}+\mathbf{e})$, namely, without knowing the underlying $\mathbf{s}$. A variant of the assumption that oblivious $\mathsf{LWE}$ sampling is hard has been used in a series of works to analyze the security of candidate constructions of Succinct Non interactive Arguments of Knowledge (SNARKs). As the assumption is related to $\mathsf{LWE}$, these SNARKs have been conjectured to be secure in the presence of quantum adversaries. Our main result is a quantum polynomial-time algorithm that samples well-distributed $\mathsf{LWE}$ instances while provably not knowing the solution, under the assumption that $\mathsf{LWE}$ is hard. Moreover, the approach works for a vast range of $\mathsf{LWE}$ parametrizations, including those used in the above-mentioned SNARKs. This invalidates the assumptions used in their security analyses, although it does not yield attacks against the constructions themselves.
Abstract（参考訳）: Learning With Errors$\mathsf{LWE}$) 問題は $(\mathbf{A}, \mathbf{b} = \mathbf{A}\mathbf{s}+\mathbf{e}) \in (\mathbb{Z}/q\mathbb{Z})^{m \times n} \times (\mathbb{Z}/q\mathbb{Z})^{m}$ という形の入力から$\mathbf{s}$ を求める。この作業では、$\mathsf{LWE}$の解決ではなく、インスタンスをサンプリングするタスクに焦点を当てます。これらは極端にスパースであるから、先に$\mathbf{s}$と$\mathbf{e}$を生成し、次に$\mathbf{b} = \mathbf{A}\mathbf{s}+\mathbf{e}$をセットするしか方法がないと思える。特に、そのような例のサンプルは解を知っている。これにより、真に$(\mathbf{A}, \mathbf{A}\mathbf{s}+\mathbf{e})$をサンプリングできるかどうかという疑問が持ち上がる。難解な$\mathsf{LWE}$サンプリングが難しいという仮定の変種が、Succinct Non Interactive Arguments of Knowledge (SNARKs) の候補構成のセキュリティを分析する一連の研究で使われてきた。この仮定は$\mathsf{LWE}$と関係しているため、これらのSNARKは量子敵の存在下では安全であると推測されている。我々の主な結果は、よく分散された$\mathsf{LWE}$インスタンスをサンプリングする量子多項式時間アルゴリズムであり、$\mathsf{LWE}$は難しいという仮定の下で、確実に解を知らない。さらに、このアプローチは、上記のSNARKで使用されるものを含む、幅広い$\mathsf{LWE}$パラメトリゼーションに対して有効である。これにより、セキュリティ分析で使用される仮定は無効になるが、構造自体に対する攻撃は発生しない。

論文の概要: Quantum Oblivious LWE Sampling and Insecurity of Standard Model Lattice-Based SNARKs

関連論文リスト