介绍
在CKKS的前一篇文章 CKKS Part4: CKKS的乘法和重线性化 中,我们了解了密文乘法在CKKS中的工作原理,为什么需要重新线性化输出以及保持恒定的密文大小,以及如何做到这一点。
尽管如此,正如我们将看到的,我们需要一个名为“重缩放”的最终操作来管理噪音并避免溢出。这将是本系列的最后一篇理论性文章,在下一篇也是最后一篇文章中,我们将用Python实现所有内容!
为了了解它是如何工作的,我们首先要有一个整体图,然后再详细了解它是如何工作的。
模数链的高级视图
到目前为止,我们已经深入挖掘了CKKS的细节,但对于这一点,我们将后退一步。CKKS使用我们所说的level,级数,也就是说,在噪声太大而无法正确解密输出之前,所允许的有限乘法次数。
你可以想象这是一个油箱。最初,油箱充满了汽油,但当你执行越来越多的操作时,汽油将被排空,直到没有剩余的汽油,就不能再做任何事情。同样的道理也适用于同态加密方案:你先从一定量的汽油开始,但当你进行乘法时,汽油越来越少,直到用完为止,你不能再执行任何操作。
下图说明了这一点。当你开始的时候,你的初始油箱已经满了。但当你们执行乘法和重缩放时,你们会降低级数,这相当于消耗了你们的一些汽油。如果你从L层开始,表示为\(q_L,q_{L−1},…,q_1\),处于级别\(q_l\)意味着还剩下\(l\)个乘法,执行一个乘法会将级别从\(q_l\)降低到\(q_{l−1}\).
现在,一旦你的汽油用完了,就像在现实生活中一样,你可以把油箱加满,这样你就可以在路上走得更远。此操作称为bootstrap,引导,本文将不介绍它。因此,如果我们假设我们不可能重新加注油箱,那么在使用有限级同态加密方案时,必须考虑一个有趣的方面:您需要提前知道将要进行的乘法数量!
事实上,就像在现实生活中一样,如果你打算走很远的路,你将需要比你只是在附近走走更多的汽油。同样的道理也适用于这里,根据需要执行的乘法次数,您必须调整油箱的大小。但是油箱越大,计算就越繁重,你的参数也就越不安全。事实上,就像在现实生活中一样,如果你需要一个更大的油箱,它会更重,这会使事情变得更慢,同时也会降低安全性。
我们不会详细讨论所有细节,但知道CKKS方案的难度取决于比率\(N/q\),N是多项式的阶数,也就是向量的的大小;q是多项式系数模数,即我们的油箱大小。
因此,我们需要的乘法越多,油箱就越大,我们的参数就越不安全。为了保持相同的安全强度,我们需要增加N,这将增加我们操作的计算成本。(不是增加q么?)
下面的图,从 Microsoft Private AI Bootcamp 中,展示了在使用CKKS时必须考虑的折衷,显示了多项式次数和模数的安全性之间的关系。为了保证128位的安全性,我们必须增加多项式次数,即使我们不需要它提供的“额外插槽”【是明文槽么?】,因为增加模数可能会使我们的参数不安全。
因此,在我们进入更理论的部分之前,让我们看看关键的收获是什么:
1、重缩放和噪音管理可以被视为管理一个油箱,你从一个初始预算(油量)开始,使用(做乘法)后预算(油量)将会减少,如果汽油用完了,你就什么都做不了。
2、你需要提前知道你将进行多少次乘法,这将决定油箱的大小,这将影响你将使用的多项式次数的大小。
背景
现在,我们看到了整体图,让我们深入了解为什么以及如何运作。
如果你正确地记得 CKKS Part2: CKKS的编码和解码 第二部分关于编码的内容,如果我们有一个初始向量z,它在编码过程中乘以一个缩放因子Δ,以保持一定的精度。
因此,包含在明文μ和密文c的基本值是\(Δ.Z\),所以当我们把两个密文c和c'相乘时,最后的结果是\(z.z'.\Delta ^{2}\),所以它包含了缩放因子的平方,当缩放因子指数增长时,经过几次乘法后可能会导致溢出。此外,正如我们之前看到的,每次乘法后噪声都会增加。
因此,重缩放操作的目标实际上是保持缩放因子恒定,同时减少密文中存在的噪声。
普通做法
那么我们如何解决这个问题呢?要做到这一点,我们需要了解如何定义q。记住,这个参数q被用作多项式环\(R_{q}=Z_{q}\left[ X \right]/\left( X^{N}+1 \right)\)中系数的模数。
正如高级视图中所述,q比作一个汽油箱的大小,我们将逐步进行计算,清空该汽油箱。
如果我们假设我们用一个缩放因子Δ,进行L次乘法,那么我们将q定义为:\(q=\Delta ^{L}.q_{0}\),其中\(q_{0}\geq \Delta\),这将决定小数部分之前需要多少整数位。实际上,如果我们假设小数部分需要30位精度,整数部分需要10位精度,我们将设置:
一旦我们为整数和小数部分设置了我们想要的精度,选择了我们想要执行的乘法的数量L,就能相应地求得q,接下来很容易定义重缩放操作,我们只需对密文进行分割和取整。
事实上,假设我们在一个给定的级数\(l\),那么模是\(q_l\)。我们有密文\(c\in R_{q_{_{l}}}^{2}\),然后我们可以定义从\(l\)级到\(l-1\):