论文状态：已完成

A constant-time sampling algorithm for binary Gaussian distribution over the integers

发表：2022/01/21

整数上的二元高斯采样算法 (1)格密码学基础操作 (1)常数时间采样算法 (1)位操作优化采样 (1)Rényi散度安全分析 (1)

原文链接

价格：0.100000

已有 9 人读过

本分析由 AI 生成，可能不完全准确，请以原文为准。

TL;DR 精炼摘要

本文提出格密码学中二元高斯分布的常数时间采样算法。该算法无需预计算存储，主要依赖位运算，计算复杂度更低，熵消耗更小，并简化了安全分析，对硬件实现友好，可作为通用离散高斯采样基础。

摘要

Information Processing Letters 176 (2022) 106246 Contents lists available at ScienceDirect Information Processing Letters www.elsevier.com/locate/ipl A constant-time sampling algorithm for binary Gaussian distribution over the integers ✩ Yusong Du, Baoying Fan, Baodian Wei ∗ Guangdong Province Key Laboratory of Information Security Technology, School of Computer Science and Engineering, Sun Yat-sen University, Guangzhou 510006, China a r t i c l e i n f o a b s t r a c t Article history: Received 21 January 2020 Accepted 16 January 2022 Available online 21 January 2022 Communicated by Abhi Shelat Keywords: cryptography randomized algorithms discrete Gaussian sampling binary Gaussian distribution timing attack Discrete Gaussian sampling over the integers is one of fundamental operations in lattice- based cryptography. The binary Gaussian distribution D Z + , σ 2 is a special discrete Gaussian distribution with σ 2 = √ 1 /( 2 ln 2 ) and μ = 0 over the set

思维导图

论文精读

中文精读约 14 分钟读完 · 9,001 字

1. 论文基本信息 (Bibliographic Information)

标题 (Title): A constant-time sampling algorithm for binary Gaussian distribution over the integers (一种针对整数上二元高斯分布的常数时间采样算法)
作者 (Authors): Yusong Du, Baoying Fan, Baodian Wei。他们隶属于中国广州的某个机构 (Guangzhou 510006, China)，但具体单位未在首页标明。
发表期刊/会议 (Journal/Conference): Information Processing Letters。这是一个在计算机科学领域，特别是算法和信息理论方面有一定声誉的期刊，以发表简短、精炼的研究论文而闻名。
发表年份 (Publication Year): 2022年 (在线发表于2022年1月21日)。
摘要 (Abstract): 整数上的离散高斯采样是格密码学 (lattice-based cryptography) 的基础操作之一。其中，二元高斯分布 (binary Gaussian distribution) $D_{\mathbb{Z}^+, \sigma_2}$ 是一种特殊的离散高斯分布，其标准差为 $\sigma_2 = \sqrt{1/(2\ln 2)}$ ，中心为 $\mu=0$ ，定义在非负整数集 $\mathbb{Z}^+$ 上。该分布的采样器可作为通用离散高斯采样算法中的基础采样器。本文提出了一种针对二元高斯分布 $D_{\mathbb{Z}^+, \sigma_2}$ 的常数时间 (constant-time) 采样算法。该算法无需预计算存储，主要依赖位运算 (bitwise operations)，因此对硬件实现更友好。与基于 full-tree Knuth-Yao 方法的算法相比，它的计算复杂度更低；与基于累积分布表 (CDT) 的 full-table access 算法相比，它的熵消耗更小。此外，该算法基于雷尼散度 (Rényi-divergence) 的安全性分析也得以简化。
原文链接 (Source Link): /files/papers/68ef2fe8e77486f6f3192e66/paper.pdf。这是一个本地文件路径，表明该论文已正式发表。

2. 整体概括 (Executive Summary)

研究背景与动机 (Background & Motivation - Why):
- 核心问题： 在格密码学中，安全地生成服从离散高斯分布 (discrete Gaussian distribution) 的随机数是一项关键且频繁的操作。然而，许多采样算法的执行时间会根据生成的数值或内部秘密信息的变化而变化，这使得它们容易受到计时攻击 (timing attacks) 的威胁。攻击者可以通过精确测量算法的运行时间来推断出秘密信息，从而破坏密码系统的安全性。
- 重要性与挑战： 为了抵御计时攻击，采样算法必须以常数时间运行，即执行时间不依赖于任何秘密数据。二元高斯分布是一种特殊的、基础性的分布，可作为构建更通用高斯采样器的模块。然而，先前针对该分布的采样算法（如 Ducas 等人提出的 Algorithm 1）并非常数时间。而已有的常数时间改造方案，如完全遍历 Knuth-Yao 树或完全扫描累积分布表 (CDT)，存在计算开销过大或熵消耗较高等问题。
- 切入点与创新思路： 本文的切入点是设计一个原生 (natively) 的常数时间算法，而不是改造现有非恒定时间算法。其创新思路在于构建一个纯粹的拒绝采样 (rejection sampling) 流程，该流程巧妙地利用简单的位运算来构造采样概率，使其恰好匹配二元高斯分布的概率密度函数 $2^{-x^2}$ 。这种方法避免了复杂的预计算和查表操作，天然地对硬件友好且高效。
核心贡献/主要发现 (Main Contribution/Findings - What):
- 提出了一种新的常数时间采样算法 (Algorithm 2)： 这是本文最核心的贡献。该算法专门用于采样二元高斯分布，并确保单次采样尝试的执行时间是恒定的。
- 实现了零预计算存储： 与依赖 CDT 或 Knuth-Yao 概率矩阵的方法不同，该算法不需要预先计算和存储任何查找表，节约了内存资源。
- 优化了性能与资源消耗：
  - 计算复杂度更低： 与常数时间的 full-tree Knuth-Yao 方法相比，新算法需要扫描的比特数显著减少。
  - 熵消耗更小： 与常数时间的 full-table access CDT 方法相比，新算法生成一个有效样本所需的平均随机比特数（即熵）更少。
- 简化了安全性分析： 该算法直接生成一个精确的截断分布，其与理想分布的偏差仅来源于尾部截断 (tailcut)，不涉及数值精度问题。这使得基于雷尼散度的安全性证明过程比 CDT 或 Knuth-Yao 方法更简洁。

基础概念 (Foundational Concepts):
- 格密码学 (Lattice-based Cryptography): 一类基于格 (lattice) 中困难数学问题的现代密码学。它被认为是后量子密码 (Post-Quantum Cryptography, PQC) 的主要候选者之一，因为它能抵抗传统计算机和量子计算机的攻击。
- 离散高斯分布 (Discrete Gaussian Distribution) $D_{\mathbb{Z}, \sigma, \mu}$ : 定义在整数集 $\mathbb{Z}$ 上的高斯分布。给定中心 $\mu \in \mathbb{R}$ 和标准差 $\sigma > 0$ ，整数 $x$ 被抽中的概率正比于高斯函数的值 $\exp(-(x-\mu)^2 / (2\sigma^2))$ 。它是格密码方案中用于引入噪声、保证安全性的核心工具。
- 二元高斯分布 (Binary Gaussian Distribution) $D_{\mathbb{Z}^+, \sigma_2}$ : 一种特殊的离散高斯分布，定义在非负整数集 $\mathbb{Z}^+$ 上，其中心为 $\mu=0$ ，标准差为 $\sigma_2 = \sqrt{1/(2\ln 2)}$ 。这个特定的 $\sigma_2$ 值使得其概率密度函数可以被极简地表示为 $\rho_{\sigma_2}(x) = 2^{-x^2}$ 。这种简洁的形式使其非常适合作为基础采样器。
- 计时攻击 (Timing Attack): 一种侧信道攻击 (side-channel attack)。攻击者通过测量密码算法在处理不同输入时所需的时间差异，来推断算法内部的秘密信息（如密钥）。常数时间 (constant-time) 算法是防御此类攻击的有效手段，它确保算法的执行路径和时间与秘密数据完全无关。
- 雷尼散度 (Rényi Divergence): 一种衡量两个概率分布之间差异的数学工具。在密码学中，当使用一个近似分布（如本文算法生成的截断分布）替代理想分布时，雷尼散度可以量化这种替代对系统安全性的影响。散度值越小，说明两个分布越接近，安全性损失也越小。
前人工作 (Previous Works):
- Ducas 等人的算法 (Algorithm 1): 这是论文中提到的原始二元高斯分布采样算法。它通过巧妙的比特串判断来实现采样，但其执行时间和消耗的随机比特数取决于输出值 $i$ ，因此不是常数时间的，容易受到计时攻击。
- 基于 CDT 的反演采样 (Inversion Sampling): 这是一种经典的采样方法。首先预计算一个累积分布表 (Cumulative Distribution Table, CDT)，采样时生成一个 [0, 1) 范围内的随机数，然后在 CDT 中查找该随机数对应的整数值。为了实现常数时间，需要每次都线性扫描整个表格 (full-table-access)，这在软件上效率尚可，但熵消耗较大。
- Knuth-Yao 方法: 该方法将采样过程转化为在一个离散分布生成树 (DDG tree) 上的随机游走。为了实现常数时间，需要每次都遍历整棵树 (full-tree Knuth-Yao) 或扫描整个预计算的概率矩阵，这会导致巨大的计算开销，尤其不适合硬件实现。
技术演进 (Technological Evolution): 该领域的技术演进路线清晰地体现了对安全性和效率的双重追求。从最初功能性的采样算法（能正确采样即可），发展到关注效率的算法，再到当前高度关注侧信道安全的常数时间算法。本文正是在这一脉络下，试图解决常数时间采样在硬件友好性和效率方面的现有瓶颈。
差异化分析 (Differentiation): 与现有常数时间方法相比，本文提出的 Algorithm 2 的核心差异在于：
1. 实现方式： 它不依赖于任何形式的预计算表 (CDT 或 Knuth-Yao 矩阵)，而是通过一个纯粹的、基于位运算的拒绝采样流程实时生成样本。
2. 资源开销： 它没有存储开销，并且在计算复杂度和熵消耗上优于同类常数时间算法。
3. 安全性分析： 其误差来源单一（仅尾部截断），不涉及数值近似的精度问题，使得安全性分析更直接、更简洁。

4. 方法论 (Methodology - Core Technology & Implementation Details)

本部分将详细拆解论文提出的核心算法 Algorithm 2。

方法原理 (Methodology Principles): 该算法的核心思想是构建一个精巧的拒绝采样过程，使得最终接受一个整数 $n_1$ 的概率正比于 $2^{-n_1^2}$ ，这恰好是二元高斯分布的概率形式。

整个过程可以分解为两个概率事件的乘积：
1. 生成候选值 $n_1$ ： 算法首先通过统计随机比特序列中前导 1 的数量来生成一个候选整数 $n_1$ 。这种方式可以使生成 $n_1$ 的概率正比于 $2^{-n_1}$ 。
2. 设置接受条件： 算法接着生成另一个独立的随机整数 $n_0$ ，并设置一个接受条件 $n_0 \ge (n_1 - 1)n_1$ 。这个条件被接受的概率恰好是 $2^{-(n_1 - 1)n_1} = 2^{-n_1^2 + n_1}$ 。
  
  当这两个事件同时发生时（即生成了 $n_1$ 并且满足接受条件），总的概率为： $P(\text{output } n_1) \propto P(\text{generate } n_1) \times P(\text{accept } | n_1) \propto 2^{-n_1} \times 2^{-n_1^2 + n_1} = 2^{-n_1^2}$ 这就完美地构造出了目标分布的概率形式。

方法步骤与流程 (Steps & Procedures): Algorithm 2 的伪代码如下：

Algorithm 2 Sampling from DZ+,σ2.

Input: Integer N1 ≥ 7 and N0 = N1 · (N1 − 1) Output: A non-negative integer approximately from DZ+,σ2

1: sample N1 + 1 random bits b1, b2 . , 1+1 2: set 1 be 0 if b1 =0, otherwise set n1 be the maximum integer such

that 1 = = . . = 1 = 1 sample o ando t , ..

4: set 0 be 0 if = 1, otherwise set 0 be the maximum integer such

tat b = = . = = 0 5: set n ← (n1 − 1) · 1 6: return n1 if n0 ≥ n, otherwise goto Step 1

由于原文伪代码图片存在排版和字符缺失，现根据文意进行修正和解释。

输入： 整数 $N_1 \ge 7$ (决定采样范围的上界)， $N_0 = N_1 \cdot (N_1 - 1)$ 。 输出： 一个近似服从 $D_{\mathbb{Z}^+, \sigma_2}$ 分布的非负整数。

Step 1 & 2 (生成 $n_1$ )：
- 采样 $N_1+1$ 个随机比特 $b_1, b_2, \dots, b_{N_1+1}$ 。
- 扫描这个比特序列：
  - 如果第一个比特 $b_1 = 0$ ，则设 $n_1=0$ 。
  - 否则，计算前导 1 的数量，即 $n_1$ 是满足 $b_1 = b_2 = \dots = b_{n_1} = 1$ 的最大整数。例如，序列 1110... 对应 $n_1=3$ 。
- 这一步使得对于 $0 \le k \le N_1$ ，生成 $n_1=k$ 的概率为 $2^{-(k+1)}$ 。
Step 3 & 4 (生成 $n_0$ )：
- 采样 $N_0$ 个独立的随机比特 $b'_1, b'_2, \dots, b'_{N_0}$ 。
- 扫描这个比特序列：
  - 如果第一个比特 $b'_1 = 1$ ，则设 $n_0=0$ 。
  - 否则，计算前导 0 的数量，即 $n_0$ 是满足 $b'_1 = b'_2 = \dots = b'_{n_0} = 0$ 的最大整数。
- 这一步使得生成 $n_0=k$ 的概率为 $2^{-(k+1)}$ 。
Step 5 (计算接受阈值)：
- 计算阈值 $n = (n_1 - 1) \cdot n_1$ 。
Step 6 (接受或拒绝)：
- 比较 $n_0$ 和 $n$ 。
- 如果 $n_0 \ge n$ ，则接受采样，返回 $n_1$ 作为最终结果。
- 否则，拒绝本次采样，返回 Step 1 重新开始整个过程。
  
  常数时间实现： 为了保证常数时间，Step 2 和 Step 4 中的扫描操作必须总是检查完所有 $N_1+1$ 和 $N_0$ 个比特，即使结果已经确定。比较操作 Step 6 可以通过常数时间的整数减法实现。

数学公式与关键细节 (Mathematical Formulas & Key Details): 如 Theorem 1 证明所述，算法输出一个整数 $x$ 的概率推导如下：
1. 生成 $n_1=x$ 的概率： 在单次循环中，步骤 2 生成 $n_1 = x$ 的概率是 $P(n_1=x) = 2^{-(x+1)} = \frac{1}{2} \cdot 2^{-x}$ 。
2. 接受 $n_1=x$ 的概率： 给定 $n_1=x$ ，接受条件是 $n_0 \ge n = (x-1)x$ 。 $n_0$ 是前导 0 的数量，事件 $n_0 \ge (x-1)x$ 发生的概率是 $P(\text{accept}|n_1=x) = 2^{-(x-1)x} = 2^{-x^2+x}$ 。
3. 单次循环成功输出 $x$ 的概率： 将两者相乘，得到在一次循环中成功生成并输出 $x$ 的概率 q(x)： $q(x) = P(n_1=x) \cdot P(\text{accept}|n_1=x) = \left(\frac{1}{2} \cdot 2^{-x}\right) \cdot \left(2^{-x^2+x}\right) = \frac{1}{2} \cdot 2^{-x^2}$
4. 最终输出概率： 整个算法是一个循环的拒绝采样过程。单次循环成功的总概率为 $S = \sum_{i=0}^{N_1} q(i) = \frac{1}{2} \sum_{i=0}^{N_1} 2^{-i^2}$ 。因此，最终算法输出 $x$ (其中 $x \in \{0, 1, \dots, N_1\}$ ) 的概率是条件概率： $P(\text{output} = x) = \frac{q(x)}{\sum_{i=0}^{N_1} q(i)} = \frac{\frac{1}{2} \cdot 2^{-x^2}}{\frac{1}{2} \sum_{i=0}^{N_1} 2^{-i^2}} = \frac{2^{-x^2}}{\sum_{i=0}^{N_1} 2^{-i^2}} = \frac{\rho_{\sigma_2}(x)}{\rho_{\sigma_2}([N_1])}$ 这表明，该算法精确地从一个在集合 $[N_1] = \{0, 1, \dots, N_1\}$ 上的截断二元高斯分布 (tailcut binary Gaussian distribution) 中采样。

5. 实验设置 (Experimental Setup)

该论文的实验部分并非传统的数值模拟，而是理论上的复杂度分析和安全性评估。

数据集 (Datasets): 本研究不涉及任何真实世界的数据集。实验的 "输入" 是理想的、均匀分布的随机比特流。
评估指标 (Evaluation Metrics):
- 计算复杂度 (Computational Complexity):
  1. 概念定义 (Conceptual Definition): 用于衡量算法执行效率。在这里，它被具体化为生成一个有效样本所需的平均随机比特生成数 (G) 和随机比特扫描数 (S)。 $G$ 反映了对随机源的请求量，也即熵消耗 (Entropy Consumption)； $S$ 反映了算法内部的主要运算量，尤其是在硬件实现中，扫描比特是核心操作。
  2. 数学公式 (Mathematical Formula): $G = S = \frac{2 \left( N_1 + N_0 + 1 \right)}{\sum_{n_1=0}^{N_1} 2^{-n_1^2}}$
  3. 符号解释 (Symbol Explanation):
    - $N_1$ : 算法的输入参数，定义了采样的最大范围 $[0, N_1]$ 。
    - $N_0$ : 算法的输入参数，定义为 $N_0 = N_1 \cdot (N_1 - 1)$ 。
    - $N_1 + N_0 + 1$ : 单次循环尝试所需扫描的总比特数。
    - $\sum_{n_1=0}^{N_1} 2^{-n_1^2}$ : 与单次循环成功的概率成正比。其倒数部分 $2 / \sum_{n_1=0}^{N_1} 2^{-n_1^2}$ 表示获得一个成功样本所需的平均循环次数。
- 雷尼散度 (Rényi Divergence):
  1. 概念定义 (Conceptual Definition): 该指标用于量化算法实际输出的分布 $\mathcal{D}'$ (截断分布) 与理想的、未截断的二元高斯分布 $\mathcal{D}$ 之间的差异。在密码学安全证明中，如果这个差异足够小，就可以证明用近似分布替代理想分布不会对系统的整体安全性造成实质性影响。
  2. 数学公式 (Mathematical Formula): $R_a(\mathcal{P} || \mathcal{Q}) = \left( \sum_{x \in \mathrm{Supp}(\mathcal{P})} \frac{\mathcal{P}(x)^a}{\mathcal{Q}(x)^{a-1}} \right)^{\frac{1}{a-1}}$
  3. 符号解释 (Symbol Explanation):
    - $\mathcal{P}$ : 近似分布，即本文算法生成的截断分布 $D_{[N_1], \sigma_2}$ 。
    - $\mathcal{Q}$ : 理想分布，即完整的二元高斯分布 $D_{\mathbb{Z}^+, \sigma_2}$ 。
    - $a$ : 散度的阶数，一个大于 1 的实数。在密码学分析中通常取一个较大的值，如论文中的 $a=512$ 。
    - $\mathrm{Supp}(\mathcal{P})$ : 分布 $\mathcal{P}$ 的支撑集，即所有概率不为零的取值集合。
对比基线 (Baselines):
- Full-tree Knuth-Yao: 一种为抵御计时攻击而设计的常数时间采样器。它通过完全扫描预计算的概率矩阵来实现，虽然安全但计算开销巨大，被用作硬件友好型算法的性能对比基准。
- Full-table access CDT: 另一种常数时间采样器，通过完全扫描 CDT 表实现。它被用作软件实现中熵消耗的对比基准。

6. 实验结果与分析 (Results & Analysis)

核心结果分析 (Core Results Analysis):

安全性分析 (Table 1): 以下是原文 Table 1 的转录结果，展示了不同 $N_1$ 参数下的雷尼散度及相应的安全级别。

$N_1$	$R_a(D_{[N_1], \sigma_2} \|\| D_{\mathbb{Z}^+, \sigma_2})$ with $a=512$	256-bit security, $q$ queries	256-bit security, $q_s$ signatures
$N_1=7$	$< 1+2^{-64}$	$q=2^{60}$	$q_s=2^{49}$
$N_1=8$	$< 1+2^{-81}$	$q=2^{77}$	$q_s=2^{66}$
$N_1=9$	$< 1+2^{-100}$	$q=2^{96}$	$q_s=2^{85}$

分析：

表格显示，即使只取较小的 $N_1=7$ （采样范围为 0 到 7），雷尼散度已经非常接近于1（差异小于 $2^{-64}$ ）。这意味着算法输出的分布与理想分布极其接近。
这种微小的差异足以保证256比特安全级别。例如，当 $N_1=7$ 时，即使攻击者能够进行高达 $2^{60}$ 次的采样查询（或执行 $2^{49}$ 次签名操作），系统的安全性仍然能够维持。
随着 $N_1$ 增大，分布的相似度更高（散度更小），允许的安全查询次数呈指数级增长，安全性更强。这证明了该算法在密码学应用中的可靠性。

复杂度分析 (Table 2): 以下是原文 Table 2 的转录结果，比较了 Algorithm 2 和 Full-tree Knuth-Yao (K.Y.) 方法的复杂度。

	$N_1=7$	$N_1=8$	$N_1=9$
Algorithm 2	G = S = 63.9	G = S = 83.1	G = S = 104.8
K.Y. ( $p=64$ )	G = 64, S = 256
K.Y. ( $p=96$ )		G = 96, S = 432
K.Y. ( $p=128$ )			G = 128, S = 640