De ce sunt atât de mari parametrii (cum ar fi modulul și dimensiunea) de criptare homomorfă?

În comparație cu schemele comune PQC bazate pe zăbrele, modulul $q$ și dimensiune $n$ de criptare homomorfă sunt atât de mari. De exemplu, în Kyber, $n=256, n \times k = \{512.768.1024\}$, $q = 12289$ sau $3329$, în timp ce sunt în FV sau alte scheme HE, $n$ ar putea fi $2^{14}$, și $q$ ar putea ajunge $2^{744}$. Ambele se bazează pe problema rețelei. De ce sunt parametrii atât de diferiți?

Toate schemele bazate pe (R)LWE au texte cifrate zgomotoase. În general, dacă zgomotul este mai mic decât o fracțiune de q (să zicem, mai puțin de q/2), atunci decriptarea funcționează.

Dacă doriți doar să criptați un mesaj și să-l decriptați în viitor, atunci puteți cripta folosind un zgomot foarte mare, aproape de q deja. Dar când zgomotul este mare, problema LWE este mai grea, așa că, pentru același nivel de securitate, poți alege parametri mai mici.

Dar pentru schemele homomorfe, doriți să operați și cu textele cifrate și aceste operații cresc zgomotul, așa că trebuie să începeți cu zgomot mic (de exemplu, dacă textele cifrate proaspete au zgomot apropiat de q/4, atunci o singură adăugare aduce zgomotul la q/2 și nu este posibilă nicio altă operație homomorfă). De obicei, schemele aleg ca zgomotul inițial să fie limitat de o constantă mică și măresc q pentru a avea mai mult spațiu pentru creșterea zgomotului generat de operațiile homomorfe. Dar apoi, problema LWE devine mai ușoară, așa că, pentru a ajunge la nivelul de securitate dorit, trebuie să mărească dimensiunea, $n$.

Veți observa că schemele a căror creștere a zgomotului este mai mică pot alege un parametru mult mai mic (de exemplu, TFHE utilizează $n = 2^{10}$ și $q = 2^{32}$).