TFHE実装入門

8.Parameter Selection

松岡　航太郎

Security Parameter

• 準同型暗号においてはSecurityと性能の両方にパラメータの選定が効いてくる
• 格子暗号に対する攻撃は日々進化し続けている
• 1年後も同じパラメータを使えると思ってはいけない
• TFHEのパラメータの具体的決定法をみることで今後の進歩に対応する
• 決定法に関する決まったinstructionがあるわけではないことには留意
• 一例と思ったほうがいいかもしれない

lwe-estimator

• 安全性を推定するためのデファクトスタンダード
• LWEに対する知られている限りの攻撃法による計算量を評価
• 更新されるたびにパラメータ変更を要する可能性があると思っていい
• 必要な安全性を満たすための必要条件をこれで最初に探す
• SageMathCellを使うのが楽

コード(TFHE公式の抜粋)

• 両方で128を超えるのがとりあえずの目安

Primal

• LWEの秘密鍵を直接得ようとする攻撃
• LWEがunique Shortest Vector Problem(uVSP)またはBounded Distance Decoding(BDD)に帰着されている
• $m$本の0の暗号文が与えられているとしよう($m>n$)
• $\mathbf{A}=\{\mathbf{a}_0,\mathbf{a}_1,...,\mathbf{a}_m\}∈\mathbb{Z}_q^{n×m},\mathbf{b}=\{b_0,b_1,...,b_m\}∈\mathbb{Z}_q^{m}$
• 問題は$\mathop{\rm arg~min}\limits_{\mathbf{s}}\mathbf{b}-\mathbf{A}^T⋅\mathbf{s}(\mathbf{s}∈\mathbb{Z}_q^{n})s$

Dual

• 乱数と暗号文を識別する攻撃
• 識別できるということは暗号文に相関性があるということ
• 相関性を見つけれた場合情報が漏れる可能性がある
• Primalより弱いようにも見えるが簡単とは限らない
• 問題としては$\mathbb{A}⋅\mathbb{v}=\mathbf{0}$となる$\mathbb{v}∈\mathbb{Z}_q^m$で短い非零ベクトルを探す
• 見つかったら$\mathbf{v}⋅\mathbf{b}$を計算して値が十分小さければ$\mathbb{v}$の非零要素に対応する暗号文は乱数でないと判定できる
• ∵$\mathbf{b}=\mathbf{A}^T⋅\mathbf{s}+\mathbf{e}$より$\mathbf{v}⋅\mathbf{b}=\mathbf{b}⋅\mathbf{e}$で$\mathbf{e}$は短いベクトル

量子コンピュータ

• LWE暗号はポスト量子コンピュータ暗号の候補である
• しかし量子コンピュータの方が強いのは変わらない
• lwe-estimatorは量子アルゴリズムに対する耐性も推定できる

パラメータとノイズ

• LWEはノイズがあるので準同型演算によってノイズが増える
• ノイズが多すぎると暗号文が壊れる
• 高速なパラメータはノイズの増加を伴うことが多い
• ∴ ノイズの増加量とパフォーマンスを天秤にかける必要がある
• 以降TFHEのBootstrappingにおけるノイズの評価式を構成していく
• 許容できる誤り確率をきめてそれを満たすノイズの範囲でパラメータを調整する
• 評価においてはノイズは分散として扱う
• メッセージの間隔の4分の1を$w$、分散を$σ^2$とすれば誤り確率は$\rm{erfc}(\frac{w}{\sqrt{2}σ})$
• 半分ではなく4分の1なのはHomNANDなどを処理するときに２つを足すことになるので、そのときに誤る確率を計算しているから
• TFHEの現論文に従うなら$w=\frac{1}{16}$とすれば良い

External Productのノイズ

• 加算のノイズは自明なので省略
• Decompositionによる丸め誤差を$ϵ=\frac{1}{Bg^l}$、TRLWEの誤差の標準偏差を$α$とする
• $2lN(\frac{Bg}{2})^2α_{bk}^2+(1+N)||μ[X]||^2ϵ^2+||μ[X]||^2α^2$
• 第1項は係数の絶対値が$\frac{Bg}{2}$以下の$N$次多項式が零の暗号文の行列にかかるときのノイズ
• 第2項はDecompositionによるノイズが復号時にどれだけ増幅されるか
• 第3項はTRLWEのノイズがTRGSWの平文によってどれだけ増幅されるか

CMUXのノイズ

• 当然ほぼExternal Productと一緒の結果になる
• 明らかに$||μ[X]||^2$≤1
• 足し引きの関係から入力となるTRLWEの標準偏差で大きい方を$α$とする
• ∴$2lN(\frac{Bg}{2})^2α_{bk}^2+(1+N)ϵ^2+α^2$

Blind Rotate

• 今回の範囲ではTest Vectorはノイズを含まない
• $n$回CMUXをするのでこうなる
• $n(2lN(\frac{Bg}{2})^2α_{bk}^2+(1+N)2ϵ^2)$

Identity Key Switching

• 入力となるTLWElvl1のノイズを$α$とする
• $α+Ntα_{ks}+N2^{-2(t*basebit+1)}$
• 第2項は合計$Nt$このTLWElvl0を足すことから来ている
• 第3項は整数に丸める際の丸め誤差の影響を表している

Gate Bootstrapping

• 今まで出てきたものをすべて足せばいい
• $n(2lN(\frac{Bg}{2})^2α_{bk}^2+(1+N)2ϵ^2)+Ntα_{ks}+N2^{-2(t*basebit+1)}$

パフォーマンスから選定の基本

• すでに述べているが多項式乗算を出来る限り避ける
• $l$は可能な限り小さいほうがよく$n,N$も小さいに越したことはない
• $t$も小さいほうがいいがそんなに影響しない

参考文献

• lwe-estimator
• SageMathCell
• TFHEの安全性評価コード
• A Brief Introduction to Techniques forSolving Lattice-based Quantum-Safe Schemes
• Attacks on LWE
• Random Lattices and Lattice-Based Cryptography
• 格子暗号解読のための数学的基礎
• Error Functionのwikipediaページ
• TFHEの原論文にノイズの話はある
• 講師がパラメータ選定に使っているコード