Рейтинг:1

Каковы пределы переключения модуля в шифровании BFV?

флаг es

Я хочу понять пределы переключения модуля в BFV.

Предположим $q$ представляет модуль зашифрованного текста и $t$ представляет модуль открытого текста. $q$ устанавливается на $60$ битовое значение и $t$ установлен на $20$ значение бит.

Теперь нам дан зашифрованный текст BFV $с$ на основе вышеуказанных параметров. Также предположим, что из-за голоморфных операций шум e в $с$ вокруг $35$ биты.

Теперь я могу переключить этот зашифрованный текст на модуль $q'$ который из $30$ биты.

Обратите внимание, что зашифрованный текст с переключением должен оставаться действительным, поскольку $q'>2t|e'|$, где |е'| бесконечная норма ошибки в зашифрованном тексте переключения ~ около $5$ биты.

Hilder Vitor Lima Pereira avatar
флаг us
Что такое $e'$ здесь? Шум шифртекста после переключения модуля? Как вычислить его норму?
muhammad haris avatar
флаг es
не будет ли бесконечная норма $e'$ около $5$ бит?
Hilder Vitor Lima Pereira avatar
флаг us
Это зависит от $N$, степени кругового кольца, но обычно эта норма больше 5 бит.
muhammad haris avatar
флаг es
можете ли вы направить меня к какому-нибудь ресурсу, который я мог бы прочитать, чтобы узнать, как он рассчитывается
Hilder Vitor Lima Pereira avatar
флаг us
Я добавил это как ответ. Надеюсь, это поможет вам.
Рейтинг:1
флаг us

Вкратце

Считайте, что вы работаете на ринге $R_Q = \mathbb{Z}_Q[X] / \langle X^N + 1 \rangle$. Как правило, вы должны учитывать, что шум после переключения модуля больше, чем $N$. В частности, у него никогда не будет всего 5 бит, как в вашем примере, потому что $N$ обычно больше, чем $2^{13}$ по схеме ФВ.

Подробнее.

Допустим, у вас есть зашифрованный текст RLWE. $c = (a, b) \in R_Q^2$, с $b = a\cdot s + e + (q / t) \cdot m$, как в схеме FV.

Аналогично тому, что объясняется в этом ответе, но используя полиномы вместо векторов, после того, как мы выполним переключение по модулю из $Q$ некоторым $q$, мы получаем новый зашифрованный текст с шумовым членом, заданным

$$e' := e \cdot q / Q + \epsilon' + \epsilon \cdot s$$

где оба $\эпсилон'$ и $\эпсилон$ являются многочленами с коэффициентами в интервале $[-1/2,\, 1/2]$.

Обычно верно, что новая ошибка $e'$ близка к масштабированной ошибке $e \cdotQ/q$ потому что другие термины малы по сравнению с этим. Однако, когда масштабированная ошибка становится слишком малой, это уже не так, поскольку $\эпсилон\cdot с$ начинает преобладать норма $e'$, а это и есть "предел переключения модуля". Более подробно норма $\эпсилон\cdot с$ может быть таким большим, как $N \cdot || \эпсилон || \кдот || с ||$. Таким образом, даже используя двоичные или троичные ключи (таким образом, $|| с || = 1$), у нас есть $N \cdot || \эпсилон || \кдот || с || = N \cdot || \эпсилон || \приблизительно Н/2$.

muhammad haris avatar
флаг es
Спасибо, да, теперь мне все ясно, я пропустил ошибки округления. Итак, с этой информацией, похоже, что мы можем иметь $q'$ около $35$ бит (просто на всякий случай) в моем примере выше?
Hilder Vitor Lima Pereira avatar
флаг us
@muhammadharis да, если $N$ не слишком большой, это должно быть хорошо.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.