Вкратце
Считайте, что вы работаете на ринге $R_Q = \mathbb{Z}_Q[X] / \langle X^N + 1 \rangle$. Как правило, вы должны учитывать, что шум после переключения модуля больше, чем $N$. В частности, у него никогда не будет всего 5 бит, как в вашем примере, потому что $N$ обычно больше, чем $2^{13}$ по схеме ФВ.
Подробнее.
Допустим, у вас есть зашифрованный текст RLWE. $c = (a, b) \in R_Q^2$, с $b = a\cdot s + e + (q / t) \cdot m$, как в схеме FV.
Аналогично тому, что объясняется в этом ответе, но используя полиномы вместо векторов, после того, как мы выполним переключение по модулю из $Q$ некоторым $q$, мы получаем новый зашифрованный текст с шумовым членом, заданным
$$e' := e \cdot q / Q + \epsilon' + \epsilon \cdot s$$
где оба $\эпсилон'$ и $\эпсилон$ являются многочленами с коэффициентами в интервале $[-1/2,\, 1/2]$.
Обычно верно, что новая ошибка $e'$ близка к масштабированной ошибке $e \cdotQ/q$ потому что другие термины малы по сравнению с этим. Однако, когда масштабированная ошибка становится слишком малой, это уже не так, поскольку $\эпсилон\cdot с$ начинает преобладать норма $e'$, а это и есть "предел переключения модуля". Более подробно норма $\эпсилон\cdot с$ может быть таким большим, как $N \cdot || \эпсилон || \кдот || с ||$. Таким образом, даже используя двоичные или троичные ключи (таким образом, $|| с || = 1$), у нас есть
$N \cdot || \эпсилон || \кдот || с || = N \cdot || \эпсилон || \приблизительно Н/2$.
