ข้อ จำกัด ใน q สำหรับ q-ary lattices?

ดังที่ Hilder กล่าวถึง โดยใช้เทคนิค "การสลับโมดูลัส" ทางเลือกเฉพาะของ $คิว$ ไม่สำคัญมากนักสำหรับความปลอดภัยของ LWE ดังนั้นรูปแบบเฉพาะของ $คิว$ เป็นส่วนใหญ่เพื่อให้สามารถปรับปรุงประสิทธิภาพได้ ฉันเป็นคนผิดที่เขียนรายการทั้งหมดอย่างละเอียดถี่ถ้วน แต่สามารถชี้ไปที่บางข้อได้ง่ายๆ โดยอ่านข้อเสนอของ NIST PQC KEM

ตัวอย่างเช่น:

1. การเลือก $q = 2^k$ สำหรับบางคน $k$ อนุญาตให้แทนที่การลดโมดูลาร์โดย $คิว$ ด้วยการเลื่อนบิต การดำเนินการที่ถูกกว่า นี่เป็นส่วนหนึ่งของเหตุผลที่เซเบอร์เลือก $q = 2^{13}$.

2. การเลือก $คิว$ เป็น "NTT ที่เป็นมิตร" NTT เป็นอะนาล็อกของ FFT "mod $คิว$" (กว่าจะจบ $\mathbb{C}$) ที่สามารถเปิดใช้งานการเร่งความเร็วจำนวนมากในการคูณพหุนาม (โดยประมาณจาก $O(n^2)$ ความซับซ้อนที่ไร้เดียงสา $O(n\log n)$). ขนาดของการเร่งความเร็วนั้นเชื่อมโยงโดยตรงกับการมีอะนาล็อกที่เหมาะสม $i\in\mathbb{C}$. กรณีที่ดีที่สุด (พูดเมื่อทำงานเสร็จ $\mathbb{Z}_q[x]/(x^n+1)$ สำหรับ $n = 2^k$) เกิดขึ้นเมื่อคุณมี "ดั้งเดิม $2n$รากแห่งความสามัคคี" ซึ่งเกิดขึ้นเมื่อ $q\equiv 1\bmod 2n$ (ฉันคิดว่า). โปรดทราบว่าวิธีนี้ใช้ไม่ได้กับการเพิ่มประสิทธิภาพก่อนหน้านี้ KEM Kyber เลือกตัวเลือกนี้ (เกือบจะมีความแตกต่างทางเทคนิคเล็กน้อย)

3. การเลือก $คิว$ เป็นผลคูณของโคไพรม์ขนาดเล็ก (ขนาดคำ) ดังนั้นใคร ๆ ก็สามารถอุทธรณ์ทฤษฎีบทเศษเหลือของจีนได้ และรักษาขนาดคำตามเลขคณิตไว้ทั้งหมด ฉันไม่รู้จัก KEM ที่ทำสิ่งนี้ แต่สิ่งนี้เป็นที่นิยมในวรรณกรรม FHE (และมักจะใช้ชื่อ "Residue Number System" หรือ RNS arithmetic)

จึงมีข้อโต้แย้งในการเลือก $q \equiv 0 \bmod 2^k$, $q\equiv 1\bmod 2\times 2^k$, และ $คิว$ ผลิตภัณฑ์จากโคไพรม์ขนาดเล็ก ทั้งหมดนี้อาจดูเหมือนเป็นการปรับให้เหมาะสมเฉพาะร่วมกัน แต่อาจค่อนข้างฉลาดและใช้การปรับให้เหมาะสมหลายรายการพร้อมกัน ตัวอย่างเช่นมี งานนี้ ในการฝังตัวดัดแปลงเลขคณิต $2^k$ (เช่น "การลดโมดูลาร์ที่เป็นมิตร") ลงในวงแหวนที่เป็นมิตรต่อ NTT ให้ใช้ทั้งการปรับให้เหมาะสม 1 และ 2