格密码–LWE，DLWE和ss-LWE

0.数学符号

数学符号	含义	备注
$Zq\mathbb{Z}_q$	模 $q$ 的整数集合，即 ${0,1,2,...,q-1\}$	用于定义LWE、DLWE、ss-LWE等问题中矩阵和向量的元素取值范围，是基础整数环
$\in_R S$	$x$ 从集合 $S$ 中均匀随机（且独立）地选取	如 $\in_R \mathbb{Z}_q^n$ 表示秘密向量 $s$ 随机选自该向量空间，用于LWE等问题中随机参数的选取
$LWE(m,n,q,B)\text{LWE}(m, n, q, B)$	学习错误问题：给定 $\in_R \mathbb{Z}_q^{m \times n}$ 、 $\pmod{q}$ ，寻找秘密向量 $s$ ，其中 $\in_R \mathbb{Z}_q^n$ ， $\in_R [-B, B]^m$ 且 $\ll q/2$	由Regev在2005年提出，核心是从带误差的线性方程中恢复秘密，是格密码的核心困难问题
$\in_R \mathbb{Z}_q^{m \times n}$	$A$ 是一个 $m$ 行 $n$ 列的矩阵，元素属于 $Zq\mathbb{Z}_q$ ，且随机选取	LWE问题的输入矩阵，用于构造带误差的线性方程 $\pmod{q}$
$\in_R \mathbb{Z}_q^n$	$s$ 是一个 $n$ 维列向量，元素属于 $Zq\mathbb{Z}_q$ ，且随机选取	LWE问题中的秘密向量，是需要求解的目标
$\in_R [-B, B]^m$	$e$ 是一个 $m$ 维列向量，每个分量在 $- B$ 到 $B$ 之间，且随机选取	LWE问题中的误差向量，“短”特性由 $\ll q/2$ 保证，是问题困难性的关键
$\pmod{q}$	向量 $b$ 由矩阵 $A$ 与秘密向量 $s$ 的乘积加误差向量 $e$ 后模 $q$ 得到	LWE问题的核心方程， $\in \mathbb{Z}_q^m$ 是已知输入，用于反推秘密 $s$
$DLWE(m,n,q,B)\text{DLWE}(m, n, q, B)$	决策性学习错误问题：给定 $(A, c)$ ，判断 $c$ 是 $\pmod{q}$ 还是随机向量 $\in_R \mathbb{Z}_q^m$	是LWE的判定性版本，需区分“带误差的线性组合”与“纯随机向量”
$\in_R \mathbb{Z}_q^m$	$r$ 是一个 $m$ 维列向量，元素属于 $Zq\mathbb{Z}_q$ ，且随机选取	DLWE中用于对比的随机向量，与 $b$ 以等概率作为 $c$ 的候选
$ss-LWE(m,n,q,B)\text{ss-LWE}(m, n, q, B)$	短秘密学习错误问题：秘密向量 $\in_R [-B, B]^n$ ，其余同LWE	是LWE的变体，秘密向量也具有“短”特性，与LWE等价（可双向归约）
$Round_q(x)$	模 $q$ 的取整函数，将 $x$ 映射到最近的 ${0, 1\}$ （如LWE加密解密中）	在解密中用于从 $c_2 - s^T c_1$ 还原明文 $\in \{0,1\}$ ，核心是判断值是否接近 $0$ 或 $⌈q/2⌋\lceil q/2 \rfloor$
$ss-DLWE(n,n,q,B)ss\text{-DLWE}(n, n, q, B)$	短秘密决策性学习错误问题：基于ss-LWE的判定性版本	与ss-LWE等价，在公钥加密安全性证明中作为困难问题假设
$c_1 = A^T r + z$	加密过程中计算的第一部分密文，其中 $A^T$ 是 $A$ 的转置， $\in_R [-B, B]^n$	Lindner-Peikert公钥加密方案中的密文分量，依赖公钥 $A$
$c2=bTr+z′+m⌈q/2⌋(modq)c_2 = b^T r + z' + m \lceil q/2 \rfloor \pmod{q}$	加密过程中计算的第二部分密文，其中 $b^T$ 是 $b$ 的转置， $\in_R [-B, B]$ ， $\in \{0,1\}$	Lindner-Peikert公钥加密方案中的密文分量，嵌入明文 $m$ ，依赖公钥 $b$
$s^T c_1$	秘密向量 $s$ 的转置与密文 $c_1$ 的内积	解密过程中用于消除密文中的公开信息，还原含明文的误差项

1.LWE定义

2005年LWE(Learning With Errors)问题被Regev提出。
$LWE(m,n,q,B)\text{LWE}(m, n, q, B)$ ：给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 、秘密向量 $s∈Zqn\boldsymbol{s} \in \mathbb{Z}_q^n$ 、误差向量 $e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （ $\ll q/2$ ），以及样本 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ ，目标是恢复秘密向量 $s\boldsymbol{s}$ 。 LWE问题的核心方程为：
$\underbrace{ \begin{pmatrix} a_{11} & a_{12} & \dots & a_{1n} \\ a_{21} & a_{22} & \dots & a_{2n} \\ \vdots & \vdots & \ddots & \vdots \\ a_{m1} & a_{m2} & \dots & a_{mn} \end{pmatrix} }_{m \times n \text{ 随机矩阵 } \boldsymbol{A}} \underbrace{ \begin{pmatrix} s_1 \\ s_2 \\ \vdots \\ s_n \end{pmatrix} }_{n \times 1 \text{ 秘密向量 } \boldsymbol{s}} + \underbrace{ \begin{pmatrix} e_1 \\ e_2 \\ \vdots \\ e_m \end{pmatrix} }_{m \times 1 \text{ 短误差向量 } \boldsymbol{e}} \; \equiv \; \underbrace{ \begin{pmatrix} b_1 \\ b_2 \\ \vdots \\ b_m \end{pmatrix} }_{m \times 1 \text{ 样本向量 } \boldsymbol{b}} \pmod{q}$

矩阵乘法和加法的逐行展开（共 $m$ (样本数量) 个方程，变量为 $s1,s2,…,sns_1, s_2, \dots, s_n$ （ $n是秘密向量sn是秘密向量\boldsymbol s$ 的维度），误差 $e1,…,eme_1, \dots, e_m$ 是隐藏的短向量）：
$\begin{cases} a_{11}s_1 + a_{12}s_2 + \dots + a_{1n}s_n + e_1 \equiv b_1 \pmod{q} \\ a_{21}s_1 + a_{22}s_2 + \dots + a_{2n}s_n + e_2 \equiv b_2 \pmod{q} \\ \vdots \\ a_{m1}s_1 + a_{m2}s_2 + \dots + a_{mn}s_n + e_m \equiv b_m \pmod{q} \end{cases}$

2.LWE参数

1.参数B分析

1.如果 $B = 0$ (即e=0：没有误差)，那么原式可以化为 $As=bA\boldsymbol{s} = \boldsymbol{b}$ (mod q)可以被快速解决。（ISIS中类似的方程是无法快速找到解的，而这里却可以，两者的核心区别是对解是否有约束）

2.如果 $B$ = $(q - 1) /2$ (误差过大),秘密 $s$ 无法恢复（信息论上不可能）
3.实际中取== $B < q /4$ 确保误差既能掩盖关系，又能通过合理约束使解唯一
4.（Arora - Ge定理）若误差范围==B 的渐近增长速度严格慢于 $n\sqrt{n}$ （即当 $n$ 趋近于无穷大时， $B$ 相对于 $n\sqrt{n}$ 可忽略不计），且样本数量 ( m ) 足够大（满足 $\gg n$ ），则带误差学习问题（LWE）可在 亚指数时间（例如 $2nϵ2^{n^\epsilon}$ ，其中 $\epsilon < 1$ ）内被求解。

2.参数m和n分析

当m>>n的时，LWE会有唯一解（ $s，e\boldsymbol{s，e}$ ）。LWE解的唯一性仅在：以向量 $As(modq)A\boldsymbol{s} \pmod{q}$ 为中心的 $q^n$ 个球中，任意两个都不重叠。得以保证。

3.D-LWE(Decisional LWE)

定义：

$DLWE(m,n,q,B)\text{DLWE}(m, n, q, B)$ ：给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 、秘密向量 $s∈Zqn\boldsymbol{s} \in \mathbb{Z}_q^n$ 、误差向量 $e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （ $\ll q/2$ ），以及样本 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ 。和随机向量 $r∈RZqm\boldsymbol{r\in_R }\mathbb{Z}_q^m$ 。输出的 $c\boldsymbol{c}$ 两种情况1. $c=b\boldsymbol{c}=\boldsymbol{b}$ (1/2的概率) 2. $c=r\boldsymbol{c}=\boldsymbol{r}$ (1/2)的概率。目标是对于给定的（A， $c\boldsymbol c$ ）显著高于1/2的概率能够区分： $c=b\boldsymbol{c}=\boldsymbol{b}$ 还是 $c=r\boldsymbol{c}=\boldsymbol{r}$

4.LWE与DLWE等价

Claim 1: DLWE ≤ LWE

目标：用 LWE 求解器区分 DLWE 实例 $(A,c)(\boldsymbol{A}, \boldsymbol{c})$ 是真实样本还是随机样本。

步骤：

输入 DLWE 实例 $(A,c)(\boldsymbol{A}, \boldsymbol{c})$ ，其中 $c\boldsymbol{c}$ 可能是：
- 真实样本： $c=As+e(modq)\boldsymbol{c} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$
- 随机样本： $c=r∈RZqm\boldsymbol{c} = \boldsymbol{r} \in_R \mathbb{Z}_q^m$
调用 LWE 求解器处理 $(A,c)(\boldsymbol{A}, \boldsymbol{c})$ ：
- 若返回唯一有效解 $(s,e)(\boldsymbol{s}, \boldsymbol{e})$ （满足 $As+e≡c(modq)\boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \equiv \boldsymbol{c} \pmod{q}$ 且 $e∈[−B,B]m\boldsymbol{e} \in [-B, B]^m$ ），则判定 $c\boldsymbol{c}$ 为真实样本
- 若求解器失败（无解或超时），则判定 $c\boldsymbol{c}$ 为随机样本

合理性：

当 $c=b\boldsymbol{c} = \boldsymbol{b}$ 时，LWE 求解器能以高概率找到解（唯一解假设下）
当 $c=r\boldsymbol{c} = \boldsymbol{r}$ 时，方程 $As+e≡r(modq)\boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \equiv \boldsymbol{r} \pmod{q}$ 无解（因 $r\boldsymbol{r}$ 独立于 $A\boldsymbol{A}$ ）

Claim 2: LWE ≤ DLWE

目标：用 DLWE 求解器恢复 LWE 实例 $(A,b)(\boldsymbol{A}, \boldsymbol{b})$ 的秘密向量 $s\boldsymbol{s}$ （逐个分量猜测）。

假设原始矩阵和向量为：
$\boldsymbol{A} = \begin{pmatrix} a_{11} & a_{12} & \cdots & a_{1n} \\ a_{21} & a_{22} & \cdots & a_{2n} \\ \vdots & \vdots & \ddots & \vdots \\ a_{m1} & a_{m2} & \cdots & a_{mn} \end{pmatrix}, \quad \boldsymbol{b} = \begin{pmatrix} b_1 \\ b_2 \\ \vdots \\ b_m \end{pmatrix}, \quad \boldsymbol{\Delta} = \begin{pmatrix} \delta_1 \\ \delta_2 \\ \vdots \\ \delta_m \end{pmatrix}$

构造新矩阵 $A′\boldsymbol{A}'$ ：
- 将 $Δ\boldsymbol{\Delta}$ 加到 $A\boldsymbol{A}$ 的第一列：
$\boldsymbol{A}' = \begin{pmatrix} a_{11} + \delta_1 & a_{12} & \cdots & a_{1n} \\ a_{21} + \delta_2 & a_{22} & \cdots & a_{2n} \\ \vdots & \vdots & \ddots & \vdots \\ a_{m1} + \delta_m & a_{m2} & \cdots & a_{mn} \end{pmatrix}$
构造新向量 $b′\boldsymbol{b}'$ ：
$\boldsymbol{b}' = \begin{pmatrix} b_1 + d \cdot \delta_1 \\ b_2 + d \cdot \delta_2 \\ \vdots \\ b_m + d \cdot \delta_m \end{pmatrix}$

正确性分析：

令秘密向量 $s=(s1,s2,…,sn)T\boldsymbol{s} = (s_1, s_2, \dots, s_n)^T$ ，原始方程：
$\boldsymbol{b} = \boldsymbol{A} \boldsymbol{s} + \boldsymbol{e} \pmod{q}$

当 $s_1 = d$ 时：
$\boldsymbol{b}' = \boldsymbol{b} + d \boldsymbol{\Delta} = \underbrace{\boldsymbol{A} \boldsymbol{s} + \boldsymbol{e}}_{\boldsymbol{b}} + d \boldsymbol{\Delta}$
代入 $A′\boldsymbol{A}'$ 的定义：
$\boldsymbol{A}' \boldsymbol{s} = \left( \boldsymbol{A} + \begin{bmatrix} \boldsymbol{\Delta} & \boldsymbol{0} & \cdots & \boldsymbol{0} \end{bmatrix} \right) \boldsymbol{s} = \boldsymbol{A} \boldsymbol{s} + s_1 \boldsymbol{\Delta}$
因为 $s_1 = d$ ，有：
$\boldsymbol{b}' = \boldsymbol{A} \boldsymbol{s} + \boldsymbol{e} + d \boldsymbol{\Delta} = \boldsymbol{A} \boldsymbol{s} + s_1 \boldsymbol{\Delta} + \boldsymbol{e} = \boldsymbol{A}' \boldsymbol{s} + \boldsymbol{e}$
此时 $(A′,b′)(\boldsymbol{A}', \boldsymbol{b}')$ 是合法 LWE 样本。
当 $s1≠ds_1 \neq d$ 时：
$\boldsymbol{b}' = \boldsymbol{A} \boldsymbol{s} + \boldsymbol{e} + d \boldsymbol{\Delta} = \underbrace{\boldsymbol{A}' \boldsymbol{s} + \boldsymbol{e}}_{\text{LWE 结构}} + (d - s_1) \boldsymbol{\Delta}$
其中 $s_1) \neq 0$ ，且 $Δ\boldsymbol{\Delta}$ 均匀随机独立于 $A′\boldsymbol{A}'$ ，因此 $s_1) \boldsymbol{\Delta}$ 是均匀随机向量，使得 $b′\boldsymbol{b}'$ 与 $A′\boldsymbol{A}'$ 独立。此时 $(A′,b′)(\boldsymbol{A}', \boldsymbol{b}')$ 是随机样本。至此通过DLWE得到了 $s_1$

通过以下操作可以恢复整个秘密 $s\boldsymbol{s}$

遍历 $\in \mathbb{Z}_q$ ，用 DLWE 求解器测试 $s_1 = d$ 。
找到正确的 $s_1$ 后，构造新问题：
- 更新向量： $b(2)=b−s1⋅第一列(A)(modq)\boldsymbol{b}^{(2)} = \boldsymbol{b} - s_1 \cdot \text{第一列}(\boldsymbol{A}) \pmod{q}$
- 更新矩阵： $的第一列\boldsymbol{A}^{(2)} = \text{移除 } \boldsymbol{A} \text{ 的第一列}$
- 递归求解 $(s2,…,sn)(s_2, \dots, s_n)$ ：
  $\boldsymbol{b}^{(2)} = \boldsymbol{A}^{(2)} \begin{pmatrix} s_2 \\ \vdots \\ s_n \end{pmatrix} + \boldsymbol{e} \pmod{q}$

5.ss-LWE

1.定义：

$ss-LWE(m,n,q,B)\text{ss-LWE}(m, n, q, B)$ ：给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 、秘密向量 $s∈[−B,B]n\boldsymbol{s} \in [-B,B]^n$ 、误差向量 $e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （ $\ll q/2$ ），以及样本 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ ，目标是恢复秘密向量 $s\boldsymbol{s}$ 。

2.LWE和ss-LWE的等价性

Claim 1 ss-LWE(m,n,q,B) $≤\leq$ LWE(m,n,q,B)

显然成立的，ss-LWE只是在LWE基础上加强了对 $s$ 的约束。

Claim 2 LWE(m,n,q,B) $≤\leq$ ss-LWE(m,n,q,B)
**目标：**通过 矩阵分块与逆运算，将LWE的“模 $q$ 随机秘密”转化为ss-LWE的“短误差组合”，利用ss-LWE的求解能力。
步骤：

输入：LWE实例 $\boldsymbol{b})$ ，满足 $b=As+e(modq)\boldsymbol{b} = A\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ ，其中 $s∈Zqn\boldsymbol{s} \in \mathbb{Z}_q^n$ （模 $q$ 随机）， $e∈[−B,B]m\boldsymbol{e} \in [-B,B]^m$ （短误差）。
矩阵分块：

设 $\begin{bmatrix} A_1 \\ A_2 \end{bmatrix}$ （ $A1∈Zqn×nA_1 \in \mathbb{Z}_q^{n \times n}$ ， $A2∈Zq(m−n)×nA_2 \in \mathbb{Z}_q^{(m-n) \times n}$ ），

$b=[b1b2]\boldsymbol{b} = \begin{bmatrix} \boldsymbol{b_1} \\ \boldsymbol{b_2} \end{bmatrix}$ （ $b1∈Zqn\boldsymbol{b_1} \in \mathbb{Z}_q^n$ ， $b2∈Zqm−n\boldsymbol{b_2} \in \mathbb{Z}_q^{m-n}$ ），

$e=[e1e2]\boldsymbol{e} = \begin{bmatrix} \boldsymbol{e_1} \\ \boldsymbol{e_2} \end{bmatrix}$ （ $e1∈[−B,B]n\boldsymbol{e_1} \in [-B,B]^n$ ， $e2∈[−B,B]m−n\boldsymbol{e_2} \in [-B,B]^{m-n}$ ）。
构造ss-LWE实例：

假设 $A_1$ 可逆（随机矩阵下高概率成立），定义 $-A_2 A_1^{-1} \in \mathbb{Z}_q^{(m-n) \times n}$ ，

定义新样本： $b′=A′b1+b2(modq)\boldsymbol{b'} = A'\boldsymbol{b_1} + \boldsymbol{b_2} \pmod{q}$ 。
$\begin{align*} \boldsymbol{b'} &= -A_2 A_1^{-1} (A_1 \boldsymbol{s} + \boldsymbol{e_1}) + A_2 \boldsymbol{s} + \boldsymbol{e_2} \\ &= -A_2 \boldsymbol{s} - A_2 A_1^{-1} \boldsymbol{e_1} + A_2 \boldsymbol{s} + \boldsymbol{e_2} \\ &= A'\boldsymbol{e_1} +\boldsymbol{e_2} \pmod{q} \end{align*}$
其中， $e1,e2\boldsymbol{e_1}, \boldsymbol{e_2}$ 是 短向量（因 $e\boldsymbol{e}$ 短），故 $\boldsymbol{b'})$ 是 合法ss-LWE实例（维度为 $\times n$ ）。
恢复LWE的解：
若ss-LWE求解器输出 $(e1,e2)(\boldsymbol{e_1}, \boldsymbol{e_2})$ ，则通过分块逆运算可反推原秘密 $s\boldsymbol{s}$ （利用 $b1=A1s+e1\boldsymbol{b_1} = A_1 \boldsymbol{s} + \boldsymbol{e_1}$ ，解线性方程 $A1s=b1−e1A_1 \boldsymbol{s} = \boldsymbol{b_1} - \boldsymbol{e_1}$ ）。

对比维度	LWE（Learning With Errors）	DLWE（Decisional LWE）	ss-LWE（Short-Secret LWE）
问题类型	搜索型问题	决策型问题	搜索型问题（LWE的变体）
核心定义	给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 、样本 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ ，其中 $s∈RZqn\boldsymbol{s} \in_R \mathbb{Z}_q^n$ ， $e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （ $\ll q/2$ ）	给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 和向量 $c\boldsymbol{c}$ ，判断 $c\boldsymbol{c}$ 是 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ （真实样本）还是随机向量 $r∈RZqm\boldsymbol{r} \in_R \mathbb{Z}_q^m$	给定随机矩阵 $A∈RZqm×n\boldsymbol{A} \in_R \mathbb{Z}_q^{m \times n}$ 、样本 $b=As+e(modq)\boldsymbol{b} = \boldsymbol{A}\boldsymbol{s} + \boldsymbol{e} \pmod{q}$ ，其中 $s∈R[−B,B]n\boldsymbol{s} \in_R [-B, B]^n$ （短秘密）， $e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （ $\ll q/2$ ）
目标	恢复秘密向量 $s\boldsymbol{s}$	以显著高于1/2的概率区分 $c\boldsymbol{c}$ 是真实样本还是随机样本	恢复短秘密向量 $s\boldsymbol{s}$
秘密向量约束	$s∈RZqn\boldsymbol{s} \in_R \mathbb{Z}_q^n$ （模 $q$ 均匀随机，无“短”约束）	$s∈RZqn\boldsymbol{s} \in_R \mathbb{Z}_q^n$ （同LWE）	$s∈R[−B,B]n\boldsymbol{s} \in_R [-B, B]^n$ （短向量，分量范围远小于 $q$ ）
误差向量约束	$e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （短误差， $\ll q/2$ ）	$e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （同LWE）	$e∈R[−B,B]m\boldsymbol{e} \in_R [-B, B]^m$ （同LWE）
输入参数	$(A,b)(\boldsymbol{A}, \boldsymbol{b})$	$(A,c)(\boldsymbol{A}, \boldsymbol{c})$ （ $c\boldsymbol{c}$ 为真实样本或随机向量）	$(A,b)(\boldsymbol{A}, \boldsymbol{b})$
与其他问题的关系	与DLWE等价（双向归约）；与ss-LWE等价（双向归约）	与LWE等价（双向归约）	与LWE等价（双向归约）；与ss-DLWE（短秘密决策型LWE）等价
核心特性	格密码核心困难问题，通过带误差的线性方程隐藏秘密	从“判定”角度刻画LWE的困难性，更易用于安全性证明	秘密向量为短向量，更贴近工程直觉，且不降低困难性（与LWE等价）