同态加密和SEAL库的介绍(九)CKKS 参数心得 1

已于 2024-08-12 09:41:12 修改
阅读量1.1k 收藏 16
点赞数 12
分类专栏: 同态加密 文章标签: 同态加密 算法 安全 云计算 开源
于 2024-08-12 09:37:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WaitMrAnt/article/details/141091136
版权

写在前面:

        前面几篇有官方的说明和示例做支撑,相信能给大家比较多的参考价值。但是由于没能对同态加密有更深入的了解,所以在我具体使用的时候出现各种问题。本篇是针对这些问题做的一些测试,由结论产生的了些个人的推测,希望对大家有帮助。

一、引入和参数配置

        上篇性能测试中,官方提到了一句:“不推荐在CKKS中使用BFVDefault素数。然而,对于性能测试,BFVDefault素数已经足够好了”。在 CKKS 中也提到了 “以特定方式选择 coeff_modulus 可能非常重要。”
        足以可见参数设置的重要性,当然三个参数关系中:poly_modulus_degree 限制了 coeff_modulus 的上限,scale 要和 coeff_modulus 相适应。故接下来针对 coeff_modulus 进行具体测试和说明。

1.1 参数说明

        先说上限的问题,poly_modulus_degree 的配置会确定 coeff_modulus 配置的上限(即几个位置加起来的比特数总和)。当然,poly_modulus_degree 的选择会影响槽的数量和带来较大性能差异,所以在设计之初就得确定,影响也是最大的。基本根据算法的设置就能选定一个性能最优的,并不需要过多抉择。

        poly_modulus_degree 选定后,虽然能确定 coeff_modulus 的上限,但是具体怎么设置是个问题,咱们先看通过 Default 函数自动生成的效果:

        虽然不确定函数内部依据何种原则生成的,但是都是顶着上限在生成的(可能会浪费),而且每位都是基本相同(这个有问题)。故所以官方不建议用此,那咱们接下来具体实验。

1.2 参数配置

输入准备:(后面测试中,主要改变的也是 coeff_modulus 和 scale )

EncryptionParameters parms(scheme_type::ckks);
size_t poly_modulus_degree = 8192;
parms.set_poly_modulus_degree(poly_modulus_degree);
parms.set_coeff_modulus(CoeffModulus::Create(poly_modulus_degree, { 60,40,60 }));
double scale = pow(2.0, 40);
SEALContext context(parms);

KeyGenerator keygen(context);
auto secret_key = keygen.secret_key();
PublicKey public_key;
keygen.create_public_key(public_key);
Encryptor encryptor(context, public_key);
Evaluator evaluator(context);
Decryptor decryptor(context, secret_key);
CKKSEncoder encoder(context);
size_t slot_count = encoder.slot_count();

1.3 输入编码和加密

        测试会从编码一个数组,然后备用几个常数来依次做乘法(加法基本没影响,且不同深度的乘法影响较大),观察其密文容量、模数链位置和 scale 的变化。

vector<double> the_input;
the_input.reserve(slot_count);
for (size_t i = 0; i < slot_count; i++){
    the_input.push_back((double)i);
}
std::cout << "Print the Input vector: " << endl;
Plaintext the_input_plain;
encoder.encode(the_input, scale, the_input_plain);
Ciphertext the_input_enc;
encryptor.encrypt(the_input_plain, the_input_enc);

Plaintext the_constant_plain_1, the_constant_plain_2, the_constant_plain_3;
encoder.encode(3.14, scale, the_constant_plain_1);
encoder.encode(3.14, scale, the_constant_plain_2);
encoder.encode(3.14, scale, the_constant_plain_3);

1.4 连乘要注意的问题

        之前说过算加法的时候,参数要匹配,后来发现乘法也需要,即 param_id 和 scale的确切值 要相同
        补充:之前在BFV的时候,可以通过 decryptor.invariant_noise_budget() 来查看噪声预算,实测这个函数在 CKKS 里面用不了,所以很多时候虽然可以解密不报错,但是结果是错误的,故参数的设置要自己注意!

Ciphertext the_input_enc;
encryptor.encrypt(the_input_plain, the_input_enc);

evaluator.multiply_plain_inplace(the_input_enc, the_constant_plain_1);
evaluator.rescale_to_next_inplace(the_input_enc);

evaluator.multiply_plain_inplace(the_input_enc, the_constant_plain_2);

代码设计如上(中间输出的代码省略了),运行结果如下:

        可以发现,乘法后 param_id 没变,但是 scale 翻倍了;Rescale 后,param_id 左移,scale 恢复了。这时候进行第二次乘法会报错,因为一开始编码的 the_constant_plain_2 的 param_id 是 初始的2,scale 也是标准的 2^40 (rescale 后的 the_input_enc 只是近似,确切值不同),故会报错说不匹配

这里修改匹配就行:

  1. 把 明文 的 param_id 向下调,和密文一样即可;但是不能调密文的,因为不能向上;
  2. 模数互相调整都行,因为密文也是近似于 2^40 次方,调整不会有大影响(但是你数字本身太大影响就能看出来了!)
evaluator.mod_switch_to_inplace(the_constant_plain_2, the_input_enc.parms_id());
the_constant_plain_2.scale() = the_input_enc.scale();

        如果第二次不是乘法,是加法。那这里就有另一种情况了,即如果不进行 rescale 呢?(因为如果一开始就打算只乘一次),那 param_id 其实是一样的,不用调整。但是明文要注意!明文编码的时候用的是 2^40 次方,如果现在强行改成 2^80 次方就会出错!
        这时候我试过一个方法,即直接在明文编码的时候就用 2^80 次方即可,这里只需再改一下确切值,就没问题了。(注意,是乘完了再加一次!当然情况比较特殊,大家做个参考即可)

encoder.encode(3.14, pow(scale,2), the_constant_plain_2);

Ciphertext the_input_enc;
encryptor.encrypt(the_input_plain, the_input_enc);

evaluator.multiply_plain_inplace(the_input_enc, the_constant_plain_1);

the_constant_plain_2.scale() = the_input_enc.scale();
evaluator.add_plain_inplace(the_input_enc, the_constant_plain_2);

         输出如上,是正确的。因为 rescale 本身也是需要时间代价的但是 scale 翻倍对解密是没有影响的,故如果过程类似的可以参考下。当然通过上面也能说明,加法是不改变容量、param_id 和 scale 的。

        这里补充一下:这里没有输出密文的大小(size),因为经过测试过明文乘法和加法并不会改变密文大小,所以不在此处进行讨论(下一篇密文乘法的时候会讨论)。这里对容量进行了输出,虽然不清楚具体含义,但是 Rescale 会引起容量的变化,放在这里便于大家对比。

二、Coeff_modulus 和 Scale 的关系

        按照之前的解释,coeff_modulus 的最后一位是用来生成密钥的,要大于等于其他的值;第一位是用来解密的,也是要适当的比较大;中间的要和 scale 相近。所以之前例子中,官方采用{ 60, 40, 60} 这种配置。
咱们先看和 scale 的关系,将中间和 scale 设置成不相同的,观察变化:
scale = 30,coeff_modulus = 180 (50 + 40 + 40 + 50) bits

        这里我们发现,因为都是拿 2^30 编码的,所以乘完正常翻倍至 60 bits;但是因为中间设置的是 40,这里 rescale 后直接变成 20 了(即 60 - 40 = 20)!直接解密发现虽然近似值差不多,但是明显误差变大了,即 scale 影响了结果的精度!
        故最好将中间的数设置为和 scale 一样,这样才能稳定中间结果

三、Scale 对精度的影响

        示例中只是简单提到了大约位数,但是无法推测出具体的精确程度。故做实验对比下:
scale = 20,coeff_modulus = 120 (40 + 20 + 20 + 40) bits

        第二位的精确结果是 9.8596,第三位是 19.7192,最后一位是 40375.062,可以发现数字越大,误差也就越大说明精度不是到具体位数的,而是跟数字本身有关的

scale = 40,coeff_modulus = 200 (60 + 40 + 40 + 60) bits

         可以发现,哪怕是最后一位的 40375.062,也得到了精确结果。(但是后面的测试会发现,模数链是跟乘法深度匹配的,故如果scale大了,就无法进行深度的计算了,需要一定的取舍
 

四、加密参数对深度明文乘法的影响

        模数链限制了乘法的深度,因为当 param_id 处于最底的时候,再 rescale 就会报错。这个理解没什么问题,但是后续在实验的时候发现了一个现象,模数处于底部的时候,是一个比较特殊的状态。

4.1 模数底部的特殊性

scale = 20,coeff_modulus = 120 (40 + 20 + 20 + 40) bits

 这里想去乘第三次的时候,会报错说:scale out of bounds !(第二次结果也有误)

        因为我是把密文的 scale 赋值给明文的,所以第三次乘法的 scale 应该是  (20.4605)^2确实这超过了 coeffee_modulus 的第一位 40,但是第二次乘法结果的 scale 也超过了,为什么没问题?

所以我猜测是因为此时已经处于了模数链的最底层,所以比较特殊?验证不是底层的情况:
scale = 20,coeff_modulus = 140 (40 + 20 + 20 + 20 + 40) bits

        果然,因为模数练处于底层的特殊性。当然此时结果是错的,第二位的精确结果是30.9591,按照之前结论,此时确实精度不够,但是不会报错,故先探究报错原因。
通过多次尝试发现: 

scale = 20,coeff_modulus = 121 (41 + 20 + 20 + 40) bits

        即只要第 coeff_modulus 第一位大于乘法结果的 scale 即可虽然可以运行,但是解密结果是错误的!故继续尝试:coeff_modulus = 140 (50 + 20 + 20 + 50) bits 仍然错误!
一直尝试到:coeff_modulus = 160 (60 + 20 + 20 + 60) bits(最大只到60):

发现能解密了,但是精度根本不够,不过探究出了报错的原因。

4.2 提高精度的参数设置

接下来拉高精度:
        coeff_modulus = 200 (60 + 40 + 40 + 60),报错 scale out of bounds !证明刚才的结论是正确的,即模数链底层比较特殊,这里的第一位 60 达不到要求
        那么按照要求极限设置: coeff_modulus = 178 (60 + 29 + 29 + 60) bits (29+29 < 60):


果然没有报错,但是解密结果感人。当然此时也能总结出规律,加模数链

scale = 30,coeff_modulus = 190 (50 + 30 + 30 + 30 + 50) bits

        第三位的精确值是61.918288 ,后面第一位的精确值是:126715.7763,看得出来也差不多,但是再往后就不行了。故这种配置就是针对这个算法最优的。

有趣的是,当我继续想拉高精度的时候,即尝试了:

  1. scale = 40,coeff_modulus = 200 (40 + 40 + 40 + 40 + 40) bits :
    报错!scale out of bounds
  2. scale = 40,coeff_modulus = 218 (49 + 40 + 40 + 40 + 49) bits:
    拉满了218,不报错,但是精度不如上面的 190 (50 + 30 + 30 + 30 + 50) bits

故模数链得够长,而且第一个数和最后一个数也得够大!

4.3 本例总结

上面进行了 三次乘法 和 两次 Rescale:
        如果模数链只给四位数(最后的为密钥的特殊素数,其他三位是给密文用的),需要注意最后的大小问题,不然会报错 scale out of bounds(补充:此时不能再进行第三次 Rescale,会报错)此时精度也不理想。
        如果模数链给五位数,则精度会提升,但是第一和最后位的大小要尽量大于其他。[ 即:190 (50 + 30 + 30 + 30 + 50) 的精度要大于 218 (49 + 40 + 40 + 40 + 49) ]。(此时可以进行第三次Rescale 再解密,但是我尝试过精度差不多,所以意义可能不大)
        另外,上面提到的精度,均与数字大小有关,并不是指可以精确到的位数
 

五、本篇总结

本篇探究了如下情况:

  1. 连乘时,要注意的参数匹配问题;
  2. Coeff_modulus 的中间数 和 Scale 的关系;
  3. Scale 对精度的影响;
  4. 模数链长度对乘法深度,准确说对 Rescale 次数 的影响;
  5. 报错 scale out of bounds 的具体情况;
  6. 想提高精度,比较合适的参数设置;

        叠个甲:很多结果都是测试得出的结论,不一定准确,毕竟不是看源码分析而来的。但是具有一定的参考价值,也算是帮大家踩过坑了。
        下一篇打算继续探究 密文深度乘法情况 和 参数设置对内存占用的影响
 

Mr.Ants
关注
专栏目录
Microsoft SEAL是一个易于使用且功能强大的同态加密。-C/C++开发
05-26
Microsoft SEAL Microsoft SEAL是由Microsoft的密码学和隐私研究小组开发的易于使用的开放源代码(由MIT许可)同态加密。 Microsoft SEAL用现代标准C ++编写,并且Microsoft SEAL Microsoft SEAL是易于使用的开放源代码(由MIT许可)同态加密,由Microsoft密码学和隐私研究小组开发。 Microsoft SEAL用现代标准C ++编写,易于编译并在许多不同的环境中运行。 有关Microsoft SEAL项目的更多信息,请参见sealcrypto.org。 本文档适用于Microsoft SEAL 3.5版。 的早期版本的用户应查看更改列表。 C
CKKS加密简介
watqw的博客
03-04 6231
CKKS是目前比较流行的同态加密方案,出自于论文《Homomorphic encryption for arithmetic of approximate numbers》,名称是其作者的首字母简称。 CKKS相较于BGV和BFV,最大的优势是能够处理浮点数,甚至是复数。CKKS的明文域是复数向量。 其实,CKKS是基于BGV或者BFV构造的,其亮点,是编码。但是其编码需要的数学知识很复杂,在这里只是大概介绍一下。 首先,有一个多项式,其中d是2的整数次幂,也就是一个分圆多项式。构造环。CKKS的明文
同态加密SEAL介绍(四)CKKS 方案
WaitMrAnt的博客
08-06 1598
本篇介绍SEALCKKS 方案(及其编码器 CKKSEncoder),该方案解决了 BFV 中数据类型溢出问题,同时这里也对其近似性进行了说明。
同态加密SEAL介绍(一)简介
WaitMrAnt的博客
08-04 1151
本文介绍同态加密的性质,和实现同态加密的Microsoft SEAL。本篇只是简单介绍了下概念,后续会针对不同模式进行具体使用的分享。
同态加密SEAL介绍(十)CKKS 参数心得 2
WaitMrAnt的博客
08-12 1020
本篇继续上篇针对 CKKS 方案的测试,首先证明了重新线性化虽然会减少密文长度,但是并不会对计算结果的精度有明显的影响;模数链的长度确实会限制乘法深度(具体来说是 Rescale 次数),这点上密文乘法和明文乘法相同;上篇中证明了增加 scale 会提高精度,本篇也证明了增长模数链也能增加精度,但是内存测试后,前者 scale 不会提高内存,后者会增加内存成本和时间成本。
cpp-SEAL是一个易于使用但功能强大的同态加密用C编写它支持BFV和CKKS加密方案
08-16
在使用cpp-SEAL时,开发者需要了解一些关键概念,如密钥管理(公钥、私钥、重加密密钥等)、加密上下文(定义加密参数)、密文操作(加法、乘法、旋转等)以及噪声管理(确保计算过程中噪声不会超出安全边界)。...
python-reseal:Python完全同态加密(FHE)
02-24
现在,该通过使用pybind11绑定到python的Microsoft-SEAL支持CKKS方案,然后我们将所有MS-SEAL的对象抽象为一个单个元对象,以方便进行序列化,反序列化,加密,加法,乘法等。使它更精简并易于使用。 请阅读文档...
SEAL同态加密的编译器-C/C++开发
05-27
Microsoft / EVA:用于SEAL同态加密EVA的编译器-用于Microsoft SEAL的编译器SEAL EVA是用于同态加密的编译器,可自动删除需要加密专业知识的部分。 这为您提供了一种简单的方法,可以编写对加密数据进行操作的程序...
2021SC@SDUSC-SEAL同态加密(六)
weixin_46021936的博客
01-16 4660
SEAL同态加密(六) 一.同态的加法 全同态加法的代码是这样的 public void Add(Ciphertext encrypted1, Ciphertext encrypted2, Ciphertext destination) { if (null == encrypted1) throw new ArgumentNullException(nameof(encrypted1)); if (nul
初探全同态加密1 —— FHE的定义与历史回顾
cheese_burger_的博客
09-12 65
在开始之前,我们先温习一下最最传统的加密体系。构建一个加密系统,往往都需要一个密钥 Key。通过这个密钥,我们可以一头把明文的信息加密成密文,然后在另一头通过密钥再把密文变回原来的样子。如果没有这个 Key 的话,其他的人很难知道我们到底传递了什么信息。上文的图例基本展示了所有常见加密体系的全貌。通过一个生成算法KeyGen1λKeyGen1λ来随机生成一对用于加密和解密的密钥EncKeyDecKeyEncKeyDecKey。
算法刷题:300. 最长递增子序列、674. 最长连续递增序列、718. 最长重复子数组、1143. 最长公共子序列
qq_61936886的博客
09-12 446
如果text1[i - 1] 与 text2[j - 1]不相同,那就看看text1[0, i - 2]与text2[0, j - 1]的最长公共子序列 和 text1[0, i - 1]与text2[0, j - 2]的最长公共子序列,取最大的。但dp[i][0] 和dp[0][j]要初始值,因为 为了方便递归公式dp[i][j] = dp[i - 1][j - 1] + 1;2.递推公式:当A[i - 1] 和B[j - 1]相等的时候,dp[i][j] = dp[i - 1][j - 1] + 1;
算法知识点——常用输入输出数据的方式
5233的博客
09-12 253
除了换行之外,还会清空缓存区,而清空缓存区这件事情会耗时很久,因此为了提高速度,一般直接:cout << “\n”;2、n组输入输出(n不确定)1、n组输入输出(n确定)3、 复杂的输入输出。
Java数据结构(十)——冒泡排序、快速排序
xiaokuer_的博客
09-11 1140
文章介绍了冒泡排序和快速排序,快速排序的内容包括:划分方式、优化策略以及非递归实现
深度优先算法,广度优先算法,hill climbing,贪心搜索,A*算法,启发式搜索算法是什么,比起一般搜索法算法有什么区别
mimo_mimo的博客
09-10 1165
A算法通过维护一个优先队列(通常是最小堆),并根据启发式函数(如g(n) + h(n),其中g(n)是从起点到当前点的实际距离,h(n)是从当前点到目标点的估计距离)来评估节点的优先级。它从图的某个顶点V0开始,依次访问V0的各个未被访问过的邻接点,然后从这些邻接点出发,再依次访问它们的未被访问过的邻接点,直到图中所有已被访问过的顶点的邻接点都被访问到。它从当前的节点开始,和周围的邻居节点的值进行比较,如果当前节点不是最大的,就用最高的邻居节点来替换当前节点,从而实现向“山峰”的高处攀爬的目的。
算法基础-约数
qq_65186476的博客
09-11 288
试除法求约数、约数个数、约数之和、最大公约数
算法练习题24——查找杨辉三角中的组合数
hello77的blogggg 祝你得偿所愿
09-12 547
逐项递推法适合处理较小的数据量,计算较为直观,但当杨辉三角行数较大时,效率较低。 二分查找法利用组合数的单调性,显著提高查找效率,适合处理较大的数据范围。这两种解法在不同场景下都可以使用,二分查找法尤其适合大规模数据下的查找问题。
拥塞控制算法为何失效,网络为何难以测量?
最新发布
Netfilter
09-14 2076
所以你知道实验室仿真的宇宙第一算法为啥拉了吧,也就不用再问为什么部署了 bbr 却还不如 cubic 了吧,如果你还希望研发一个精准的,普适的端到端算法,我劝你改行去卖皮鞋,至少还有很多经理市场。这和上一篇说的测量系统容量的方法并不矛盾,因为对于网络传输系统而言,系统是动态变化的,在流量部署到系统上并开始传输时,没有全局视图,就不能指望全局公平,留下的 gap 是固有的,没法靠算法弥补。,超级经典的一篇论文,我推荐过不止一次,因此我本文不谈异构问题,说点别的,比如拓扑。对,就是要砸,因为我不干了。
微软开源SEAL 2.3.1:同态加密的入门与参数详解
标题:"sealmanual-2-3-1.pdf"文档详细介绍了微软开发的名为Simple Encrypted Arithmetic Library (SEAL)的开源同态加密,版本为2.3.1。该的设计目标是克服传统加密方法的局限性,允许在加密数据上直接执行计算...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Ants

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值