PLWE环的选择

Question

在[ELOS15]中，作者对RLWE进行了攻击，并声称“RLWE的硬度取决于所选数字字段的特殊性质”；而在对RLWE的先前攻击(包括上述攻击)的响应下，在[P16]中，作者声称‘环本身并不是脆弱实例化中不安全的根源。’是哪一种情况？某些戒指是独一无二的吗？易受某些攻击，还是仅仅是选择的参数使结构不安全(例如，错误分布不当)？

Answer 1

P16的第4节可能是要阅读的关键部分。我引述如下：

我们强调，除EHL14外，所有这些不安全实例化都适用于相对于R (在规范嵌入中)具有球面高斯误差的环形LWE的“非对偶”版本。相反，来自LPR10的环形LWE的定义，以及具有最坏情况硬度的实例化，相对于对偶理想R^\vee而言，涉及球误差(见第2.3.2节)。当将不安全的实例化和硬实例化转换为直接可比较时，所产生的错误分布的宽度和形状会非常不同。我们回到第5节的这一点，在第5节中，我们证明了硬实例化对第3节的攻击是免疫的。

事实上，这可以理解为环LWE和Poly之间的关键区别-是否LWE样本：

(a(x), a(x)s(x) + e(x))\in\begin{cases}R_q\times R_q^\vee & \text{RLWE}\\ R_q\times R_q & \text{PolyLWE}\end{cases}

请注意，它们几乎是等价的。特别是，在P16第2节的末尾，有一个标题叫做对偶和非对偶形式的等价，其中证明了它们与最终的误差分布的选择是等价的。对于两个摆线的幂函数，我们知道这个变化是由一个小的常数相乘，也就是通过一个变换，简单地缩放基础误差分布的协方差矩阵。一般情况下，这些分布是通过一定的线性变换来关联的，但它不需要这么简单。

P16指出，这意味着对PolyLWE弱实例的攻击是对RLWE的隐式攻击，而这些攻击是由于不考虑上述基础错误分布的变化而引起的(这取决于基本的环的选择)。这意味着在RLWE方面，错误太小，所以最坏的情况到平均情况的减少是无效的(因此，PolyLWE攻击并不意味着IdealSVP算法，正如您可能预料的那样)。