Обучение с ошибками (англ. Learning with errors) — это концепция машинного обучения, суть которой заключается в том, что в простые вычислительные задачи (например, системы линейных уравнений) намеренно вносится ошибка, делая их решение известными методами неосуществимым за приемлемое время.

Представленная Одедом Регев в 2005 году LWE оказалась удивительно универсальной основой для криптографических конструкций, в частности, для создания постквантовых криптографических алгоритмов.

Определение

Зафиксируем параметр , модуль и распределение вероятности «ошибки» на . Пусть  — распределение вероятности на , полученное выбором вектора равномерно случайно, выбором ошибки в соответствии с и полученным выражением , где и сложение производится по модулю .

Говорят, что алгоритм решает задачу , если для любого , имея произвольное полиномиальное число независимых соотношений из он с высокой вероятностью выдаст .

История появления

Возникновение концепции LWE отслеживается в работах Миклоша Айтаи и Синтии Дворк. Они описали первую криптосистему на открытых ключах, использующую криптографию на решётках, и последующие её улучшения и модификации. LWE не была в явном виде представлена в этих работах, однако тщательное исследование конструкции Айтаи—Дворк, упрощённой в работе Регева, показывает, что идеи LWE неявно возникают в этой работе.

Стоит отметить, что ранние исследования в этой области опирались на недостаточно хорошо изученную задачу нахождения уникального кратчайшего вектора. Долгое время было непонятно, можно ли заменить её более стандартными задачами на решётках. Позднее Крис Пейкерт и Вадим Любашевский с Даниэле Миччанчо выяснили, что задача нахождения уникального кратчайшего вектора на самом деле является эквивалентом стандартной задачи на решетках GapSVP, что привело к более ясной картине в данной области.

Пример задачи

Рассмотрим типичную задачу LWE: необходимо восстановить вектор , имея последовательность приближенных линейных уравнений по x. Например:

где каждое соотношение верно с некоторой маленькой дополнительной ошибкой, скажем, ± и наша цель восстановить (в данном примере ). Без ошибки найти было бы просто: например, за полиномиальное время, используя метод Гаусса. Учёт же ошибки делает задачу значительно более трудной, поскольку с каждой итерацией ошибка возрастает и в конечном итоге достигает неуправляемых значений.

Криптографические приложения

Диапазон криптографических приложений LWE становится в последнее время достаточно широким. Кроме приведенного ниже примера криптосистемы, существуют и более эффективные схемы. Более того, использование Ring LWE может сделать систему реально применимой.

Стоит особенно отметить, что LWE может использоваться как основа для создания криптографических схем, предоставляющих полностью гоморфное шифрование. Например, она использовалась в реализации открытой для общественного пользования библиотеки FHEW.

Система на открытых ключах

Рассмотрим простой пример криптосистемы на открытых ключах, предложенной Регевом. Она опирается на сложность решения задачи LWE. Система описывается следующими числами: -секретный параметр, -размерность, -модуль и распределением вероятности. Для гарантии безопасности и корректности системы следует выбрать следующие параметры:

  • , простое число между и
  • для произвольной константы

Тогда криптосистемы определяется следующим образом:

  • Секретный ключ: Секретный ключ это выбранный произвольно.
  • Открытый ключ: Выберем векторов произвольно и независимо. Выберем допустимые ошибки независимо в соответствии с распределением . Открытый ключ состоит из
  • Шифрование: Шифрование бита производится так: выбирается случайное подмножество из и определяется шифр как
  • Расшифрование: Расшифровка это в случае если ближе к , чем , и в противном случае.

В своих работах Одед Регев доказал корректность и защищенность данной криптосистемы при соответствующем выборе параметров.

Литература


Эта статья использует материал из статьи Wikipedia Обучение с ошибками, которая выпущена под Creative Commons Attribution-Share-Alike License 3.0.