На самом деле между этими двумя параметрами нет «отношения» из-за того, что известно как переключение модуля.
Грубо говоря, для экземпляра LWE $\bmod q$, можно изменить его на экземпляр LWE $\bмод р$ при относительно небольших затратах для широкого круга $р$.
Есть много результатов в этом направлении, но я опишу один из Сокращение от наихудшего к среднему случаю для модульных решеток.
Позволять $\psi$ быть некоторым распределением вероятностей на $\mathbb{T}_{R^\vee}$, и $s\in(R^\vee_q)^d$ быть вектором. Мы определяем $A^{(M)}_{q,s,\psi}$ как
распространение на $(R_q)^d à \mathbb{T}_{R^\vee}$ полученный выбором вектора a $s\in(R_q)^d$ равномерно случайным образом и $e \in \mathbb{T}_{R^\vee}$
согласно с $\psi$, и возвращение $(а, \frac{1}{q}\langle a, s\rangle + e)$.
MLWE: для целого числа $q \geq 2$ и дистрибутив $\пси$ над семейством распределений над $K_\mathbb{R}$. Версия решения о
проблема обучения модуля с ошибкой $M-LWE_{q, \Psi}$ выглядит следующим образом: пусть $s \in (R^\vee_q)^d$ быть равномерно случайным и
$\psi$ быть отобранным из $\пси$ ; Цель состоит в том, чтобы различить произвольное количество независимых выборок из $A^{(M)}_{q, s, \psi}$, и столько же независимых выборок из $U(R^d_q, \mathbb{T}_{R^\vee})$.
Это более общее значение, чем RLWE, и сокращается до RLWE, когда $д = 1$.
Семейство дистрибутивов $\Psi_a$ являются некоторым эллиптическим распределением Гаусса, см. раздел 2.3.
В любом случае, результат переключения модуля — это теорема 4.8.
Здесь, $N = без $ — «общая размерность» экземпляра MLWE.
Параметр $n = 1$ восстанавливает интересующий вас случай RLWE.
Позволять $p, q \in [2, 2^{N^{O(1)}}
]$ и $\альфа, \бета (0, 1)$ такой, что $\beta \geq \alpha \max(1, \frac{q}{p})n^{1/4}N^{1/2}\omega(\log_2 N)$
и $\alpha q \geq \omega(\sqrt{\log(N)/n})$. Существует полиномиальное сокращение времени от $M-LWE_{q,\Psi_\alpha}$ к $M-LWE_{p,\Psi_\beta}$.
Это все говорит о том, что вы можете уменьшить произвольный модуль $q$ к другому произвольному модулю $р$, ценой завышения уровня шума от $\alpha\mapsto \frac{q}{p}\alpha\sqrt{N}\omega(\log_2 N)$. это не полностью бесплатно (есть доп. $\sqrt{N}$ фактор), но учитывая, что модули $q, р$ обычно малые полиномы в $N$, стоимость, которую вы платите, относительно невелика по сравнению с размерами параметров.
В результате на самом деле не существует связи между исключительно модулем зашифрованного текста (как его обычно называют, а не коэффициентом зашифрованного текста) и размерностью, как любая связь также необходимо учитывать размер распределения ошибок.
Что касается того, как на самом деле установить все эти вещи, люди обычно вводят свои параметры в LWE оценщик, что дает некоторую оценку битовой безопасности для каждого конкретного набора параметров.
