Revisiting Homomorphic Encryption Schemes for Finite Fields

文章目录

Revisiting Homomorphic Encryption Schemes for Finite Fields

摘要

这篇文章主要回顾了BGV和BFV方案，展示其区别，并优化了BGV，BFV的RNS实现(BFV的加密，BFV乘法，BFV噪声管理，BFV解密)，并在PALISADE上面对其进行了效率测试。

在优化之前，同样的明文模数空间下，BGV的噪声增加要比BFV小，而优化之后，BFV比BGV稍好一点。

优化后的结果上来说，在明文空间模数较大或适中的情况下，BGV效率比较高，在模数比较小的情况下，BFV的效率高。

引言

BFV和BGV的明文空间都是 $Z_t$ ，模数为 $Q$ ，

BGV方案将消息放在最小字节位(Least Significant Bit)上，使用模数替换技术来保持噪声为一个常量。具体来说，每次乘法之后都会将模数 $Q$ 缩小一个噪声 $B$ 的大小 $Q / B$ ，而每次乘法后变为平方的噪声 $B^2$ 也被缩小了一个噪声的大小变为 $B$ ，因此噪声可以保持为一个常量。

BFV方案将消息放在最大字节位(Most Significant Bit)上，所有的密文在做乘法后都会缩小 $Q / t$ 。模数 $Q$ 保持不变，而噪声逐渐增加，噪声增加的量和BGV方案中 $Q$ 缩小的量近似。

之前Costache和Smart做了一个噪声对比的测试，结果显示：在 $t$ 较大时，BGV的噪声增加量要比BFV小。然而他们没有从理论上和实验上比较计算上的开销。

因此这篇文章主要贡献就是优化BGV和BFV方案，使得两者之间的差距缩小，并且从理论和实验上比较两者的效率差异。

修改BFV方案

作者提出了两个方法来改善BFV方案，第一种针对加密，第二种针对乘法操作

加密优化：BFV的密文可以表示为 $\boldsymbol{c}=(\boldsymbol{b},\boldsymbol{a})$ ，其中 $\boldsymbol{b}=\boldsymbol{a} \cdot \boldsymbol{s}+\boldsymbol{e}+\Delta \boldsymbol{m}$ ， $\Delta = \lfloor Q/t \rfloor$ 。BFV的主要开销就来自 $Q / t$ 与 $\lfloor Q/t \rfloor$ 之间的差距。
令 $r_t(Q) = Q- t\Delta$ ，只要令 $r_t(Q)\approx 0$ ，那么就可以减少BFV的噪声增加，是的BFV的噪声近似于BGV，甚至比BGV更好。所以在修改中，令 $\boldsymbol{b}=\boldsymbol{a}\cdot \boldsymbol{s} + \boldsymbol{e} + \lceil \frac{Q}{t} \boldsymbol{m} \rfloor$ 。
乘法优化：BFV的乘法时最耗时的步骤，因为它需要将两个密文 $\boldsymbol{c}_1$ ， $\boldsymbol{c}_2$ 做相乘，然后再将乘积进行 $t / Q$ scale。那这就需要将两个密文的模数 $Q$ 扩展到 $Q P$ ，其中 $P$ 是一个比 $Q$ 足够大的数。做一次乘法就需要进行一次 $Q P$ 下的NTT，一次Scale down $Q / t$ ，最后将结果从模 $P$ 中转到模 $Q$ 中。本文作者提出了一个优化的乘法，能够做到 $P\approx Q$ ，节省了模数扩张以及NTT的开销。
主要的思想是对 $\boldsymbol{c}_2$ 进行模数替换， $\boldsymbol{c}_2'\bmod P \equiv \boldsymbol{c}_2\bmod Q$ 。对 $\boldsymbol{c}_1,\boldsymbol{c}_2'$ 在乘法之后对其进行 $t / P$ scale。那么进行完scale之后的密文就已经在 $Q$ 内了，就无需进行从 $P$ 到 $Q$ 的rescale了。用一个 $\boldsymbol{c}_2$ 上的较小的rescale来代替乘积上的较大的rescale。

BFV优化方法

Lazy rescale：在CKKS中，有一种lazy relinearization方法，在涉及对多个密文做相乘并聚合的时候，可以先做乘法，再做加法聚合，最后在聚合的密文上进行重线性化，可以减少重线性化的次数。同样的再BFV中可以做lazy rescale，延缓 $t / Q$ 缩放的时间，对于乘法之后做加法的密文，先进行加法再进行rescale。
RNS：对于BFV的RNS优化有两种方法，一种是Bajard-Eynard-Hasan-Zucca（BEHZ）^[5]算法，基于整数模算法以及Montgomery reduction算法。第二种是Halevi-Polyakov-Shoup（HPS）算法^[21]，基于整数模算法以及浮点数近似算法。HPS算法中的很大的一个制约在于他需要用到高精度（双精度/四精度）的浮点数，当CRT的模数取到47~58比特时候需要双精度的浮点数来近似了，更大的模数就需要四精度的浮点数了。
于是他们就提出了一种 digit decomposition技术，来加入到HPS解密步骤中，只用双精度的浮点数来支持任意大小的CRT模数。
他们还应用了^[24]中提出的混合密钥转换(hybrid key switching)应用到了BFV RNS优化中。并说明了在乘法中需要用到的辅助的模数可以被混合密钥转换重利用。

BGV优化及可用性提升

这篇文章用了Gentry-Halevi-Smart(GHS)（HE-Lib）算法来作为实现BGV的基础。GHS虽然涉及一些RNS操作，但在key switching和部分modulus switching操作中仍然是用到了高精度的整数算法。但在这篇文章中，他们把所有高精度的整数都用了RNS来代替（采用了CRT decomposition技术），来达到了更好的效率。

效率比较结果

作者在PALISADE中做了BGV和BFV的实现，结果是：

之前BGV在大明文模数下噪声增长比较小，他们的结果是现在BFV和BGV在大明文模数下表现近似，稍好于BGV。
BFV的效率在小明文模数下较好，BGV的效率在适中或者较大的模数情况下表现较好。
他们的BFV实现比之前最好的实现在深层（乘法）电路的评估上快了4倍。

背景知识

分圆多项式： $\mathcal{R}=\mathbb{Z}[X]/(X^N+1)$ ， $\mathcal{R}_Q=\mathcal{R}/Q\mathcal{R}$ 。 $\mathbb{Z}_Q=(-Q/2,Q/2)\cap\mathbb{Z}$ 。

初始BGV方案

BGV方案主要涉及到一个modulus switching技术，可以将模 $Q$ 的密文 $c t$ ，转化为模 $Q^{'}$ 的密文 $c t^{'}$ 来保证噪声大小为常数。所以在BGV方案中，要执行 $L$ 层的乘法电路，就要选取 $L + 1$ 个模数 $Q_{0}\left|Q_{1}\right| \ldots \mid Q_{L}=Q$ ， $t$ 和 $Q_L$ 互素。

公钥： $\mathrm{pk}=\left([\boldsymbol{a} \cdot \boldsymbol{s}+t \boldsymbol{e}]_{Q_{L}},-\boldsymbol{a}\right) \in \mathcal{R}_{Q_{L}}^{2}$

加密： $\mathrm{ct}=\left(\left[[\boldsymbol{m}]_{t}+\boldsymbol{u} \cdot \mathbf{p} \mathbf{k}_{0}+t \boldsymbol{e}_{0}\right]_{Q_{L}},\left[\boldsymbol{u} \cdot \mathbf{p} \mathbf{k}_{1}+t \boldsymbol{e}_{1}\right]_{Q_{L}}\right)=\left( \boldsymbol{c}_0,\boldsymbol{c}_1 \right)$

可以简单点看作 $\mathrm{ct}\approx \left([\boldsymbol{m}]_t+\boldsymbol{a}\cdot \boldsymbol{s}, -\boldsymbol{a}\right)$

解密： $\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}=[\boldsymbol{m}]_{t}+t\left(\boldsymbol{u} \cdot \boldsymbol{e}+\boldsymbol{e}_{1} \cdot \boldsymbol{s}+\boldsymbol{e}_{0}\right)=[\boldsymbol{m}]_{t}+t \boldsymbol{v} \bmod Q_{L}$

$\left[\left[\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right]_{Q_L}\right]_t$

噪声要求 $\|tv\|_{\infty}<Q/2\to\|v\|_{\infty} < \frac{Q}{2t}-\frac{1}{2}$

加法： $\boldsymbol{c}_{0}+\boldsymbol{c}_{0}^{\prime}+\left(\boldsymbol{c}_{1}+\boldsymbol{c}_{1}^{\prime}\right) \cdot \boldsymbol{s}=\left[\boldsymbol{m}+\boldsymbol{m}^{\prime}\right]_{t}+t\left(\boldsymbol{v}+\boldsymbol{v}^{\prime}+\boldsymbol{u}\right) \bmod Q_{i}$

加密密文： $\mathrm{ct}_{\mathrm{add}}=\left(\left[\boldsymbol{c}_{0}+\boldsymbol{c}_{0}^{\prime}\right]_{Q_{i}},\left[\boldsymbol{c}_{1}+\boldsymbol{c}_{1}^{\prime}\right]_{Q_{i}}\right)$

加法后噪声: $\|v\|_{\infty}+\|v'\|_{\infty}+1$

乘法： $\left(\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right) \cdot\left(\boldsymbol{c}_{0}^{\prime}+\boldsymbol{c}_{1}^{\prime} \cdot \boldsymbol{s}\right)=\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+t\left([\boldsymbol{m}]_{t} \cdot \boldsymbol{v}^{\prime}+\boldsymbol{v} \cdot\left[\boldsymbol{m}^{\prime}\right]_{t}+t \boldsymbol{v} \cdot \boldsymbol{v}^{\prime}+r_{m}\right)=[\boldsymbol{m}\cdot \boldsymbol{m}']_t + t \boldsymbol{v}_{mult}$

乘法密文： $\mathrm{ct}_{\mathrm{mult}}=\left(\left[\boldsymbol{c}_{0} \cdot \boldsymbol{c}_{0}^{\prime}\right]_{Q_{i}},\left[\boldsymbol{c}_{0} \cdot \boldsymbol{c}_{1}^{\prime}+\boldsymbol{c}_{1} \cdot \boldsymbol{c}_{0}^{\prime}\right]_{Q_{i}},\left[\boldsymbol{c}_{1} \cdot \boldsymbol{c}_{1}^{\prime}\right]_{Q_{i}}\right) \in \mathcal{R}_{Q_{i}}^{3}$

乘法后噪声变为： $\begin{aligned} \left\|\boldsymbol{v}_{\text {mult }}\right\|_{\infty} &=\left\|[\boldsymbol{m}]_{t} \cdot \boldsymbol{v}^{\prime}+\boldsymbol{v} \cdot\left[\boldsymbol{m}^{\prime}\right]_{t}+t \boldsymbol{v} \cdot \boldsymbol{v}^{\prime}+\boldsymbol{r}_{m}\right\|_{\infty} \\ & \leq \frac{\delta_{\mathcal{R}} t}{2}\left(2\|\boldsymbol{v}\|_{\infty}\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+1\right) \end{aligned}$

模数替换(缩减)：

本文的定义如下：要将 $Q_j$ 下的密文 $c t$ 替换为 $Q_i$ 下的密文 $c t^{'}$ 。前提是 $Q_i \equiv Q_j \equiv 1\bmod t$

在BGV的论文中，是这样表述的：令 $c t^{'}$ 为距离 $(Q_i/Q_j)\cdot ct$ 最近的元素，使得 $ct'\equiv ct \bmod t$ 。

本文中的意思是一样的，但通过不同的方法表述出来：

$\boldsymbol{\delta}=\left(t\left[-\boldsymbol{c}_{0} / t\right]_{Q_{j} / Q_{i}}, t\left[-\boldsymbol{c}_{1} / t\right]_{Q_{j} / Q_{i}}\right) \in \mathcal{R}^{2}$

$\mathrm{ct}^{\prime}=\frac{Q_{i}}{Q_{j}} \cdot\left(\boldsymbol{c}_{0}+\boldsymbol{\delta}_{0}, \boldsymbol{c}_{1}+\boldsymbol{\delta}_{1}\right) \bmod Q_{i}$

GHS优化

因为在初始的BGV方案中，模数替换要求所有的 $Q_i$ 满足 $Q_i \equiv 1 \bmod t$ ，减少了模数的选取范围，所以在GHS中，通过直接加密 $Q_L m]_t$ 的形式，模数替换可以直接替换为 $Q_im]_t$ ，而不需要满足 $Q_i \equiv 1 \bmod t$ 的条件。这样做的坏处就在于两个不同层之间的密文加法需要进行层同步后才可进行。

初始BFV方案

BFV方案其实是吧modulus switching的方法隐式的包含在了乘法中。

公钥： $\mathrm{pk}=\left([\boldsymbol{a} \cdot \boldsymbol{s}+\boldsymbol{e}]_{Q},-\boldsymbol{a}\right) \in \mathcal{R}_{Q}^{2}$

加密： $\text { ct }=\left(\left[\Delta[\boldsymbol{m}]_{t}+\boldsymbol{u} \cdot \mathbf{p} \mathbf{k}_{0}+\boldsymbol{e}_{0}\right]_{Q},\left[\boldsymbol{u} \cdot \mathbf{p} \mathbf{k}_{1}+\boldsymbol{e}_{1}\right]_{Q}\right)$

可以看做： $\text { ct }\approx\left(\Delta[\boldsymbol{m}]_{t}+\boldsymbol{as},-\boldsymbol{a}\right),\Delta = \lfloor Q/t\rfloor$

解密： $\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}=\Delta[\boldsymbol{m}]_{t}+\boldsymbol{u} \cdot \boldsymbol{e}+\boldsymbol{e}_{1} \cdot \boldsymbol{s}+\boldsymbol{e}_{0}=\Delta[\boldsymbol{m}]_{t}+\boldsymbol{v}_{\text {fresh }} \bmod Q$

$\boldsymbol{m}^{\prime}=\left\lfloor\frac{t}{Q}\left[\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right]_{Q}\right]$

噪声要求： $\|v\|_{\infty}<\frac{Q}{2t}-\frac{r_t(Q)}{2}$

加法： $\boldsymbol{c}_{0}+\boldsymbol{c}_{0}^{\prime}+\left(\boldsymbol{c}_{1}+\boldsymbol{c}_{1}^{\prime}\right) \cdot \boldsymbol{s}=\Delta\left[\boldsymbol{m}+\boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}+\boldsymbol{v}^{\prime}-r_{t}(Q) \boldsymbol{u} \bmod Q$

加法密文： $\mathrm{ct}_{\mathrm{add}}=\left(\left[\boldsymbol{c}_{0}+\boldsymbol{c}_{0}^{\prime}\right]_{Q},\left[\boldsymbol{c}_{1}+\boldsymbol{c}_{1}^{\prime}\right]_{Q}\right)$

加法噪声： $\left\|\boldsymbol{v}_{\mathrm{add}}\right\|_{\infty}=\left\|\boldsymbol{v}+\boldsymbol{v}^{\prime}+r_{t}(Q) \boldsymbol{u}\right\|_{\infty} \leq\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+r_{t}(Q)$

乘法： $\begin{aligned} \left(\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right) \cdot\left(\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right) &=\left(\Delta[\boldsymbol{m}]_{t}+\boldsymbol{v}+Q \boldsymbol{k}\right) \cdot\left(\Delta\left[\boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}^{\prime}+Q \boldsymbol{k}^{\prime}\right) \\ &=\frac{Q}{t} \Delta\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\frac{Q}{t} \boldsymbol{v}_{\text {tensor }}+\frac{Q^{2}}{t} \boldsymbol{k}_{\text {tensor }} \end{aligned}$

乘法密文： $\mathrm{ct}_{\mathrm{tensor}}=\left(\boldsymbol{c}_{0} \cdot \boldsymbol{c}_{0}^{\prime}, \boldsymbol{c}_{0} \cdot \boldsymbol{c}_{1}^{\prime}+\boldsymbol{c}_{1} \cdot \boldsymbol{c}_{0}^{\prime}, \boldsymbol{c}_{1} \cdot \boldsymbol{c}_{1}^{\prime}\right) \in \mathcal{R}^{3}$

$\mathrm{ct}_{\mathrm{scale}}=\left[\left[\frac{t}{Q} \mathrm{ct}_{\text {tensor }}\right\rfloor\right]_{Q} \in \mathcal{R}_{Q}^{3}$

乘法噪声： $\frac{t}{Q}\left(c_{\text {tensor }_{0}}+c_{\text {tensor }_{1}} \cdot s+c_{\text {tensor }_{2}} \cdot s^{2}\right)=\Delta\left[m \cdot m^{\prime}\right]+v_{\text {tensor }}+Q k_{\text {tensor }}$

$\mathrm{ct}_{\mathrm{scale}_{0}}+\mathrm{ct}_{\mathrm{scale}_{1}} \cdot \boldsymbol{s}+\mathrm{ct}_{\mathrm{scale}_{2}} \cdot \boldsymbol{s}^{2}=\Delta\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]+\boldsymbol{v}_{\text {tensor }}+\boldsymbol{v}_{\mathrm{r}} \bmod Q$

其中 $\left\|\boldsymbol{v}_{r}\right\|_{\infty} \leq\left(1+\delta_{\mathcal{R}} B_{\mathrm{key}}+\delta_{\mathcal{R}}^{2} B_{\mathrm{key}}^{2}\right) / 2$ ， $\boldsymbol{v}_{\text {mult }}=\boldsymbol{v}_{\text {tensor }}+\boldsymbol{v}_{r}$ .

$\begin{aligned} \left\|\boldsymbol{v}_{\operatorname{mult}}\right\|_{\infty} \leq & \frac{\delta_{\mathcal{R}} t}{2}\left(\frac{2\|\boldsymbol{v}\|_{\infty}\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}}{Q}+\left(4+\delta_{\mathcal{R}} B_{\mathrm{key}}\right)\left(\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}\right)\right.\\ &\left.+r_{t}(Q)\left(\delta_{\mathcal{R}} B_{\mathrm{key}}+5\right)\right)+\frac{1+\delta_{\mathcal{R}} B_{\mathrm{key}}+\delta_{\mathcal{R}}^{2} B_{\mathrm{key}}^{2}}{2} \end{aligned}$

RNS表示

中国剩余定理将 $\mathbb{Z}_Q$ 中的一个元素拆分为一组更小空间中的数（比如64位以内的数），来使得计算机可以快速的计算。这样的表示方法叫做剩余数系统(Residue-Number-System RNS)。

同样的，一个多项式环 $\mathcal{R}_Q$ 中元素也可以用他的剩余数来表示，具体来说，取一组互素的数 $q_i$ 使得 $Q=q_0\cdots q_L$ ，将多项式环的系数全都从 $\mathbb{Z}_Q$ 映射到 $\mathbb{Z}_{q_i}$ 中，然后进行NTT来做 $\mathcal{R}_Q$ 上元素的快速乘法操作。

在BGV方案中，通常取 $Q_L=q_0\cdots q_L$ ， $Q_i=q_0\cdots q_i$ ，其中 $q_i = 1\bmod 2N,1\le i\le L$ 。在BFV中，取 $Q=q_0\cdots q_k$ ， $Q_i=q_0\cdots q_i$ ，其中 $q_i = 1\bmod 2N,1\le i\le k$ 。这里用了两种不同的方法来对BGV和BFV的模数进行选取，是因为在BFV中，模数都是选取到软件/硬件能表达的最大位数(64/53)位。而在BGV方案中，模数的选取与每次需要减少的噪声大小有关，因此也与需要执行的算数电路有关。在HE-Lib中，有一个动态的噪声预估方法可以解除这种限制。因此，BGV的可用性是受到限制的。但在本文中，对BGV的噪声进行了统计地预估，增加了可用性。

在使用BFV方案乘法的时候，需要用到一个switchbase操作，就是将 $\boldsymbol{a}\in\mathcal{R}_Q$ 的RNS表达转换为 $[\boldsymbol{a}]_Q\bmod P$ 这样的形式。

按照原本中国剩余定理的表达，需要计算
$\left( \sum_{i=1}^{k} (\boldsymbol{a}\bmod q_i)\left( \left(\frac{Q}{q_i}\right)^{-1}\bmod q_i \right) \frac{Q}{q_i} \right) \ mod \ Q$
而在RNS表达中时存储的 $[\boldsymbol{a}]_{q_i}$ ，所以一种快速的方法来计算的话是
$\text { FastBaseExtension }(\boldsymbol{a}, Q, P)=\sum_{i=1}^{k}\left[\boldsymbol{a}\left(\frac{Q}{q_{i}}\right)^{-1}\right]_{q_{i}} \frac{Q}{q_{i}} \bmod p_{j}$
但这样子得到的不是 $[\boldsymbol{a}]_Q\bmod P$ 而是 $[\boldsymbol{a}]_Q+\boldsymbol{u}Q\bmod P$ .

于是需要通过^[21]中的floating-point instruction技术来得到 $\boldsymbol{u}$ ： $\boldsymbol{u}=\left\lfloor\sum_{i=1}^{k}\left[\boldsymbol{a}\left(\frac{Q}{q_{i}}\right)^{-1}\right]_{q_{i}} \frac{1}{q_{i}}\right\rceil$ 或者蒙哥马利约化来去掉Q。

RNS混合密钥替换

密钥替换(key switching)将一个由 $\boldsymbol{s}_{A}$ 解密的密文 $\mathrm{ct}=\left(\boldsymbol{c}_{0}, \boldsymbol{c}_{1}\right) \in \mathcal{R}_{Q}^{2}$ 转换为一个可以由 $s_{B}$ 解密的密文 $\mathrm{ct}^{\prime}=\left(\boldsymbol{c}_{0}^{\prime}, \boldsymbol{c}_{1}^{\prime}\right) \in \mathcal{R}_{Q}^{2}$ ，两者解密后得到的消息相同。

在BV^[9]中有一种进行key switching的方法，后来^[5]将其扩展到了RNS中，这种方法是将密文中的多项式环中元素进行digit decomposition。但是这种方法需要平方次的NTTs转换，且有很大的噪声。在GHS^[20]中，提出了一种噪声更小，只需要线性个NTT转换的方案，但这种方法需要将 $N$ 翻倍或者将 $Q$ 缩小2的次数。GHS还提出了一种混合方法，折中结合BV和GHS的方法来达到最好的效果。

优化BFV方案

注意到之前BGV和BFV的噪声对比中：

BGV：

加法： $\|\boldsymbol{v}_{add}\|_{\infty}=\|\boldsymbol{v}\|_{\infty}+\|\boldsymbol{v}'\|_{\infty}+1$ ，

乘法： $\begin{aligned} \left\|\boldsymbol{v}_{\text {mult }}\right\|_{\infty} &=\left\|[\boldsymbol{m}]_{t} \cdot \boldsymbol{v}^{\prime}+\boldsymbol{v} \cdot\left[\boldsymbol{m}^{\prime}\right]_{t}+t \boldsymbol{v} \cdot \boldsymbol{v}^{\prime}+\boldsymbol{r}_{m}\right\|_{\infty} \\ & \leq \frac{\delta_{\mathcal{R}} t}{2}\left(2\|\boldsymbol{v}\|_{\infty}\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+1\right) \end{aligned}$

BFV：

加法： $\left\|\boldsymbol{v}_{\text {add}}\right\|_{\infty}\leq\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+r_{t}(Q)$

乘法： $\begin{aligned} \left\|\boldsymbol{v}_{\operatorname{mult}}\right\|_{\infty} \leq & \frac{\delta_{\mathcal{R}} t}{2}\left(\frac{2\|\boldsymbol{v}\|_{\infty}\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}}{Q}+\left(4+\delta_{\mathcal{R}} B_{\mathrm{key}}\right)\left(\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}\right)\right.\\ &\left.+r_{t}(Q)\left(\delta_{\mathcal{R}} B_{\mathrm{key}}+5\right)\right)+\frac{1+\delta_{\mathcal{R}} B_{\mathrm{key}}+\delta_{\mathcal{R}}^{2} B_{\mathrm{key}}^{2}}{2} \end{aligned}$

BFV相比BGV的噪声项多了 $r_t(Q)$ 这一项，也就造成了BFV的噪声增长会比BGV要快，这篇文章说明了 $r_t(Q)$ 是完全可以避免的。

噪声减少

现在回顾一下BFV的乘法噪声，令两个要进行相乘的密文的噪声都是 $V$ ， $B_{key}=1$ ，乘法的噪声就大约为：
$\delta_{\mathcal{R}} t\left(\left(5+\delta_{\mathcal{R}}\right) V+\frac{r_{t}(Q)}{2}\left(\delta_{\mathcal{R}}+5\right)\right)+\frac{\delta_{\mathcal{R}}^{2}}{2} \approx \delta_{\mathcal{R}}^{2} t\left(V+\frac{r_{t}(Q)}{2}\right)$
当乘法继续进行的时候 $V$ 就比 $r_t(Q)\approx t/2$ 要大很多，此时 $r_t(Q)$ 带来的噪声影响不大。但考虑到第一次乘法，两个新加密的密文的噪声为 $\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}=\Delta[\boldsymbol{m}]_{t}+\boldsymbol{u} \cdot \boldsymbol{e}+\boldsymbol{e}_{1} \cdot \boldsymbol{s}+\boldsymbol{e}_{0}=\Delta[\boldsymbol{m}]_{t}+\boldsymbol{v}_{\text {fresh }} \bmod Q$ , $\|\boldsymbol{v}_{\text{fresh}}\|_{\infty} \le B_{\text {err }}\left(2 \delta_{\mathcal{R}} B_{\text {key }}+1\right) \approx 2 \delta_{\mathcal{R}} B_{\text {err }}$ 。根据同态加密标准，噪声分布都是 $\sigma_{\text{err}}=3.2$ 的高斯分布， $B_{\text{err}}=3.2\times6$ 。 $\delta_R\le \sqrt{N}$ ，所以 $V_{\text{init}}=2\times 6 \times 3.2 \times 2 \sqrt{N} < 77 \sqrt{N}$ ，而 $N$ 一般不超过 $2^{16}$ ，因此初始噪声最多也就14比特左右。但如果取 $t>2^{16}+1$ ，那么 $r_t(Q)/2>2^{14}$ 就成了噪声的主要组成了。如果取 $t=2^{60}$ ，那么初始噪声会比BGV要大44比特。

减小这个噪声项 $r_t(Q)$ 的方法也很简单，如同BGV里面一样，取 $q_i =1\bmod t$ ，那么 $r_t(Q)=1$ ，但这样做会减少模数选取的范围，所以不做考虑，另一种方法是不断地选取 $Q$ 直到 $r_t(Q)< \sqrt{N}$ ，但其实有更加自然的方法。

在加密的时候，不选择使用 $\Delta [\boldsymbol{m}]_t$ ，而是 $\lfloor Q[\boldsymbol{m}]_t/t\rceil$ 的形式，那这样做的话，噪声就变了：
$KaTeX parse error: No such environment: align at position 8: \begin{̲a̲l̲i̲g̲n̲}̲ \left[\frac{t}…$
其中 $\left\lfloor Q[m]_{t} / t\right\rceil=Q[m]_{t} / t+ \boldsymbol{\varepsilon}$ . $\|\boldsymbol{\varepsilon}\|_{\infty} \le 1/2$ .

当 $\frac{t}{Q}\|\boldsymbol{v}+\boldsymbol{\varepsilon}\|_{\infty}<\frac{1}{2}$ 时解密正确，也就是 $\|\boldsymbol{v}\|_{\infty}<\frac{Q}{2t}-\frac{1}{2}$ ，此时的解密噪声就和BGV一样了。

注意：这个形式的密文加密可以直接用RNS表示，因为
$\left\lfloor\frac{Q[\boldsymbol{m}]_{t}}{t}\right\rceil=\frac{Q[\boldsymbol{m}]_{t}-[Q \boldsymbol{m}]_{t}}{t}=-\frac{[Q \boldsymbol{m}]_{t}}{t} \bmod Q$

考虑一下修改后方案的加法噪声：
$\begin{aligned} \boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}+\boldsymbol{c}_{0}^{\prime}+\boldsymbol{c}_{1}^{\prime} \cdot \boldsymbol{s} &=\frac{Q}{t}\left([\boldsymbol{m}]_{t}+\left[\boldsymbol{m}^{\prime}\right]_{t}\right)+\boldsymbol{v}+\boldsymbol{v}^{\prime}+\boldsymbol{\varepsilon}+\boldsymbol{\varepsilon}^{\prime} \\ &=\frac{Q}{t}\left(\left[\boldsymbol{m}+\boldsymbol{m}^{\prime}\right]_{t}+t \boldsymbol{u}\right)+\boldsymbol{v}+\boldsymbol{v}^{\prime}+\boldsymbol{\varepsilon}+\boldsymbol{\varepsilon}^{\prime} \\ &=\frac{Q}{t}\left[\boldsymbol{m}+\boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}+\boldsymbol{v}^{\prime}+\boldsymbol{\varepsilon}+\boldsymbol{\varepsilon}^{\prime} \bmod Q \end{aligned}$
此时加法噪声的bound为：

$\left\|\boldsymbol{v}_{\text {new-add}}\right\|_{\infty} \leq\|\boldsymbol{v}\|_{\infty}+\left\|\boldsymbol{v}^{\prime}\right\|_{\infty}+1$

加法噪声也和BGV一样了。

考虑乘法：

$\begin{array}{c} \left(\boldsymbol{c}_{0}+\boldsymbol{c}_{1} \cdot \boldsymbol{s}\right) \cdot\left(\boldsymbol{c}_{0}^{\prime}+\boldsymbol{c}_{1}^{\prime} \cdot \boldsymbol{s}\right)=\left(\frac{Q}{t}[\boldsymbol{m}]_{t}+\tilde{\boldsymbol{v}}+\boldsymbol{k} Q\right) \cdot\left(\frac{Q}{t}\left[\boldsymbol{m}^{\prime}\right]_{t}+\tilde{\boldsymbol{v}}^{\prime}+\boldsymbol{k}^{\prime} Q\right) \\ =\frac{Q^{2}}{t^{2}}\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\frac{Q}{t} \boldsymbol{v}_{\text {new-tensor }}+\frac{Q^{2}}{t} \boldsymbol{k}_{\text {new-tensor }} \\ \boldsymbol{v}_{\text {new-tensor }}=[\boldsymbol{m}]_{t} \cdot \tilde{\boldsymbol{v}}^{\prime}+\left[\boldsymbol{m}^{\prime}\right]_{t} \cdot \tilde{\boldsymbol{v}}+\frac{t}{Q} \tilde{\boldsymbol{v}} \cdot \tilde{\boldsymbol{v}}^{\prime}+t\left(\tilde{\boldsymbol{v}} \cdot \boldsymbol{k}^{\prime}+\tilde{\boldsymbol{v}}^{\prime} \cdot \boldsymbol{k}\right) \\ \boldsymbol{k}_{\text {new-tensor }}=[\boldsymbol{m}]_{t} \cdot \boldsymbol{k}^{\prime}+\left[\boldsymbol{m}^{\prime}\right]_{t} \cdot \boldsymbol{k}+t \boldsymbol{k} \cdot \boldsymbol{k}^{\prime}+\boldsymbol{r}_{m} \end{array}$

那么乘法噪声的bound就是：
$\begin{aligned} \left\|\boldsymbol{v}_{\text {new-mult }}\right\|_{\infty} \leq & \frac{\delta_{\mathcal{R}} t}{2}\left(\frac{2\|\tilde{\boldsymbol{v}}\|_{\infty}\left\|\tilde{\boldsymbol{v}}^{\prime}\right\|_{\infty}}{Q}+\left(4+\delta_{\mathcal{R}} B_{\mathrm{key}}\right)\left(\|\tilde{\boldsymbol{v}}\|_{\infty}+\left\|\tilde{\boldsymbol{v}}^{\prime}\right\|_{\infty}\right)\right) \\ &+\frac{1+\delta_{\mathcal{R}} B_{\mathrm{key}}+\delta_{\mathcal{R}}^{2} B_{\mathrm{key}}^{2}}{2} \end{aligned}$
后面可以证明这样的噪声和BGV里面的是近似的。

在GHS中有一种对于BGV的初始噪声减少手段对于BFV也是有用的，初始时选取一个比 $Q$ 大的模数 $Q_p=Q\cdot p$ ，然后加密完成直接执行scale down/modulus switching: $\text { ct }_{\text {scale }}=\left\lfloor\frac{1}{p} \text {ct}\right\rceil \bmod Q$

scale之后的噪声大小为 $\left\|\boldsymbol{v}_{\mathbf{s c a l e}}\right\|_{\infty} \leq \frac{\|\boldsymbol{v}\|_{\infty}}{p}+\frac{1}{2 p}+\frac{1+\delta_{\mathcal{R}} B_{\mathrm{key}}}{2}\approx \frac{\delta_R}{2}$ 。这样的大小要小于原始加密的噪声，可以作为一种降低初始噪声的手段。

改良乘法实现

缩小模数扩张 $Q P$ :

在BGV里面，乘法可以直接在模 $Q$ 中实现。然而在BFV中，乘法因为要进行scale down，不能进行取模，因此需要扩大模数。具体来说，取一个新的RNS模数 $P=p_1\cdots p_{k'}$ 使得 $\text{ct}\cdot \text{ct}'$ 不超过 $P Q$ 的范围，所以在实践中，一般取 $k^{'} = k + 1$ 。来回顾一下原本BFV的乘法：
$\begin{array}{l} \text { Expand: ct } \in \mathcal{R}_{Q}^{2} \text { and } \mathrm{ct}^{\prime} \in \mathcal{R}_{Q}^{2} \rightarrow \mathrm{ct} \in \mathcal{R}_{Q P}^{2} \text { and } \mathrm{ct}^{\prime} \in \mathcal{R}_{Q P}^{2}\\ \triangleright \operatorname{ct}(s)=\Delta[\boldsymbol{m}]_{t}+\boldsymbol{v}+Q \boldsymbol{k}\left(\bmod \mathcal{R}_{Q P}\right)\\ \triangleright \mathrm{ct}^{\prime}(\boldsymbol{s})=\Delta\left[\boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}^{\prime}+Q \boldsymbol{k}^{\prime}\left(\bmod \mathcal{R}_{Q P}\right)\\ \text { Tensor: ct }_{\text {tensor }}=\left(\boldsymbol{c}_{0} \cdot \boldsymbol{c}_{0}^{\prime}, \boldsymbol{c}_{0} \cdot \boldsymbol{c}_{1}^{\prime}+\boldsymbol{c}_{1} \cdot \boldsymbol{c}_{0}^{\prime}, \boldsymbol{c}_{1} \cdot \boldsymbol{c}_{1}^{\prime}\right) \in \mathcal{R}_{Q P}^{3}: \\ \triangleright \mathrm{ct}_{\text {tensor }}(\boldsymbol{s})=\frac{Q}{t} \Delta\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\frac{Q}{t} \boldsymbol{v}_{\text {tensor }}+\frac{Q^{2}}{t} \boldsymbol{k}_{\text {tensor }}\left(\bmod \mathcal{R}_{Q P}\right)\\ \text { ScaleDown: } \mathrm{ct}_{\text {scale }}=\left\lfloor\frac{t}{Q} \mathrm{ct}_{\text {tensor }}\right\rceil \in \mathcal{R}_{P}^{3}\\ \triangleright \text { ct }_{\text {scale }}(s)=\Delta\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}_{\text {tensor }}+Q \boldsymbol{k}_{\text {tensor }}+\boldsymbol{v}_{r}\left(\bmod \mathcal{R}_{P}\right) \\ \text { SwitchBasis: } \mathrm{ct}_{\mathrm{scale}} \in \mathcal{R}_{P}^{3} \rightarrow \mathrm{ct}_{\text {scale }} \in \mathcal{R}_{Q}^{3}: \\ \triangleright \text { ct }_{\text {scale }}(\boldsymbol{s})=\Delta\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\boldsymbol{v}_{\text {tensor }}+\boldsymbol{v}_{r}\left(\bmod \mathcal{R}_{Q}\right) \end{array}$
改良方法：对于 $\mathrm{ct} \in \mathcal{R}_{Q}^{2},\mathrm{ct}^{\prime} \in \mathcal{R}_{Q}^{2}$ ，对其中一个进行modulus switching，变为 $\mathcal{R}_P$ 中，通过一系列的分析，说明了 $P\approx Q$ 就可以满足条件。看一下新的BFV乘法：
$\begin{aligned} &\text { ModSwitch: } \mathrm{ct} \in \mathcal{R}_{Q}^{2} \rightarrow \hat{\mathrm{ct}} \in \mathcal{R}_{P}^{2}\\ &\text { Expand: } \hat{\mathrm{c}} \mathrm{t} \in \mathcal{R}_{P}^{2} \rightarrow \hat{\mathrm{c} \mathrm{t}} \in \mathcal{R}_{Q P}^{2} \text { and } \mathrm{ct}^{\prime} \in \mathcal{R}_{Q}^{2} \rightarrow \mathrm{ct}^{\prime} \in \mathcal{R}_{Q P}^{2}\\ &\triangleright \hat{\text {ct}}(s)=\frac{P}{t}[\boldsymbol{m}]_{t}+\frac{P}{Q} \tilde{\boldsymbol{v}}+P \boldsymbol{k}+\varepsilon_{\text {round }}\left(\bmod \mathcal{R}_{Q P}\right)\\ &\triangleright \operatorname{ct}^{\prime}(s)=\frac{Q}{t}\left[\boldsymbol{m}^{\prime}\right]_{t}+\tilde{\boldsymbol{v}}^{\prime}+Q \boldsymbol{k}^{\prime}\left(\bmod \mathcal{R}_{Q P}\right)\\ &\text { Tensor: } \hat{\mathrm{ct}}_{\text {tensor }}=\left(\hat{\boldsymbol{c}_{0}} \cdot \boldsymbol{c}_{0}^{\prime}, \hat{\boldsymbol{c}_{0}} \cdot \boldsymbol{c}_{1}^{\prime}+\hat{\boldsymbol{c}_{1}} \cdot \boldsymbol{c}_{0}^{\prime}, \hat{\boldsymbol{c}_{1}} \cdot \boldsymbol{c}_{1}^{\prime}\right) \in \mathcal{R}_{Q P}^{3}: \\ &\triangleright \text { ct }_{\text {tensor }}(\boldsymbol{s})=\frac{Q P}{t^{2}}\left[\boldsymbol{m} \cdot \boldsymbol{m}^{\prime}\right]_{t}+\frac{P}{t} \hat{\boldsymbol{v}}_{\text {tensor }}+\frac{Q P}{t} \hat{\boldsymbol{k}}_{\text {tensor }}\left(\bmod \mathcal{R}_{Q P}\right)\\ &\text { ScaleDown: ct }_{\text {scale }}=\left\lfloor\frac{t}{P} \hat{\mathrm{ct}}_{\text {tensor }}\right\rceil \in \mathcal{R}_{Q}^{3} \\ &\triangleright \text {ct}_{\text {scale}}(s)=\frac{Q}{t}\left[m \cdot m^{\prime}\right]_{t}+\hat{v}_{\text {tensor}}+v_{r}\left(\bmod \mathcal{R}_{Q}\right) \end{aligned}$
考虑一下做basis extension的次数：在初始的BFV乘法中，Expand中有4步，ScaleDown中有3步，SwitchBasis中有3步，一共10步。而在新的BFV乘法中，ModSwitch中有2步，Expand中有4步，ScaleDown中有3步。一共有9步。因此，新的BFV乘法不仅P取的比之前小了，而且执行basis extension的次数也比初始的BFV方案要少一点。

分层BFV乘法：

和BGV一样，BFV中也可以使用分层的思想，令模数为 $Q_{\ell}=q_1 \cdots q_{\ell}$ ，并且在计算过程中执行modulus switching。但是，这样做的话那也就涉及到了不同层之间密文的处理以及噪声的管理。

为了维持BFV的可用性，他们提出了一种预放缩的方法，先将密文缩放 $\frac{Q_{\ell}}{Q}$ ，对缩放后的密文进行乘法，然后将结果再乘以 $\frac{Q}{Q_{\ell}}$ 回到 $\bmod Q$ 下，

中间过程中经过模数转换的密文噪声为： $\hat{\boldsymbol{v}}=\frac{Q_{\ell}}{Q} \boldsymbol{v}+\varepsilon_{\text {round }}$ ，其中 $\varepsilon_{\text{round}}$ 的大小大约为 $\frac{\delta_{\mathcal{R}}}{2}$ 。为了使噪声和缩放前保持基本一致，要求 $\frac{Q_{\ell}}{Q}\| \boldsymbol{v} \|_{\infty} \gg \| \varepsilon_{\text{round}} \|_{\infty}$ $\rightarrow$ $\|\boldsymbol{v}\|_{\infty} \gg \frac{Q \delta_{\mathcal{R}}}{2 Q_{\ell}} \text { and }\|\boldsymbol{v}\|_{\infty}^{\prime} \gg \frac{Q \delta_{\mathcal{R}}}{2 Q_{\ell}}$ 。在实现中，往往取 $\|\boldsymbol{v}\|_{\infty}>8 \frac{Q \delta_{\mathcal{R}}}{Q_{\ell}} \text { and }\|\boldsymbol{v}\|_{\infty}^{\prime}>8 \frac{Q \delta_{\mathcal{R}}}{Q_{\ell}}$ 。

新的BFV乘法过程如下：
$\begin{aligned} &\text { ModSwitchDown: } \hat{\mathrm{ct}}=\left\lfloor\frac{Q_{\ell}}{Q} \mathrm{ct}\right\rceil \in \mathcal{R}_{Q_{\ell}}^{2} \text { and } c \hat{\mathrm{t}}^{\prime}=\left\lfloor\frac{Q_{\ell}}{Q} \mathrm{ct}^{\prime}\right\rceil \in \mathcal{R}_{Q \ell}^{2} \\ &\triangleright \hat{\boldsymbol{v}}=\frac{Q_{\ell}}{Q} \boldsymbol{v}+\varepsilon_{\text {round }} \text { and } \triangleright \hat{\boldsymbol{v}}^{\prime}=\frac{Q_{\ell}}{Q} \boldsymbol{v}^{\prime}+\varepsilon_{\text {round }}^{\prime}\\ &\hat{\mathrm{t}}_{\mathrm{m}}=\operatorname{New} \mathrm{Mul} t\left(\hat{\mathrm{ct}}, \hat{\mathrm{ct}}^{\prime}\right) \in \mathcal{R}_{Q_{\ell}}^{3} \\ &\triangleright \hat{\mathrm{ct}}_{\mathrm{m}}(\boldsymbol{s})=\frac{Q_{\ell}}{t}\left[\boldsymbol{m}_{1} \boldsymbol{m}_{2}\right]_{t}+\hat{\boldsymbol{v}}_{\mathrm{m}}\left(\bmod \mathcal{R}_{Q_{\ell}}\right)\\ &\text { ModSwitchUp: } \mathrm{ct}_{\mathrm{m}}=\left\lfloor\frac{Q}{Q_{\ell}} \hat{\mathrm{t}}_{\mathrm{m}}\right\rceil \in \mathcal{R}_{Q}^{3} \\ &\triangleright \operatorname{ct}_{\mathrm{m}}(\boldsymbol{s})=\frac{Q}{t}\left[\boldsymbol{m}_{1} \boldsymbol{m}_{2}\right]_{t}+\boldsymbol{v}_{\mathrm{m}}\left(\bmod \mathcal{R}_{Q_{\ell}}\right) \\ &\triangleright \boldsymbol{v}_{\mathrm{m}}=\frac{Q}{Q_{\ell}} \hat{\boldsymbol{v}}_{\mathrm{m}}+\boldsymbol{v}_{r} \end{aligned}$

优化HPS RNS variant解密

看不懂，待补充。

更加实用的BGV方案

静态噪声处理（通过模数选取的方式）

BGV在使用过程中，需要精确地预估出目前的噪声大小，然后动态地决定什么时候进行模数缩减，每次的缩放系数是多少。在HE-Lib中有详实的噪声动态分析技术。因为BFV是采用了最大位编码，缩放系数 $Q / t$ 比较大，对噪声不是那么敏感，只要确定一个噪声的上界就可以了，而BGV时最小位编码，而且每次的缩放系数较小，所以需要更加准确的噪声控制。

在这篇文章的实现中，他们不进行动态的噪声控制，而是提前输入一些参数：乘法深度，每个乘法层中加法的最大次数，第一次乘法之前的加法和旋转次数。然后就可以生成所有的模数 $Q_L,Q_{L-1},...,Q_1,Q_0$ ，更具这些模数来进行模数缩减就可以保证噪声控制在一个较小的范围内。在每次乘法前会自动执行模数缩减，这样子修改那么BGV的可用性就和BFV差不多了。

然后这篇文章就计算了具体的每个模数如何选取，最后得出结论：
$\begin{gathered} q_{0}>2 t\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}-t \\ q_{i}>2\left(\left(n_{\mathrm{add}}^{\prime}+1\right) \frac{\delta_{\mathcal{R}} t}{2}\left(2\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}+2+\frac{1}{\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}}\right)+\left(n_{\mathrm{ks}}^{\prime}+1\right) \frac{\left\|\boldsymbol{v}_{\mathrm{ks}}\right\|_{\infty}}{\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}}\right) \\ q_{L+1}>2\left(\left(n_{\mathrm{add}}+1\right) \frac{\left\|\boldsymbol{v}_{\mathrm{fresh}}\right\|_{\infty}}{\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}}+n_{\mathrm{ks}} \frac{\left\|\boldsymbol{v}_{\mathrm{ks}}\right\|_{\infty}}{\left\|\boldsymbol{v}_{\mathrm{c}}\right\|_{\infty}}\right) \end{gathered}$
其中 $Q_0 = q_0,Q_i = Q_{i-1}q_i$ ， $Q_{L+1}=Q_Lq_{L+1}$ ， $Q_{L+1}$ 是最初密文加密用的模数，然后会直接进行一次模数缩减到 $Q_L$ 中来降低初始噪声，所以总共的层数是 $L$ 层。

处理不同层的密文之间的操作

在HE-Lib中，每个密文都有不同的缩放系数，导致需要将两个密文通过好几次scalar product来统一缩放系数，而在本文的实现中，每一层的缩放系数是一样的，那么就减少了scalar product的次数。

BFV和BGV比较

以下比较是本文优化过的BFV与BGV的比较，并不是原本方案的比较。

噪声增长

分析过程不看，结论上来说，BGV和BFV在 $Q_0$ 时的噪声一致。在其余每一个乘法层中，BFV的每一层乘法噪声比BGV小1比特。而对于密钥替换（重线性化）操作来说，在明文模数较小的情况下 ( $t\ll 2^{16}+1$ )，BFV会有优势，在明文模数变大的情况下，BGV会有优势。总体来说，BFV和BGV的噪声增长系数类似，优化过的BFV可能会比BGV有稍微有一点点点点优势。具体可以看实验结果内的数据。

计算复杂度

BFV和BGV最大的计算区别在于乘法之后的scale down，BFV中因为采用了MSD编码，每次乘法完都需要scale down一个很大的 $Q / t$ ，而对于BGV来说，只需要scale down一个和初始噪声差不多大小的模数，因此很容易想象BGV的效率是远远高于BFV的。统计下来，BFV的乘法，scaledown，重线性化总计需要 $\ell + \alpha\left(d_{\text{num}}^2 +3 \right)$ 个NTT，BGV的乘法，重线性化，modulus switching总计需要 $\ell^{\prime} +4+ \alpha \left( d_{\text{num}}^2 + 2 \right)$ 个NTT。看上去BFV需要NTT的数量是BGV的2x左右，但是实际上因为模数选取的关系，BFV中 $q_i$ 都会取得尽可能大(60bit)，而在t=2的时候，BGV的 $q_i$ 只需要取到20bit $(t\cdot \delta_R^2)$ 左右，因此 $\ell^{\prime}>3\ell$ ，此时BFV使用NTT数量要小于BGV；但是当 $t=2^{16}+1$ 时， $\ell^{\prime}\approx 2\ell$ ，此时BGV效率略优于BFV，当 $t$ 再取大一点的时候，BGV的噪声就比BFV要高很多了。

实验结果

在这里插入图片描述

同态加密BGV与BFV方案对比与梳理

Revisiting Homomorphic Encryption Schemes for Finite Fields

文章目录

摘要