Pe scurt
Gândiți-vă că lucrați la inel $R_Q = \mathbb{Z}_Q[X] / \langle X^N + 1 \rangle$. Ca regulă generală, trebuie să luați în considerare că zgomotul după comutarea modulului este mai mare decât $N$. În special, nu va avea niciodată doar 5 biți, ca în exemplul tău, pentru că $N$ este de obicei mai mare decât $2^{13}$ în schema FV.
In detaliu.
Să presupunem că aveți un text cifrat RLWE $c = (a, b) \in R_Q^2$, cu $b = a\cdot s + e + (q / t) \cdot m$, ca în schema FV.
La fel cu ceea ce este explicat în acest răspuns, dar folosind polinoame în loc de vectori, după ce efectuăm o comutare de modul de la $Q$ unora $q$, obținem un nou text cifrat cu termenul de zgomot dat de
$$e' := e \cdot q / Q + \epsilon' + \epsilon \cdot s$$
unde ambele $\epsilon'$ și $\epsilon$ sunt polinoame cu coeficienți în interval $[-1/2,\, 1/2]$.
De obicei, este adevărat că noua eroare $e'$ este aproape de eroarea scalată $e \cdot Q / q$ pentru că ceilalți termeni sunt mici în comparație cu acesta. Cu toate acestea, atunci când eroarea scalată devine prea mică, asta nu mai este adevărat, așa cum $\epsilon \cdot s$ începe să domine norma de $e'$, iar aceasta este „limita comutării modulului”. Mai detaliat, norma de $\epsilon \cdot s$ poate fi la fel de mare ca $N \cdot || \epsilon || \cdot || s ||$. Deci, chiar și folosind chei binare sau ternare (astfel $|| s || = 1 $), avem
$N \cdot || \epsilon || \cdot || s || = N \cdot || \epsilon || \aproximativ N/2$.
