Почему параметры (такие как модуль и размерность) гомоморфного шифрования такие большие?

По сравнению с обычными схемами PQC на основе решетки модуль $q$ и размер $n$ гомоморфного шифрования настолько велики. Например, в Кибере. $n=256, n \times k = \{512 768 1024\}$, $q = 12289$ или же $3329$, а в ФВ или других схемах ВО, $n$ может быть $2^{14}$, и $q$ может достичь $2^{744}$. Оба они основаны на задаче о решетке. Почему параметры такие разные?

Все схемы на основе (R)LWE имеют зашумленные шифротексты. В общем, если шум меньше доли q (скажем, меньше q/2), то расшифровка работает.

Если вы просто хотите зашифровать сообщение и расшифровать его в будущем, то вы можете зашифровать, используя очень большой шум, уже близкий к q. Но когда шум большой, проблема LWE усложняется, поэтому для того же уровня безопасности можно выбрать меньшие параметры.

Но для гомоморфных схем вы также хотите работать с шифротекстами, и эти операции увеличивают шум, поэтому вы должны начать с небольшого шума (например, если свежие шифротексты имеют шум, близкий к q/4, то одно единственное добавление приводит к шуму). к q/2 и никакая дальнейшая гомоморфная операция невозможна). Обычно схемы выбирают начальный шум, ограниченный некоторой малой константой, и увеличивают q, чтобы было больше места для роста шума, создаваемого гомоморфными операциями. Но тогда проблема LWE становится проще, поэтому для достижения желаемого уровня безопасности им приходится увеличивать размерность, $n$.

Вы заметите, что схемы, у которых рост шума меньше, могут выбрать гораздо меньший параметр (например, TFHE использует $n = 2^{10}$ и $q = 2^{32}$).