Все схемы на основе (R)LWE имеют зашумленные шифротексты. В общем, если шум меньше доли q (скажем, меньше q/2), то расшифровка работает.
Если вы просто хотите зашифровать сообщение и расшифровать его в будущем, то вы можете зашифровать, используя очень большой шум, уже близкий к q. Но когда шум большой, проблема LWE усложняется, поэтому для того же уровня безопасности можно выбрать меньшие параметры.
Но для гомоморфных схем вы также хотите работать с шифротекстами, и эти операции увеличивают шум, поэтому вы должны начать с небольшого шума (например, если свежие шифротексты имеют шум, близкий к q/4, то одно единственное добавление приводит к шуму). к q/2 и никакая дальнейшая гомоморфная операция невозможна). Обычно схемы выбирают начальный шум, ограниченный некоторой малой константой, и увеличивают q, чтобы было больше места для роста шума, создаваемого гомоморфными операциями. Но тогда проблема LWE становится проще, поэтому для достижения желаемого уровня безопасности им приходится увеличивать размерность, $n$.
Вы заметите, что схемы, у которых рост шума меньше, могут выбрать гораздо меньший параметр (например, TFHE использует $n = 2^{10}$ и $q = 2^{32}$).