1

A)我无法理解这些设置之间的关系:

parms.set_poly_modulus("1x^2048 + 1");
parms.set_coeff_modulus(coeff_modulus_128(2048));
parms.set_plain_modulus(1 << 8);

这张表来自海豹突击队手册

在此处输入图像描述

我特别感兴趣的是数字 54 以及它是如何相对于parms.set_poly_modulus("1x^2048 + 1")和计算的parms.set_coeff_modulus(coeff_modulus_128(2048))

B)我正在尝试为我的用例找到正确的参数。假设我有 10000 个介于 -180 和 +180 之间的小数,我想使用FractionalEncoder. 执行的操作将是:减法、加法、乘法、平方和指数。结果将保存在一个单独的Ciphertext变量中。

因此,就我的用例而言,最佳参数是什么:

  1. n, q, t

    parms.set_poly_modulus("1x^n + 1");
parms.set_coeff_modulus(coeff_modulus_128(q));
parms.set_plain_modulus(t);

  2. a并且bseal::FractionalEncoder encoder(context.plain_modulus(), context.poly_modulus(), a, b, 2). 我正在使用a = 512b = 128,这对于我的用例来说太高了。

如果我的用例发生变化,我如何自己计算这些参数?

4

1 回答 1

1

A)在您的示例中,您使用维度为 2048 的多项式模数和系数模数的 128 位安全级别默认值。要确切了解该值是什么,请查看SEAL/seal/util/globals.cpp. 系数模是对象的向量,它们是代表系数模SmallModulus的最多 60 位因子的正整数。例如,对于您的参数,系数模数仅由一个素数 factor 组成,但您会看到,对于较大的参数,它可以有更多的因数。0x3fffffff000001

安全级别取决于多项式模的次数(越大安全性越高)和系数模的位长(越小安全性越高)。因此,对于固定的多项式模数,应该有一个最大的可接受系数模数,以提供固定的安全级别。由于要知道系数模数的上限是多少并不容易,SEAL 方便地将其作为默认值提供coeff_modulus_128coeff_modulus_192并且coeff_modulus_256为了更高的安全级别)。在某些情况下,您可能希望使用比默认值更小的系数模数,但除非您真的知道自己在做什么(甚至可能不知道),否则您永远不应该使用更大的系数模数。使用 Martin Albrecht 的 LWE 估计器获得 54 位的位长:https://bitbucket.org/malb/lwe-estimator

B)在这种情况下确定参数的典型工作流程是首先找出足够大的参数,plain_modulus以便您获得计算的正确性。如果你的噪音预算用完了,只需调整你的coeff_modulus直到它工作。

一旦找到足够大的plain_modulus,请尝试coeff_modulus通过将其设置为最小值来进行优化,从而使您获得非零噪声预算。为简单起见,您可以尝试通过coeff_modulus_128. 如果您真的非常关心性能,您可能需要手动选择您的coeff_modulus素数以真正找到有效的最小值。

接下来,选择poly_modulus足够大,以使总系数模数最多等于该poly_modulus度数的默认值。

最后,您可能需要手动调整重新线性化中decomposition_bit_count使用的参数。默认情况下,您应该使用值 60,这会导致更好的计算性能但更多的噪声增长。在某些情况下,您可能希望将其降低到例如 30,如果您碰巧处于节省的一些额外噪声预算允许您切换到更小的加密参数的情况。在大多数情况下,这种级别的微调应该是不必要的。

最终得到的最佳参数将完全取决于您的计算,因此如果没有非常具体的细节,就不可能在这里给出直接的答案。

的参数化FractionalEncoder是另一回事。我建议尝试不同的值,以了解这些选择如何影响准确性。a=512, b=128 的选择有什么问题?

于 2018-09-03T19:09:56.487 回答