BGV方案简介（同态加密）

前言

之前看了好多资料，发现对于BGV的介绍都比较少，大家都主要关注于CKKS。其实在一些整数域上面的计算BGV还是很有优势的，与CKKS相比，BGV是一个确定性的加密方案，与BFV相比，BGV的乘法在RNS下实现要简单非常多。所以在某些场景下（比如有限域上的MPC与HE结合）会更加偏向于使用BGV方案，而且BGV方案也相对最易懂。

推荐阅读资料

1. (Leveled) Fully Homomorphic Encryption without Bootstrapping

最初的BGV文章，但是主要关注于LWE上面。

2. Fully homomorphic encryption with polylog overhead
3. Homomorphic Evaluation of the AES Circuit

关于BGV的两篇优化，作者都是(Gentry,Halevi,Smart)，所以叫做GHS优化。

4. Fully homomorphic SIMD operations

这篇文章是将SIMD的，SIMD技术可以说是RLWE对于LWE的一个碾压性的优势之一了。作者是Smart和Vercauteren。

5. Algorithms in HElib
6. Bootstrapping for HElib
7. Design and implementation of HElib : a homomorphic encryption library

上面三篇文章都是Halevi和Shoup写的，关于Helib中如何实现BGV方案并优化，以及如何对于BGV做Bootstrapping。

BGV方案介绍

密文形式

首先BGV最基本的加密形式是：

在这里我们只看对称加密，因为公钥加密与对称加密的密文形式是一致的。

---

对于LWE类型的密文来说，
首先有一些公开参数：明文模数$t$，密文模数$q$，向量维度$n$
取私钥为$\mathbf{s}\in {\mathbb{Z}}_q^n$，对于明文$m\in {\mathbb{Z}}_t$
选取$\mathbf{a}\in {\mathbb{Z}}_q^n$，$b=⟨\mathbf{a},\mathbf{s}⟩+m+te\mathrm{m}\mathrm{o}\mathrm{d}q$。$e$是从高斯分布中选取的整数。
令密文$c=(b,\mathbf{a})$。
则解密为
先计算$\mu =b-⟨\mathbf{a},\mathbf{s}⟩=m+te\mathrm{m}\mathrm{o}\mathrm{d}q$。然后计算$m=[\mu {]}_t=m$。

这里的$⟨\cdot ⟩$为内积操作，对于$\mathbf{a}=(a_0,...,a_{n-1}),\mathbf{s}=(s_0,...,s_{n-1})$来说，$⟨\mathbf{a},\mathbf{s}⟩=a_0{s}_0+a_1{s}_1+\cdots +a_{n-1}{s}_{n-1}\in \mathbb{Z}$。
$[\mu {]}_t$其实等价于$\mu \mathrm{m}\mathrm{o}\mathrm{d}t$。

---

对于RLWE类型的密文来说，
公开参数为：明文模数$t$，多项式空间$\mathcal{R}=\mathbb{Z}[X]/X^n+1$，以及系数模$q$的多项式空间${\mathcal{R}}_q={\mathbb{Z}}_q[X]/X^n+1$。
取私钥为$s\in {\mathcal{R}}_q$，对于明文$m\in R_t$：
选取$a\in {\mathcal{R}}_q,b=as+m+te\in {\mathcal{R}}_q$，$e$是一个系数满足高斯分布的多项式。
令密文为$c=(b,a)$
则解密为
先计算$\mu =b-as=m+te\in {\mathcal{R}}_q$，然后计算$m=[\mu {]}_t\in {\mathcal{R}}_t$。

---

这里可以看到RLWE类型的密文相对于LWE类型的密文来说的一个优势在于，一个LWE的密文的长度是$n+1$，对应的明文是${\mathbb{Z}}_t$内的，相当于有效信息只有1个，利用率为$\frac{1}{n+1}$；而RLWE的密文长度是$2n$，对应的明文是${\mathcal{R}}_t$内的，有效信息最多有$n$个，利用率为$\frac{1}{2}$。如果使用SIMD的技术的话，可以将这$n$位都有效的利用起来。

关于SIMD的技术，SV的文章我还没有看，但现在BGV和BFV类型的SIMD应该都用的是INTT来做encoding的吧，可以参考一下CKKS的Encoding。思想是类似的。

噪声

注意到在解密过程中，是先得到了$m+te\mathrm{m}\mathrm{o}\mathrm{d}q$，然后再模$t$得到$m$的。这里一个很重要的条件就是$(m+te)<q$，BGV将${\phi }_s(c)=b-as=m+te$这一项称作噪声，一个很重要的条件就是噪声的大小要$<q$。如果是一个中心取模的方案，还要额外地要求噪声的大小$<\frac{q}{2}$。

Modulus Switching

注：后面的符号表示都是针对基于RLWE的BGV方案了。

感觉BGV里面最核心的技术应该就是Modulus Switching了，因为只有这个方案这么用，像Key Switching那种，基本所有同态方案都有使用。

为什么需要MS

首先，Modulus Switching是干什么的，直观上理解，modulus switching是将一个密文模数$q$转换到另一个密文模数$q^{\prime }$上。

但这样有什么用处呢？
那首先要看一下乘法的密文噪声：
前面我们已经定义了，所谓的噪声就是${\phi }_s(c)=(m+te)$，对于两个不同的密文，$c_1=Enc(m_1),c_2=Enc(m_2)$，$\phi (c_1)=m_1+t{e}_1,\phi (c_2)=m_2+t{e}_2$。两个的乘法的噪声为$$\begin{gathered} \phi (c_1{c}_2)=\phi (c_1)\cdot \phi (c_2)=(m_1+t{e}_1)(m_2+t{e}_2) \\ =\underset{<t^2}{\underbrace{m_1{m}_2}}+\underset{<t^2|e|}{\underbrace{t(m_1{e}_2+m_2{e}_1)}}+\underset{<t^2|e{|}^2}{\underbrace{t^2{e}_1{e}_2}} \end{gathered}$$
可以看到相比原来的噪声大小$\phi (c)=\underset{<t|e|}{\underbrace{m+te}}$，
乘法之后的噪声是翻倍了。而如果我们需要正确解密的话，需要噪声大小$\phi (c)<q//(\phi (c)<q/2)$。假设我们初始的噪声大小为$t|e|=B$，则乘法之后的噪声大小为$B^2$，再进行一次乘法变为$B^4$，进行$\ell$次乘法之后噪声大小为$B^{2^{\ell }}$。若要求$B^{2^{\ell }}<q$，则最多做$\ell \approx {\log }_2({\log }_B(q))-1$次乘法。
如何减少这种噪声的扩张呢？，其实BGV，BFV，CKKS给出了三种不同的解决方法，其中BGV和CKKS比较类似，都是把密文和模数同时减少（区别在于，CKKS缩小完模数之后会对明文产生影响，变为一个近似的结果；而BGV不会）。BFV则是一个scale invariant的方法，即模数不会变，通过乘法后除以一个扩张因子来保持噪声规模。
为什么模数减小噪声也会变小：考虑以下情况：
$$\phi (c)=m+te\mathrm{m}\mathrm{o}\mathrm{d}q,\phi (\frac{p}{q}c)=\underset{<\frac{p}{q}B}{\underbrace{\frac{p}{q}m+\frac{p}{q}te}}\mathrm{m}\mathrm{o}\mathrm{d}p$$
通过对密文整体进行缩放，模数从$q$变为$p$，噪声从$B$变为$\frac{p}{q}B$，那这里疑问就产生了：噪声和模数的比例关系没变啊，还是$\frac{B}{q}=\frac{\frac{p}{q}B}{p}$，为什么说减少了噪声呢？

这里举个例子：比如$B=2,q=131072,p=\frac{1}{2}q=65536$。那么不使用MS的噪声扩张为
$2\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }16\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }256\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }65536\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply(\times )}{\to }65536^2\mathrm{m}\mathrm{o}\mathrm{d}131072$
总共能做4层乘法。

如果我们在第一次乘法之后做一个MS，即将$B\to \frac{p}{q}B$,$q\to p$。则噪声扩张为
$2\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{MS}{\to }2\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply}{\to }16\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply}{\to }256\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply(\times )}{\to }65536\mathrm{m}\mathrm{o}\mathrm{d}65536$
能做5层乘法。

那再考虑另一种情况，每次乘法完都做一次modulus switching，将$B\to \frac{1}{2}B,q\to \frac{1}{2}q$：
则噪声扩张变为：
$$\begin{gathered} 2\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}131072\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}65536\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}32768\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}32768\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}16384\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}16384\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}8192\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}8192\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}4096\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}4096\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}2048\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}2048\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}1024\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}1024\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}512\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}512\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}256\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}256\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}128\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}128\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}64\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}64\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}32\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}32\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}16\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}16\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}8\stackrel{multiply}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}8\stackrel{MS}{\to } \\ 2\mathrm{m}\mathrm{o}\mathrm{d}4\stackrel{multiply(\times )}{\to }4\mathrm{m}\mathrm{o}\mathrm{d}4 \end{gathered}$$
总计有15层乘法。

总结：
由此可见，MS不改变噪声和模数的比例关系，但是噪声的扩张速度是被减少了的。每次缩小噪声从而导致模数变小，在BGV里面称作密文到达了下一层，也就如为上面的写法一样，一层拥有对应模数。通过模数缩减可以使原本$\ell \approx {\log }_2({\log }_B(q))-1$次乘法。变为$\ell \approx ({\log }_B(q)-1$次乘法。

如何做MS

其实在上面的例子里面已经有设计到如何做MS的问题了，对于一个密文$c=(a,b)$。对于$L$层乘法，取多个 Q : { Q 0 , Q 1 , . . . , Q L } Q:\{Q_0,Q_1,...,Q_L\} Q:{ Q0​,Q1​,...,QL​}，满足$Q_{i+1}\approx B\cdot Q_i$的关系。
modulus switching：
$$c=c_L=(a,b)\mathrm{m}\mathrm{o}\mathrm{d}{Q}_L\stackrel{M{S}_{L\to L-1}}{\to }{c}_{L-1}=(\frac{Q_{L-1}}{Q_L}a,\frac{Q_{L-1}}{Q_L}b)\mathrm{m}\mathrm{o}\mathrm{d}{Q}_{L-1}$$
$\phi (c_L)=b-as=m+te\mathrm{m}\mathrm{o}\mathrm{d}{Q}_L,\phi (c_{L-1})=\frac{Q_{L-1}}{Q_L}b-\frac{Q_{L-1}}{Q_L}as=\frac{Q_{L-1}}{Q_L}m+\frac{Q_{L-1}}{Q_L}te\mathrm{m}\mathrm{o}\mathrm{d}{Q}_{L-1}$。

现在问题是如何使得$\frac{Q_{L-1}}{Q_L}m=m\mathrm{m}\mathrm{o}\mathrm{d}t$且$\frac{Q_{L-1}}{Q_L}t\equiv t\mathrm{m}\mathrm{o}\mathrm{d}{Q}_{L-1}$，也就是让解密后得到的结果还是$m$。其实解决方法很容易，就是令$Q_i\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}t$就行了。

关于KeySwitching/Relinearization

KeySwitching其实不算是BGV特有的技术，所以不准备放在BGV里面介绍。这里说一下大概的思路。
对于一个用$s$加密的密文$c$来说，他由两部分组成，$(a,b)$，其中$b=as+m+te$。
如果说我要将这个密文转为由密钥$s^{\prime }$加密，则我先使用$s^{\prime }$加密$s$，得到$ksk=(a_k,b_k)$其中$b_k=a_k{s}^{\prime }+s+t{e}_k$。
key switch可以理解为得到$c^{\prime }=(a^{\prime },b^{\prime })=(0,b)-a\cdot (a_k,b_k)=(-a\cdot a_k,b-a\cdot b_k)$。
对$(a^{\prime },b^{\prime })$用$s^{\prime }$解密得到

$$\begin{array}{rl}{b}^{\prime }-a^{\prime }{s}^{\prime }& =b-a\cdot b_k+a\cdot a_k\cdot s^{\prime }\\ & =b-a(a_k{s}^{\prime }+s+te)+(a_k{s}^{\prime })\\ & =b-a(s+t{e}_k)\\ & =b-as+at{e}_k\\ & =m+te+at{e}_k\\ & =m+t{e}^{\prime }\end{array}$$
所以$c^{\prime }$是一个由$s^{\prime }$加密的密文。

重线性化可以类似的理解一下，乘法之后的密文变为由$s^2$加密的密文，所以将$s^2$keyswitch回$s$，就可以继续使用$s$解密了。