为 SEAL 选择合适的参数并阐明一些数学运算
Choosing the suitable parameters for SEAL and clarifying some mathematical operations
A) 我无法理解这些设置之间的关系:
parms.set_poly_modulus("1x^2048 + 1");
parms.set_coeff_modulus(coeff_modulus_128(2048));
parms.set_plain_modulus(1 << 8);
和 SEAL manual 中的这个 table。
我特别感兴趣的是数字 54 以及它是如何根据 parms.set_poly_modulus("1x^2048 + 1") 和 parms.set_coeff_modulus(coeff_modulus_128(2048)) 计算的。
B) 我正在尝试为我的用例找到正确的参数。
假设我有 10000 个介于 -180 和 +180 之间的小数,我想使用 FractionalEncoder 对这些数字中的每一个进行编码。预制运算将是:减法、加法、乘法、平方和取幂。结果将保存在单独的 Ciphertext 变量中。
所以关于我的用例,最佳参数是什么:
n, q, t 在
parms.set_poly_modulus("1x^n + 1");
parms.set_coeff_modulus(coeff_modulus_128(q));
parms.set_plain_modulus(t);
a 和 seal::FractionalEncoder encoder(context.plain_modulus(), context.poly_modulus(), a, b, 2) 中的 b。我正在使用 a = 512 和 b = 128,这对我的用例来说太高了。
如果我的用例发生变化,我如何自己计算这些参数?
A) 在您的示例中,您使用的是维度为 2048 的多项式模数和系数模数的 128 位安全级别默认值。要准确了解该值是多少,请查看 SEAL/seal/util/globals.cpp。系数模数是 SmallModulus 个对象的向量,这些对象是正整数,表示 总 系数模数的最多 60 位因子。例如,对于您的参数,系数模数仅包含一个素数因子 0x3fffffff000001,但您会发现对于较大的参数,它可以包含更多因子。
安全级别取决于多项式模数的次数(越大安全性越高)和总系数模数的位长(越小安全性越高)。因此,对于固定的多项式模数,应该有提供固定安全级别的最大可接受系数模数。由于要知道系数模数的上限是多少并不容易,因此 SEAL 通过 coeff_modulus_128(以及 coeff_modulus_192 和 coeff_modulus_256 提供更高安全级别的默认值).在某些情况下,您可能希望使用比默认值更小的系数模数,但您永远不应该使用更大的系数模数,除非您真的知道自己在做什么(甚至可能不知道)。使用 Martin Albrecht 的 LWE 估计器获得 54 位的位长:https://bitbucket.org/malb/lwe-estimator.
B) 在这种情况下确定参数的典型工作流程是首先找出足够大的 plain_modulus 以便计算正确.如果您 运行 超出噪音预算,只需调整您的 coeff_modulus 直到它起作用。
找到足够大的 plain_modulus 后,尝试通过将其设置为最小值来优化 coeff_modulus,从而使您的噪声预算不为零。为简单起见,您可以尝试通过 coeff_modulus_128 获得的不同默认值。如果您真的非常关心性能,您可能需要手动选择 coeff_modulus 素数以真正找到有效的最小值。
接下来,选择您的 poly_modulus 足够大,以便您的总系数模数最多等于该 poly_modulus 度的默认值。
最后,您可能想要手动调整重新线性化中使用的 decomposition_bit_count。默认情况下,您应该使用值 60,这会导致更好的计算性能但更多的噪声增长。在某些情况下,您可能希望将其删除到例如30,如果您碰巧处于节省一些额外噪声预算的情况下,您可以切换到较小的加密参数。在大多数情况下,这种级别的微调是不必要的。
最终的最佳参数究竟是什么完全取决于您的计算,因此如果没有非常具体的细节,就不可能在这里给出直接的答案。
FractionalEncoder 的参数化是另一回事。我建议尝试不同的值,以了解这些选择如何影响准确性。 a=512, b=128 的选择有什么问题?
A) 我无法理解这些设置之间的关系:
parms.set_poly_modulus("1x^2048 + 1");
parms.set_coeff_modulus(coeff_modulus_128(2048));
parms.set_plain_modulus(1 << 8);
和 SEAL manual 中的这个 table。
我特别感兴趣的是数字 54 以及它是如何根据 parms.set_poly_modulus("1x^2048 + 1") 和 parms.set_coeff_modulus(coeff_modulus_128(2048)) 计算的。
B) 我正在尝试为我的用例找到正确的参数。
假设我有 10000 个介于 -180 和 +180 之间的小数,我想使用 FractionalEncoder 对这些数字中的每一个进行编码。预制运算将是:减法、加法、乘法、平方和取幂。结果将保存在单独的 Ciphertext 变量中。
所以关于我的用例,最佳参数是什么:
n, q, t在parms.set_poly_modulus("1x^n + 1"); parms.set_coeff_modulus(coeff_modulus_128(q)); parms.set_plain_modulus(t);a和seal::FractionalEncoder encoder(context.plain_modulus(), context.poly_modulus(), a, b, 2)中的b。我正在使用 a = 512 和 b = 128,这对我的用例来说太高了。
如果我的用例发生变化,我如何自己计算这些参数?
A) 在您的示例中,您使用的是维度为 2048 的多项式模数和系数模数的 128 位安全级别默认值。要准确了解该值是多少,请查看 SEAL/seal/util/globals.cpp。系数模数是 SmallModulus 个对象的向量,这些对象是正整数,表示 总 系数模数的最多 60 位因子。例如,对于您的参数,系数模数仅包含一个素数因子 0x3fffffff000001,但您会发现对于较大的参数,它可以包含更多因子。
安全级别取决于多项式模数的次数(越大安全性越高)和总系数模数的位长(越小安全性越高)。因此,对于固定的多项式模数,应该有提供固定安全级别的最大可接受系数模数。由于要知道系数模数的上限是多少并不容易,因此 SEAL 通过 coeff_modulus_128(以及 coeff_modulus_192 和 coeff_modulus_256 提供更高安全级别的默认值).在某些情况下,您可能希望使用比默认值更小的系数模数,但您永远不应该使用更大的系数模数,除非您真的知道自己在做什么(甚至可能不知道)。使用 Martin Albrecht 的 LWE 估计器获得 54 位的位长:https://bitbucket.org/malb/lwe-estimator.
B) 在这种情况下确定参数的典型工作流程是首先找出足够大的 plain_modulus 以便计算正确.如果您 运行 超出噪音预算,只需调整您的 coeff_modulus 直到它起作用。
找到足够大的 plain_modulus 后,尝试通过将其设置为最小值来优化 coeff_modulus,从而使您的噪声预算不为零。为简单起见,您可以尝试通过 coeff_modulus_128 获得的不同默认值。如果您真的非常关心性能,您可能需要手动选择 coeff_modulus 素数以真正找到有效的最小值。
接下来,选择您的 poly_modulus 足够大,以便您的总系数模数最多等于该 poly_modulus 度的默认值。
最后,您可能想要手动调整重新线性化中使用的 decomposition_bit_count。默认情况下,您应该使用值 60,这会导致更好的计算性能但更多的噪声增长。在某些情况下,您可能希望将其删除到例如30,如果您碰巧处于节省一些额外噪声预算的情况下,您可以切换到较小的加密参数。在大多数情况下,这种级别的微调是不必要的。
最终的最佳参数究竟是什么完全取决于您的计算,因此如果没有非常具体的细节,就不可能在这里给出直接的答案。
FractionalEncoder 的参数化是另一回事。我建议尝试不同的值,以了解这些选择如何影响准确性。 a=512, b=128 的选择有什么问题?