SALSA PICANTE: a machine learning attack on LWE with binary secrets

要約

Learning with Errors (LWE) は、提案されている多くの量子後暗号 (PQC) システムの基礎となる難しい数学の問題です。
NIST によって標準化された唯一の PQC 鍵交換メカニズム (KEM) は module~LWE に基づいており、現在公開されている PQ 準同型暗号化 (HE) ライブラリはリング LWE に基づいています。
LWE ベースの PQ 暗号システムのセキュリティは重要ですが、実装の選択によってはセキュリティが弱くなる可能性があります。
そのような選択の 1 つは、効率上の理由から PQ HE スキームに望ましい、スパース バイナリ秘密です。
以前の研究である SALSA は、小さい次元 ($n \le 128$) と低いハミング重み ($h \le 4$) のスパース バイナリ秘密を使用した LWE に対する機械学習ベースの攻撃を実証しました。
ただし、この攻撃は何百万もの盗聴された LWE サンプルへのアクセスを前提としており、より高いハミング重みや次元では失敗します。
私たちは、スパースバイナリ秘密を使用した LWE に対する強化された機械学習攻撃である PICANTE を紹介します。これは、はるかに大きな次元 (最大 $n=350$) とより大きなハミング重み (およそ $n/10$、最大 $h) で秘密を回復します。
=60$、$n=350$)。
私たちは、新しい前処理ステップによってこの劇的な改善を達成しました。これにより、線形数の盗聴された LWE サンプル ($4n$) からトレーニング データを生成し、データの分布を変更して変圧器のトレーニングを改善することができます。
また、SALSA のシークレット回復方法を改善し、トレーニングされたモデルからシークレットを直接読み取ることを可能にする新しいクロスアテンション回復メカニズムを導入します。
PICANTE は NIST が提案している LWE 標準を脅かすものではありませんが、SALSA に比べて大幅な改善が見られ、さらに拡張する可能性があるため、まばらなバイナリ シークレットを使用した LWE に対する機械学習攻撃について今後の調査の必要性が強調されています。

要約(オリジナル)

Learning with Errors (LWE) is a hard math problem underpinning many proposed post-quantum cryptographic (PQC) systems. The only PQC Key Exchange Mechanism (KEM) standardized by NIST is based on module~LWE, and current publicly available PQ Homomorphic Encryption (HE) libraries are based on ring LWE. The security of LWE-based PQ cryptosystems is critical, but certain implementation choices could weaken them. One such choice is sparse binary secrets, desirable for PQ HE schemes for efficiency reasons. Prior work, SALSA, demonstrated a machine learning-based attack on LWE with sparse binary secrets in small dimensions ($n \le 128$) and low Hamming weights ($h \le 4$). However, this attack assumes access to millions of eavesdropped LWE samples and fails at higher Hamming weights or dimensions. We present PICANTE, an enhanced machine learning attack on LWE with sparse binary secrets, which recovers secrets in much larger dimensions (up to $n=350$) and with larger Hamming weights (roughly $n/10$, and up to $h=60$ for $n=350$). We achieve this dramatic improvement via a novel preprocessing step, which allows us to generate training data from a linear number of eavesdropped LWE samples ($4n$) and changes the distribution of the data to improve transformer training. We also improve the secret recovery methods of SALSA and introduce a novel cross-attention recovery mechanism allowing us to read off the secret directly from the trained models. While PICANTE does not threaten NIST’s proposed LWE standards, it demonstrates significant improvement over SALSA and could scale further, highlighting the need for future investigation into machine learning attacks on LWE with sparse binary secrets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google