63、安全且低失败率的自举技术优化

安全且低失败率的自举技术优化

1. 自举失败概率与秘密密度的影响

自举失败概率用公式 $f(K, h, n) = 1 - \left(\frac{2}{(h + 1)!}\left(\sum_{i = 0}^{\lfloor K + 0.5(h + 1)\rfloor}(-1)^i\binom{h + 1}{i}(K + 0.5(h + 1) - i)^{h + 1}\right)^{-1}\right)^{2n}$ 表示，即 $\tilde{I}(Y)$ 至少有一个系数落在近似区间 $[-K, K]$ 之外的概率。当此事件发生时，程序返回的值不可用。例如，对于固定的 $n = 2^{15}$ 个槽和可变的 $h$，若将失败概率上限设为 $f(K, h, n) \leq 2^{-15}$，则 $\lim_{h \to \infty}K \approx 1.81\sqrt{h}$。

秘密的密度 $h$ 对自举的实用性有两方面影响：
- 秘密越稀疏（$h$ 越小），能安全高效评估自举电路的参数范围越小。因为对于固定的环度 $N$ 和安全参数 $\lambda$，较小的 $h$ 意味着模数 $Q$ 的上界更小。
- 秘密越密集（$h$ 越大），EvalMod 步骤所需的层级越多。此步骤在区间 $[-K, K]$ 上进行同态模约简，而 $K$ 与 $\sqrt{h}$ 成正比。

2. 带稀疏秘密封装的 ModRaise

为了优化自举过程，提出了带稀疏秘密封装的 ModRaise 方法。具体操作如下：
1. 参数生成 ：生成两组至少 $\lambda$ 安全的参数 ${N, Q_P, h, \sig