동형암호 - 2. (R)LWE

(Ring) Learning With Errors

• Introduced by Lyubashevsky, Peikert and Regev (Eurocrypt 2010)

Factoring problem

e.g.:

• 노이즈($e_m$)가 없을 경우 : $s_1 \sim s_n$, $m \geq n$이면 연립 방정식의 해가 존재 (m은 방정식의 수)
• 노이즈($e_m$)가 있을 경우 : $m \geq n$ 이더라도 풀기 힘듬

RLWE

Basic Notation

• $\mathbb{Z}_q$: 정수의 집합 $(-q/2, q/2]$, (q는 q>1인 정수)
• 모든 연산은 대부분 $mod \space q$가 수행되고 양수인 정수 $[0,q)$를 주로 다룰 수 있지만 이는 $\mathbb{Z}_q$와 동일.
  $-x\equiv q-x(mod \space q)$ (e.g.: $-1 \equiv 6(mod \space 7))$
• $[⋅]_m$ : modulo m 적용
• $⌊⋅⌉$ : 가까운 정수로 반올림
• $a, b \in \mathbb{Z}_q^n$, a, b의 내적
  $<a,b> = \sum_{i}^{n} a_i \cdot b_i (mod \space q)$

Definition

$\mathbb{Z}_q = \{0, 1, 2, \cdots, q-1\} \\ \mathbb{Z}_q^n = \mathbb{Z}_q \times \cdots \times \mathbb{Z}_q \\ \vec{a} \in \mathbb{Z}_q^n=[a_1, \cdots, a_n] \space where \space a_i \in \mathbb{Z}_q \\ Given \space \vec{a} \in \mathbb{Z}_q^n, \vec{b} = \vec{a} \cdot \vec{s} + \vec{e}, find \space \vec{s} \in \mathbb{Z}_q^n$

e.g.:

LWE -> RLWE :

• matrix multiplication 보다는 polynomial multiplication 이 더 빠름
• A -> A'로 더 작은 공간에서 같은 식을 표현할 수 있음

ring 에서 quotient prime을 이용해 modulo 연산을 하듯이 polynomial에서도 polynomial로 나눠주게됨.

$p(x)$: irreducable polynomials

• $x^n+1 : if \space n=2^k$
• $x^n+1$로 나눴다는 의미는 $x^n+1=0$으로 본다는 뜻
• $\therefore \space x^n=-1$

Reference

• https://www.ayoub-benaissa.com/blog/build-he-scheme-from-scratch-python/