Regev が示したこと (1)
【 Regev が示したこと (1) 】
2005年の論文で、Regevが示したのは、LWE( Learning with Errors )問題を解くことの難しさを、Lattice問題を解くことの難しさに「還元」できるということだった。
LWE問題を解くのは難しい。同様に、Lattice問題(例えば SVP「最短ベクトル」問題や、CVP「最近ベクトル」問題)も解くのは難しい。ただ、二つの難しい問題があるからといって、その二つの「難しさ」に関係があるとは限らない。
Regevは、次のように考える。
「LWE問題とCVP問題が解けたとしよう。そう仮定すると、二つを結びつけるものが見えてこないか?」
「ちょっと待って。解けてもいない問題を解けたことにして、いいの?」
ま、でもこれは大したことではない。実際には解けていない問題Pに、それを瞬時に解くアルゴリズムを想定することを、Pの「オラクル」を考えるという。文字通り「神託」を仮定するのだ。それは、お互いの関係がよくわかっていない複雑性の関係を考えるための、複雑性理論の常套手段だ。
gitalもちろん、LWE問題とCVP問題の「オラクル」を仮定しても、それだけでは両者の関係が見えてくるわけではない。
Regevがとったアプローチには、二つ特徴がある。
一つは、ラティスLの中だけで考えるのではなく、その双対ラティスL* も一緒に考えることだ。ラティスLでの議論は双対ラティスL* 上の議論に翻訳される。逆に、双対ラティスL*上の議論は、ラティスL上の議論に翻訳される。
こうして彼の推論は、ラティスLと双対ラティスL* の間を行ったり来たりする。といっても、それは行き当たりばったりではなく、L -> L* -> L -> L* -> ... -> L というふうに、最後には、Lの議論に戻る。
もうひとつの特徴は、ラティスL上の「正規分布」から、何度もデータをサンプリングしてそれを利用することだ。これを、Digital Gaussian Sampling -- DGS という。"Gaussian"というのは「ガウスの正規分布」という意味だ。
LWE( Learning with Errors )問題というのは、公開キーのデータAを既知として、B = A^Ts + e という形のデータ( A^Tは行列Aの転置である)Bが与えられた時、秘密キーsを求めよという問題である。
eがいつもゼロなら、既知のAとBからsを求めるのは、A's = Bを解けという問題になるから、それは簡単である。
このLWE問題を解くのを難しくしているのは、余分な項 e があるからである。この項eは、いつも同じではなくランダムな値を取る。といっても、全くランダムな値が追加されるのではなく、eは平均がゼロで標準偏差rの正規分布Dからランダムに取られた値を取る。
だから、たくさんのデータ Bが与えられたとすれば、それらのe項の平均はゼロに近づく。また偏差rは、分布の左右への広がりに対応するから、rが小さいときには、分布の中心のゼロに近い小さい値を持つ値がeとして選ばれる確率が高いことになる。
Regevが導入した、Digital Gaussian Sampling -- DGS という仮定は、まさに、LWEでの、eのサンプリングに対応したものである。DGSは、LWEのサンプル・データを大量に生成するのに利用できる。ただ、こうしたサンプリングは、どのように与えられるのだろうか?
実は、2005年のRegevの論文の「基本定理」と呼ばれるものがある。それは次のものだ。
「LWE問題のオラクルWを我々が利用できるとするなら、Digital Gaussian Sampling -- DGS を可能にする、効率的な量子アルゴリズムがある。」
オラクルを使うのは、変なことではないと書いたのだが、この定理はそうしたオラクルの一般論ではない。LWE問題のオラクルに関する問題だ。このRegevの「基本定理」が主張しているのは、LWEオラクルが働くのなら、DGSも機能しなければならないということだ。
それにしても、ここに、なぜ、「量子アルゴリズム」が登場するのだろう?
それに、Regevの論文の目的は、冒頭に述べたように、LWE( Learning with Errors )問題の難しさを、Lattice問題の難しさに「還元」できることを示すことだったはず。この論文の目的と、LWE問題とDGS問題に関するRegevの「基本定理」は、どう関連するのだろう?
そう。
まだ、Regevの2005年の仕事については、説明すべきことがあるのだ。
「Regev が示したこと (2)」に続く。
-----------
セミナーの申し込み受付始めました。申し込みはこちらからお願いします。https://cipher3.peatix.com/view
「ラティス暗号入門」のまとめページはこちらです。https://www.marulabo.net/docs/cipher3/
「LWE暗号の対量子耐性」についての連続投稿は、こちらからもアクセスできます。
●「Shorのアルゴリズムの秘密」https://maruyama097.blogspot.com/2022/09/shor.html
●「Shorのアルゴリズムの秘密の秘密」https://maruyama097.blogspot.com/2022/09/shor_045224329.html
●「Hidden Subgroup Problem」https://maruyama097.blogspot.com/2022/09/hidden-subgroup-problem.html
●「量子陣営の困惑」https://maruyama097.blogspot.com/2022/09/blog-post_26.html
コメント
コメントを投稿