c++ - 为 SEAL 选择合适的参数并阐明一些数学运算

Question

A) 我无法理解这些设置之间的关系:

parms.set_poly_modulus("1x^2048 + 1");
parms.set_coeff_modulus(coeff_modulus_128(2048));
parms.set_plain_modulus(1 << 8);

这张表来自 SEAL manual .

我特别感兴趣的是数字 54 以及它是如何根据 parms.set_poly_modulus("1x^2048 + 1") 和 parms.set_coeff_modulus(coeff_modulus_128( 2048))。

B) 我正在尝试为我的用例找到正确的参数。假设我有 10000 个介于 -180 和 +180 之间的小数，我想使用 FractionalEncoder 对这些数字中的每一个进行编码。预制运算将是:减法、加法、乘法、平方和取幂。结果将保存在单独的 Ciphertext 变量中。

所以关于我的用例，什么是最佳参数:

1. n, q, t 在

   parms.set_poly_modulus("1x^n + 1");
   parms.set_coeff_modulus(coeff_modulus_128(q));
   parms.set_plain_modulus(t);
   

2. a 和 b in seal::FractionalEncoder encoder(context.plain_modulus(), context.poly_modulus(), a, b, 2 )。我使用的是 a = 512 和 b = 128，这对我的用例来说太高了。

如果我的用例发生变化，我该如何自己计算这些参数？

Answer 1

A) 在您的示例中，您使用维度为 2048 的多项式模数和系数模数的 128 位安全级别默认值。要准确了解该值是什么，请查看 SEAL/seal/util/globals.cpp。系数模数是 SmallModulus 对象的 vector ，这些对象是正整数，表示 total 系数模数的最多 60 位因子。例如，对于您的参数，系数模数仅包含一个素数因子 0x3fffffff000001，但您会发现对于较大的参数，它可以包含更多因子。

安全级别取决于多项式模数的次数(越大安全性越高)和总系数模数的位长(越小安全性越高)。因此，对于固定的多项式模数，应该有提供固定安全级别的最大可接受系数模数。由于知道系数模数的上限是多少并不容易，因此 SEAL 通过 coeff_modulus_128(以及 coeff_modulus_192 和 方便地将其作为默认值提供coeff_modulus_256 以获得更高的安全级别)。在某些情况下，您可能希望使用比默认值更小的系数模数，但您永远不应该使用更大的系数模数，除非您真的知道自己在做什么(甚至可能不知道)。 54 位的位长是使用 Martin Albrecht 的 LWE 估计器获得的: https://bitbucket.org/malb/lwe-estimator .

B) 在这种情况下确定参数的典型工作流程是首先计算出足够大的 plain_modulus 以便计算正确。如果您的噪声预算用完了，只需调整您的 coeff_modulus 直到它起作用。

找到足够大的 plain_modulus 后，尝试通过将其设置为最小值来优化 coeff_modulus，从而使您的噪声预算不为零。为简单起见，您可以尝试通过 coeff_modulus_128 获得的不同默认值。如果您真的非常关心性能，您可能需要手动选择您的 coeff_modulus 质数以真正找到有效的最小值。

接下来，选择足够大的 poly_modulus，使总系数模数最多等于该 poly_modulus 度数的默认值。

最后，您可能想要手动调整重新线性化中使用的 decomposition_bit_count。默认情况下，您应该使用值 60，这会导致更好的计算性能但更多的噪声增长。在某些情况下，您可能希望将其删除到例如30，如果您碰巧处于节省一些额外噪声预算的情况下，您可以切换到较小的加密参数。在大多数情况下，这种级别的微调是不必要的。

最终的最佳参数究竟是什么完全取决于您的计算，因此如果没有非常具体的细节，就不可能在这里给出直接的答案。

FractionalEncoder 的参数化是另一回事。我建议尝试不同的值，以了解这些选择如何影响准确性。 a=512, b=128 的选择有什么问题？