Inlärning med fel ( LWE ) är problemet med att hitta ett polynom med koefficienter från en viss restring för vilken ett system av linjära ekvationer ges som har fel (vilket gör ett enkelt beräkningsproblem svårt).
LWE introducerades [1] av Oded Regev 2005 och har visat sig vara ett anmärkningsvärt mångsidigt ramverk för kryptografiska konstruktioner, särskilt för post-kvantkryptografiska algoritmer [1] [2] .
En variant av inlärningsproblemet med fel, där polynom betraktas i faktorringen av polynom av ett visst polynom, kallas inlärning med fel i ringen .
Låt oss fixa parametern , modul och fördelningen av "fel" -sannolikheten på . Låta vara en sannolikhetsfördelning på , Erhålls genom att välja en vektor enhetligt slumpmässigt, välja ett fel i enlighet med och det resulterande uttrycket , där och addition utförs modulo .
Det sägs [3] att en algoritm löser problemet om för någon , med ett godtyckligt polynomantal av oberoende relationer från , den kommer att producera med hög sannolikhet .
Uppkomsten av LWE-konceptet spåras i verk av Miklós Aitai och Cynthia Dwork [4] . De beskrev det första kryptosystemet med offentlig nyckel genom att använda gitterkryptografi , och dess efterföljande förbättringar och modifieringar [5] . LWE presenterades inte explicit i dessa papper, men en noggrann granskning av Aitai-Dwork-konstruktionen, förenklad i Regevs papper [6] , visar [3] att LWE-idéer implicit uppstår i detta papper.
Det är värt att notera att tidig forskning inom detta område [4] [6] förlitade sig på det otillräckligt välstuderade problemet med att hitta en unik kortaste vektor . Det var länge inte klart om det kunde ersättas av fler standardproblem på galler . Senare fick Chris Peikert [7] och Vadim Lyubashevsky tillsammans med Daniele Micchancio reda på [8] att problemet med att hitta en unik kortaste vektor faktiskt är motsvarigheten till det vanliga GapSVP-gitterproblemet , vilket ledde till en tydligare bild på detta område.
Betrakta ett typiskt LWE-problem [3] : det är nödvändigt att återställa vektorn , som har en sekvens av ungefärliga linjära ekvationer i x. Till exempel:
där varje relation är sann med ett litet ytterligare fel, säg ± , och vårt mål är att återhämta sig (i det här exemplet ). Utan fel skulle det vara lätt att hitta: till exempel i polynomtid , med den Gaussiska metoden . Att ta hänsyn till felet gör uppgiften mycket svårare, eftersom felet ökar med varje iteration och så småningom når okontrollerbara värden [3] .
Utbudet av kryptografiska tillämpningar för LWE har nyligen blivit ganska brett. Förutom kryptosystemexemplet nedan finns det mer effektiva system [2] [9] . Dessutom kan användningen av Ring-LWE göra systemet verkligen användbart [10] .
Det är särskilt värt att notera att LWE kan användas som grund för att skapa kryptografiska system som ger en helt homomorf kryptering . Till exempel användes det i implementeringen av det allmänt tillgängliga FHEW-biblioteket [11] .
Betrakta ett enkelt exempel på ett kryptosystem med offentlig nyckel som föreslagits av Regev [1] . Det bygger på komplexiteten i att lösa LWE-problemet. Systemet beskrivs med följande siffror: -hemlig parameter, -dimension, -modul och sannolikhetsfördelning . För att säkerställa systemets säkerhet och korrekthet bör följande alternativ väljas:
Då definieras kryptosystemet enligt följande:
I sina verk [1] [3] bevisade Oded Regev riktigheten och säkerheten hos detta kryptosystem med ett lämpligt val av parametrar.