全同态加密：FHEW

参考资料：

1. Micciancio D, Peikert C. Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller[C]//Eurocrypt. 2012, 7237: 700-718.
2. Alperin-Sheriff J, Peikert C. Faster bootstrapping with polynomial error[C]//Advances in Cryptology–CRYPTO 2014: 34th Annual Cryptology Conference, Santa Barbara, CA, USA, August 17-21, 2014, Proceedings, Part I 34. Springer Berlin Heidelberg, 2014: 297-314.
3. Ducas L, Micciancio D. FHEW: bootstrapping homomorphic encryption in less than a second[C]//Advances in Cryptology–EUROCRYPT 2015: 34th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Sofia, Bulgaria, April 26-30, 2015, Proceedings, Part I 34. Springer Berlin Heidelberg, 2015: 617-640.

AP14

2014 年，Alperin 和 Peikert 提出了一种快速 Bootstrapping 方案。他们将加法群 $Z_q$ 嵌入到对称群 $S_q$ （置换矩阵 { 0 , 1 } q × q \{0,1\}^{q \times q} { 0,1}q×q 的乘法群）上，在代数电路上执行自举，大大提高了自举效率。而之前的方案，基本都在布尔电路上运算，使用 Barrington‘s Theorem 将 $N{C}^1$ 电路转化为 5-PBP 置换分支程序。

利用 GSW 乘法噪声增长的非对称性，采用右结合的乘法链其噪声增长是拟加性的（quasi-additive）。另外，他们给出了 GSW 的更简单的变体，可以证明两者是等价的。

本文重点关注如何快速自举，它可以兼容所有的基于 LWE 的 FHE。由于解密算法是：
$$Dec(s,c):=\lfloor ⟨s,c⟩{\rceil }_2$$

这里 $\lfloor x{\rceil }_2:=\lfloor 2/q\cdot x\rceil$ 是从 $Z_q$ 到 $Z_2$ 的模切换，或者说是 MSB 的提取。那么，自举的关键就是：

• 对于固定的秘密 $s$，对于任意密文 $c$，在 GSW 下同态地计算出内积 $⟨s,c⟩$（这是 subset-sum，只需要同态加法）。
• 对于计算出的 $⟨s,c⟩$ 的密文，提取出 MSB 对应的 LWE 密文（关键步骤）。

Embedding

根据 Cayley’s Theorem，任意的有限群 $G$ 都可以嵌入（injective homomorphism）到对称群 $S_{|G|}$ 中。而这个对称群同构于 $|G|$ 阶的置换矩阵乘法群，置换 $\pi$ 对应的置换矩阵为：
$$P_{\pi }:=[e_{\pi (1)},e_{\pi (2)},\cdots ,e_{\pi (|G|)}]$$

因此，任意的加法群 $(Z_r,+)$ 都可以嵌入到对称群 $S_r$ 中，也就是 $r\times r$ 的置换矩阵的乘法群。嵌入映射为：将元素 $x\in Z_r$ 映射到位移 $x$ 的循环置换（the permutation that cyclically rotates by x positions）。

我们定义 $\pi :i\to i+1(\mathrm{mod}r)$ 为循环位移置换，将 $x$ 次置换的复合 $\pi \circ \cdots \circ \pi$ 简记为 ${\pi }^x$。容易看出，循环置换 $P_{{\pi }^x}$ 可以被简化表示为一个 { 0 , 1 } r \{0,1\}^r { 0,1}r 的指示向量 $e_x$（indicator vector），其第 $x$ 个分量是 $1$，其他分量都为 $0$，而对应的置换矩阵就是将 $e_x$ 作为第一列，其他列依次是 $e_x$ 的循环移位（cyclic shift）。

此时，$Z_r$ 与 $S_r$ 上的运算对应关系为：

1. $Z_r$ 中的加法 $x+y(\mathrm{mod}r)$，同构于 $S_r$ 中的置换复合，或者说置换矩阵乘法 $P_{{\pi }^x}\cdot P_{{\pi }^y}$，可以简化为 $P_{{\pi }^x}\cdot e_y$（等价于多项式 $e_x,e_y$ 的在 $Z_2[x]/(x^r-1)$ 上的多项式乘积）
2. $Z_r$ 中的相等判定 $x=v(\mathrm{mod}r)$，同构于 $S_r$ 中的置换相等判定 $P_{{\pi }^x}=P_{{\pi }^v}$，可以简化为 $e_x^{(v)}$
3. $Z_r$ 中的提取 MSB $\lfloor x{\rceil }_2$，同构于 $S_r$ 中的一些相等判定的加和，即 ${\sum }_{v\in [r]s.t.\lfloor v{\rceil }_2=1}{e}_x^{(v)}$

对于一个较大的模数 $q$，直接将 $Z_q$ 嵌入到 $S_q$ 效率很低。优化思路是利用 CRT，如果让 $q={\prod }_i{r}_i$，其中 $r_i$ 是规模 $\tilde{O}(1)$ 的素数幂，那么有
$$Z_q\cong \prod _i{Z}_{r_i}\subseteq \prod _i{S}_{r_i}$$

对应的嵌入映射为：
$$\varphi :x\in Z_q\mapsto {\left(e_{x(\mathrm{mod}{r}_i)}\right)}_i\in \prod _i{S}_{r_i}$$

这样就可以在多个小规模的对称群 $S_{r_i}$ 上执行计算。此时，

1. $Z_q$ 上的加法，同构于 ${\prod }_i{S}_{r_i}$ 上的各个分量的置换各自复合，即
   $$(x+y):={\left(P_{{\pi }^{x(\mathrm{mod}{r}_i)}}\cdot e_{y(\mathrm{mod}{r}_i)}\right)}_i$$

2. $Z_q$ 上的相等判定，同构于 ${\prod }_i{S}_{r_i}$ 上的各个分量的相等判定的乘积（逻辑 AND），即
   $$[x=v]:=\prod _i{e}_{x(\mathrm{mod}{r}_i)}^{(v(\mathrm{mod}{r}_i))}$$

3. $Z_q$ 上的提取 MSB，同构于 ${\prod }_i{S}_{r_i}$ 上的一些相等判定的加和（逻辑 OR），即
   $$\lfloor x{\rceil }_2:=\sum _{v\in [q]s.t.\lfloor v{\rceil }_2=1}[x=v]$$

为了加速，文章选择让 $q$ 是 ${\max }_i{r}_i$ 的指数级大。根据 second Chebyshev function，
$$\psi (x):=\sum _{p^k\le x}\log p=\log \left(\prod _{p\le x}{p}^{\lfloor {\log }_{p}x\rfloor }\right)$$

因此，所有的小于 $x$ 的最大素数幂 $r_i=p^{\lfloor {\log }_{p}x\rfloor }$ 的乘积 $q={\prod }_i{r}_i$ 大小为 $\exp (\psi (x))$。已知 $\psi (x)=x+O(x/\log x)$，并且对于所有的 $x\ge 7$ 都有一个非渐进界 $\psi (x)\ge 3x/4$，所以有
$$q\ge \exp (3x/4)\ge \exp (3/4\cdot \underset{i}{\max }{r}_i)$$

选取很小的界 $x$，就可以用一些最大素数幂 $r_i\le x$ 合成出一个指数级大的模数 $q$。

GSW

本文给出了 GSW 的一个对称版本的更简单变体。

给定模数 $q$，令 $l=\lceil \log q\rceil$，定义 gadget column vector $g=(1,2,4,\cdots ,2^{l-1})\in Z^l$，它的倒数第二个分量为 $2^{l-2}\in [q/4,q/2)$ 就是 GSW 中所谓 “big coefficient”。

根据 MP12，存在一个随机的可有效计算的函数 $g^{-1}:Z_q\to Z^l$，使得 $x\leftarrow g^{-1}(a)$ 是一个满足 $a=⟨g,x⟩$ 的参数 $O(1)$ 的亚高斯随机变量。具体地，就是使用随机版本的 Babai nearest-plane 算法，给定格 Λ ⊥ ( g t ) : = { z ∈ Z l : ⟨ g , x ⟩ ≡ 0 ∈ Z q } \Lambda^\perp(g^t) := \{z \in Z^l: \langle g,x \rangle \equiv 0 \in Z_q\} Λ⊥(gt):={ z∈Zl:⟨g,x⟩≡0∈Zq​} 的一组 “好” 的基底 $S$，每次迭代中第 $i$ 次个基向量对应的系数服从中心零的 { c i − 1 , c i } ,   c i ∈ 1 q Z ∩ [ 0 , 1 ) \{c_i-1,c_i\},\,c_i \in \frac{1}{q} Z \cap [0,1) { ci​−1,ci​},ci​∈q1​Z∩[0,1) 上二值分布。

对于向量和矩阵，定义 gadget matrix $G=g^t\otimes I_n\in Z_q^{n\times nl}$，对应的 $G^{-1}:Z_q^{n\times m}\to Z_q^{nl\times m}$ 就是对于每个 entry 独立的使用 $g^{-1}$ 算法。那么给定 $A=G\cdot X$，$X\leftarrow G^{-1}(A)$ 是一个参数 $O(1)$ 的亚高斯随机向量（与任意的固定单位向量的内积是亚高斯的）。

在 GSW 中，密文 C ∈ { 0 , 1 } n l × n l C \in \{0,1\}^{nl \times nl} C∈{ 0,1}nl×nl 是二元方阵，秘密 $s\in Z_q^{nl}$ 是结构化向量（有个 “big coefficient”），它是个近似特征向量 $s^{t}C\approx \mu s^t(\mathrm{mod}q)$。本文中的 GSW 变体，密文 $C\in Z_q^{n\times nl}$ 是长矩阵，秘密 $s\in Z^n$ 是非结构化的短向量，关系为 $s^{t}C\approx \mu \cdot s^{t}G(\mathrm{mod}q)$。两者是等价的。

对称的 GSW 变体：

1. $GSW.Gen(1^n)$：采样 $\bar{s}{\leftarrow }_R{\chi }^{n-1}$，输出 $s:=(\bar{s},1)$
2. $GSW.Enc(s,\mu \in \mathbb{Z})$：采样 $\bar{C}{\leftarrow }_R{Z}_q^{(n-1)\times nl}$ 和 $e\leftarrow {\chi }^m$，计算 $b^t=e^t-s^t\bar{C}$，输出 $C=(\bar{C},b^t{)}^t+\mu G\in \mathcal{C}$（而原始 GSW 中是 $Flatten(\mu I_{nl}+G^{-1}(RA))=G^{-1}(\mu G+RA)$，两者等价）
3. $GSW.Dec(s,C\in \mathcal{C})$：由于 $s^{t}C=e^t+\mu \cdot s^{t}G$，因此取出倒数第二列 $c$（$G$ 的倒数第二列是 $[0,\cdots ,0,2^{l-2}]$），计算出 $2^{l-2}\cdot \mu \approx ⟨s,c⟩$，输出 $\mu$

在 $LW{E}_{n-1,q,\chi }$ 假设下，上述方案是 IND-CPA 安全的。

• 同态加法 $C_1⊞C_2:=C_1+C_2$，噪声 $e_1^t+e_2^t$
• 同态乘法 $C_1⊡C_2:=C_1\cdot X$，噪声 $e_1^{t}X+{\mu }_1{e}_2^t$，其中 $X\leftarrow G^{-1}(C_2)$

由于同态乘法的非对称噪声增长，我们令算符 $⊡$ 是右结合的（ right associative）。对于一个关于密文 $C_i,i=1,\cdots ,k$ 的乘法链，
$$C\leftarrow \left({⊡}_{i\in [k]}{C}_i\right)⊡G=C_1⊡(\cdots (C_k⊡G))\in \mathcal{C}$$

这里的 $G=\text{0}+1\cdot G\in \mathcal{C}$ 是个零噪声的 $1$ 的密文。由于 μ ∈ { 0 , 1 } \mu \in \{0,1\} μ∈{ 0,1}，因此 $C$ 的噪声为 ${\sum }_{i\in [k]}{e}_i^t{X}_i$，这是参数 $O(\Vert e_i\Vert )$ 的亚高斯随机变量（拟加性）。

HEPerm

现在，我们基于上述的对称 GSW 方案，构造关于对称群 $S_r$ 的同态方案（不是 FHE）：

1. $HEPerm.Gen(1^n)$：输出 $sk:=GSW.Gen(1^n)$
2. $HEPerm.Enc(sk,\pi \in S_r)$：找到对应的置换阵 P π = ( p i j ) ∈ { 0 , 1 } r × r P_\pi = (p_{ij}) \in \{0,1\}^{r \times r} Pπ​=(pij​)∈{ 0,1}r×r，输出 $C=(GSW.Enc(sk,p_{ij}))\in {\mathcal{C}}^{r\times r}$
3. $HEPerm.Dec(sk,C\in {\mathcal{C}}^{r\times r})$：计算出 P π = ( G S W . D e c ( s k , c i j ) ) ∈ { 0 , 1 } r × r P_\pi = (GSW.Dec(sk,c_{ij})) \in \{0,1\}^{r \times r} Pπ​=(GSW.Dec(sk,cij​))∈{ 0,1}r×r，输出对应的置换 $\pi$

这个方案有如下的同态运算（对于任意的 $\pi ,\sigma \in S_r$，而不仅仅那 $r$ 个循环置换）：

• 同态的映射复合 $C^{\pi }\circ C^{\sigma }:={\left({⊞}_{k\in [r]}\left(c_{ik}^{\pi }⊡c_{kj}^{\sigma }\right)\right)}_{ij}\in {\mathcal{C}}^{r\times r}$，就是一般的矩阵乘法（在同态运算下），噪声 $E+P^{\pi }\cdot E^{\sigma }$，其中 $E$ 的第 $i$ 行服从参数 $O(\Vert e_i^{\pi }\Vert )$ 的亚高斯分布，这里 $e_i^{\pi }$ 是指 $E^{\pi }$ 的第 $i$ 行。
• 同态的相等判定 $Eq(C^{\pi },\sigma ):=\left({⊡}_{i\in [r]}{c}_{\sigma (i),i}^{\pi }\right)⊡G\in \mathcal{C}$，因为置换阵 $P_{\pi }$ 的 $p_{\pi (i),i}$ 都是 $1$，而其他的 entry 都是 $0$

对于同构于 ${\mathbb{Z}}_r$ 的循环置换子群 $C_r\subseteq S_r$，可以只对指示向量对应的那一列加密。对于 $x,y\in {\mathbb{Z}}_r$，密文 $C^x,C^y\in {\mathcal{C}}^r$，此时的计算复杂度降低了 $r$ 因子：

• 同态加法 $C^x\circ C^y:={\left({⊞}_{k\in [r]}\left(c_{r+i-k}^x⊡c_k^y\right)\right)}_i\in {\mathcal{C}}^r$，计算复杂度从 $O(r^3)$ 降低到了 $O(r^2)$
• 同态的相等判定 $Eq(C^x,v):=c_v^x\in \mathcal{C}$，计算复杂度从 $O(r)$ 降低到了 $O(1)$

类似的，由于同态乘法的非对称噪声增长，我们令算符 $\circ$ 也是右结合的（ right associative）。对于一个关于密文 $C_i,i=1,\cdots ,k$ 的复合链，
$$C\leftarrow \left({◯}_{i\in [k]}{C}_i\right)\circ J=C_1\circ (\cdots (C_k\circ J))\in {\mathcal{C}}^r$$

这里 $J\in {\mathcal{C}}^r$ 是零噪声的恒等置换 $I_r$ 的 HEPerm 密文（对角线 entry 是 $1\cdot G$，其他的 entry 都是 $0\cdot G$，将第一列作为指示向量的密文）。由于 $P^{\sigma }$ 是置换阵，因此 $C$ 的噪声矩阵的第 $i$ 行服从参数 $O(\Vert e_i\Vert )$ 的亚高斯分布，其中 $e_i\in {\mathcal{E}}^{kr}$ 是 $[E_1|\cdots |E_k]$ 的第 $i$ 行。

Bootstrapping

现在，我们可以使用 HEPerm 来对任意的 LWE 方案 执行自举了！

定义群嵌入（group embedding），
$$\varphi :({\mathbb{Z}}_q,+)\to (S:=\prod _{i=1}^t{S}_{r_i},\circ )$$

令 ${\varphi }_i$ 是它的第 $i$ 分量。我们为 HEPerm（或者说它的部件 GSW）选取一个足够大的模数 $Q\gg q$，以保证 Bootstrapping 之后的噪声比率很小。

令 LWE 的私钥是 $s\in {\mathbb{Z}}_q^d$，密文是二元向量 c ∈ { 0 , 1 } d c \in \{0,1\}^d c∈{ 0,1}d，解密函数为
$$Dec(s,c):=f(⟨s,c⟩)$$

其中 f : Z q → { 0 , 1 } f:\mathbb Z_q \to \{0,1\} f:Zq​→{ 0,1} 是某种解码函数。

令 $sk\leftarrow {\chi }^n$ 是 HEPerm 的对称秘钥，自举方案如下：

1. $BootGen(s,sk)$：将 $s$ 的每个分量 $s_j$ 嵌入到 $S$ 中，然后对每个 $S_{r_i}$ 上的置换 ${\varphi }_i(s_j)$ 用 HEPerm 加密，作为 bootstrapping key，
   b k : = { C i j ← H E P e r m . E n c ( s k , ϕ i ( s j ) ) ∈ C r i : i ∈ [ t ] , j ∈ [ d ] } bk := \{ C_{ij} \leftarrow HEPerm.Enc(sk,\phi_i(s_j)) \in \mathcal C^{r_i}: i \in [t], j \in [d] \} bk:={ Cij​←HEPerm.Enc(sk,ϕi​(sj​))∈Cri​:i∈[t],j∈[d]}

   由于 $t,r_i=O(\log \lambda )$ 且 $d=\tilde{O}(\lambda )$，因此 $bk\in {\left({\prod }_{i=1}^t{\mathcal{C}}^{r_i}\right)}^d$ 包含 $\tilde{O}(\lambda )$ 个 GSW 密文。

2. B o o t s t r a p ( b k , c ∈ { 0 , 1 } d ) Bootstrap(bk,c \in \{0,1\}^d) Bootstrap(bk,c∈{ 0,1}d)：

   • 内积运算，转化为 subset-sum，即 $⟨s,c⟩={\sum }_{j:c_j=1}{s}_j\in {\mathbb{Z}}_q$，在对称群 $S:={\prod }_{i=1}^t{S}_{r_i}$ 下的复合链为
     $$C_i\leftarrow \left({◯}_{j\in [d]s.t.c_j=1}{C}_{ij}\right)\circ J\in {\mathcal{C}}^{r_i}$$

     回顾下算符 $\circ$ 是右结合的，其中 $J\in {\mathcal{C}}^{r_i}$ 是恒等置换 $I_{r_i}$ 的无噪声 HEPerm 密文。

   • 解码运算，转化为 equality test，即 f ( x ) = ∑ v : f ( v ) = 1 [ x = v ] ∈ { 0 , 1 } f(x) = \sum_{v:f(v)=1} [x=v] \in \{0,1\} f(x)=∑v:f(v)=1​[x=v]∈{ 0,1}，在对称群 $S:={\prod }_{i=1}^t{S}_{r_i}$ 下的相等判定为
     $$C\leftarrow {⊞}_{v\in [q]s.t.f(v)=1}\left(\left({⊡}_{i\in [t]}Eq(C_i,{\varphi }_i(v))\right)⊡G\right)\in \mathcal{C}$$

     回顾下 $Eq(C^{\pi },\sigma )\in \mathcal{C}$，算符 $⊡$ 是右结合的，而 $G$ 是整数 $1$ 的无噪声 GSW 密文。

在自举之前，由于我们的 GSW 对密文格式有要求，因此需要对 LWE 密文做一些预处理，包括：维度约减、模约减、二进制分解。在自举结束后，选取 GSW 密文的倒数第二列作为 LWE 密文（GSW 密文就是由 LWE 密文组成的向量），并做密钥切换，从 $sk$ 下的 LWE 密文回到 $s$ 下的 LWE 密文。

FHEW

2015 年，Ducas 等人提出了 FHEW 方案。与上述的 HEPerm 相似，FHEW 采用一个与原始 LWE 方案不同的加密方案，构造出一个同态累加器（Homomorphic Accumulator），然后用它来 refresh 密文。另外，FHEW 还提出了一种新的 NAND 门，只需要用到加法同态，而不需要乘法同态，噪声增长率较低。

一个重要发现是，实现 Bootstrapping 根本不需要完整的比较电路（同态地比较加密的明文是否大于某个阈值 $q/2$ 以提取MSB信息），而只需要一个同态累加器，像AP14那样用一系列的判等操作来提取MSB，这就大大简化了自举的复杂度。

另外为了维持 NAND 门的输入密文形式，FHEW 使用的是 Gate Bootstrapping（而非 Circuit Bootstrapping），将NAND门输出的密文 refresh 为恰当的密文形式。

Notation

FHEW 定义了一个 randomized rounding 函数 $\chi :\mathbb{R}\to \mathbb{Z}$，对于任意的 $x\in \mathbb{R}$ 和任意的 $n\in \mathbb{Z}$，都有 $\chi (x+n)=\chi (x)+n$，其中 $\chi (x)-x$ 叫做 $\chi (x)$ 的 rounding error。不知道本人理解的对不对，$\chi (x)$ 是一族关于实数 $x$ 的噪声分布，对于每个固定的 $x$ 都有一个固定的分布 $\chi (x(\mathrm{mod}1))$；特别当 $x\in \mathbb{Z}$ 时，对应于 $\chi (0)$。

我们说实数域 $\mathbb{R}$ 上的随机变量 $X$ 是参数 $\alpha >0$ 的亚高斯（subgaussian），如果对于任意的 $t\in \mathbb{R}$ 都满足
$$E[\exp (2\pi tX)]\le exp(\pi {\alpha }^2{t}^2)$$

进一步地，它的尾部（tail）满足
$$Pr[|X|\ge t]\le 2\exp (-\pi t^2/{\alpha }^2),\forall t\ge 0$$

所有的 $B\text{ -}$ bounded 对称随机变量 $X$ 都是参数 $B\sqrt{2\pi }$ 的亚高斯。扩展到随机向量 $\mathbf{x}$，如果它的所有 one-dimensional marginals $⟨\mathbf{u},\mathbf{x}⟩$（其中 $\mathbf{u}$ 是单位向量）是参数 $\alpha$ 的亚高斯。扩展到随机矩阵 $\mathbf{X}$，如果它的所有 one-dimensional marginals ${\mathbf{u}}^{\mathbf{t}}\mathbf{Xv}$（其中 $\mathbf{u},\mathbf{v}$ 是单位向量）是参数 $\alpha$ 的亚高斯。

对于 $2$ 的幂次 $N$，${\Phi }_{2N}(X)=X^N+1$ 是分园多项式（cyclotomic

polynomial）。令 $R=\mathbb{Z}[X]/(X^N+1)$ 是分园环（cyclotomic ring），对应的商环 $R_q=R/qR$。对于 $a=a_0+a_{1}x+\cdots +a_{N-1}{x}^{N-1}\in R$，简记
$$\vec{a}:=\left[\begin{array}{c}{a}_0\\ a_1\\ ⋮\\ a_{N-1}\end{array}\right]\in {\mathbb{Z}}^N,\stackrel{\Rightarrow }{a}:=\left[\begin{array}{cccc}{a}_0& -a_{N-1}& \cdots & -a_1\\ a_1& a_0& \cdots & -a_2\\ ⋮& ⋮& \cdots & ⋮\\ a_{N-1}& a_{N-2}& \cdots & a_0\end{array}\right]\in {\mathbb{Z}}^{N\times N}$$

其实 $\stackrel{\Rightarrow }{a}\cdot \vec{b}=\overrightarrow{a\cdot b}$，这就是环 $R$ 上的多项式乘积罢了（文章中使用的全是矩阵乘，却不使用多项式乘积）。扩展到向量和矩阵，对于 $A\in R^{w\times k}$，令 $\stackrel{\Rightarrow }{A}\in {\mathbb{Z}}^{wN\times kN}$ 就是对于每个 entry 单独地应用 $\stackrel{\Rightarrow }{\cdot }$ 算符。我们说一个随机多项式 $a\in R$ 是亚高斯的，如果 $\vec{a}$ 是亚高斯的随机向量。

LWE Symmetric Encryption

我们描述一个基于 LWE 的对称加密方案，它可以用标准的转化技术得到非对称加密。秘钥 $s\in {\mathbb{Z}}_q^n,q=n^{O(1)}$，消息 $m\in {\mathbb{Z}}_t,t\ge 2$，随机园整函数满足 $|\chi (x)-x|<q/2t$

对称加密方案：

1. 加密，$LW{E}_s^{t/q}(m):=(a,\chi (as+mq/t)(\mathrm{mod}q))\in {\mathbb{Z}}_q^{n+1}$，其中 $a\in {\mathbb{Z}}_q^n$ 是均匀随机的
2. 解密，输入密文 $(a,b)$，输出 $m^{\prime }\leftarrow \lfloor t(b-as)/q\rceil (\mathrm{mod}t)\in {\mathbb{Z}}_t$

Modulus Switching，从模数 $Q$ 到模数 $q$ 的 (scaled) randomized rounding function $[\cdot {]}_{Q:q}:{\mathbb{Z}}_Q\to {\mathbb{Z}}_q$ 定义为
$$[x{]}_{Q:q}:=\lfloor qx/Q\rfloor +B$$

其中 B ∈ { 0 , 1 } B \in \{0,1\} B∈{ 0,1} 是服从 $Pr[B=1]=qx/Q-\lfloor qx/Q\rfloor$ 的二值分布，容易看出 $E([x{]}_{Q:q})=qx/Q$，并且园整错误 $[x{]}_{Q:q}-qx/Q$ 是参数 $\sqrt{2\pi }$ 的亚高斯。对于 $(a,b)\in LW{E}_z^{t/q}(m)$，计算模 $q$ 下的新密文
$$ModSwitch(a,b):=({\left([a_i{]}_{Q:q}\right)}_i,[b{]}_{Q:q})$$

Key Switching，设置 base 为 $B_{ks}$，从密钥 $z\in {\mathbb{Z}}_q^N$ 到密钥 $s\in {\mathbb{Z}}_q^N$ 的 switching key R : = { k i j v } \mathfrak R := \{k_{ijv}\} R:={ kijv​} 定义为
$$k_{ijv}\leftarrow LW{E}_s^{q/q}(v{z}_i{B}_{ks}^j),i=1,\cdots ,N,j=0,\cdots ,d_{ks}-1,v=0,\cdots ,B_{ks}-1$$

其中 $d_{ks}=\lceil {\log }_{B_{ks}}q\rceil$，并且 $t=q$ 使得 $k_{ijv}$ 是噪声比率为 $1/2$ 的 not typically decryptable 的密文。对于 $(a,b)\in LW{E}_z^{t/q}(m)$，首先做分解 $a_i={\sum }_j{a}_{ij}{B}_{ks}^j$，然后计算 $s$ 下的新密文
$$KeySwitch\left((a,b),\mathfrak{R}\right):=(0,b)-\sum _{i,j}{k}_{i,j,a_{ij}}$$

可以验证 $b^{\prime }=b-az+a^{\prime }s-E$，从而 $b^{\prime }-a^{\prime }s\approx b-az\approx mq/t$，前后两者加密了同一个明文。

NAND Gate

本文提出了一种新的 NAND 计算方式。思路是，用 $\mathbb{Z}$ 上的仿射变换来拟合 NAND 运算：

$m_0$	$m_1$	$m_0+m_1$	$\frac{5}{4}-\frac{1}{2}(m_0+m_1)$
$0$	$0$	$0$	$5/4$
$0$	$1$	$1$	$3/4$
$1$	$0$	$1$	$3/4$
$1$	$1$	$2$	$1/4$

只需要在就近取整，就可以得到 $m_0\bar{\wedge }{m}_1$ 的结果了。将明文空间 ${\mathbb{Z}}_t$ 设置为 $t=4$，并设置一个更小的错误界 $E=q/16$，那么对于 m i ∈ { 0 , 1 } m_i \in \{0,1\} mi​∈{ 0,1}，计算密文 $c_i\in LW{E}_s^{4/q}(m_i,q/16)$，另外计算无噪声密文 $(0,\frac{5q}{8})\in LW{E}_s^{2/q}(\frac{5}{4},0)$，并将 $LW{E}_s^{4/q}(m_i,q/16)$ 视为 $LW{E}_s^{2/q}(\frac{1}{2}{m}_i,q/16)$

计算 $m_0\bar{\wedge }{m}_1=1-m_0{m}_1=\lfloor \frac{5}{4}-\frac{1}{2}(m_0+m_1)\rceil$ 的同态与非门：
$$\begin{gathered} HomNAND:LW{E}_s^{4/q}(m_0,q/16)\times LW{E}_s^{4/q}(m_1,q/16)\to LW{E}_s^{2/q}(m_0\bar{\wedge }{m}_1,q/4) \\ (a,b)\leftarrow HomNAND((a_0,b_0),(a_1,b_1)):=(-a_0-a_1,\frac{5q}{8}-b_0-b_1) \end{gathered}$$

于是 NAND 门只需要同态加法，不需要采用同态乘法，因此输入密文的噪声界从以前的 $O(\sqrt{q})$ 扩大到了 $O(q)$。可以验证，
$$\begin{array}{rl}b-as& =\frac{5q}{8}-(b_0-a_{0}s)-(b_1-a_{1}s)\\ & =\frac{q}{2}\left(\frac{5}{4}-\frac{1}{2}(m_0+m_1)\right)-(e_0+e_1)\\ & =\frac{q}{2}\left(m_0\bar{\wedge }{m}_1\pm \frac{1}{4}\right)-(e_0+e_1)\\ & =\frac{q}{2}\left(m_0\bar{\wedge }{m}_1\right)\pm \frac{q}{8}-(e_0+e_1)\end{array}$$

噪声 $|\frac{q}{8}-(e_0+e_1)|<\frac{q}{8}+2\times \frac{q}{16}=\frac{q}{4}$，因此可以正确解密。

为了继续进行 NAND 运算，我们需要一个刷新函数：
$$Refresh:LW{E}_s^{2/q}(m,q/4)\to LW{E}_s^{4/q}(m,q/16)$$

这个函数就是 Bootstrapping 的作用，每次 NAND 计算后都立刻刷新密文，因此计算瓶颈在 Refresh 上。

Homomorphic Accumulator

FHEW 选取一个可以与 LWE 加密方案不同的另一个加密方案 $E(\cdot )$，要求它对于 $(a,b)\in LW{E}_s^{2/q}(m)$ 满足如下运算关系
$$\lfloor \frac{2}{q}(b-a\cdot E(s))\rceil (\mathrm{mod}2)=E(m)$$

关键是计算 $b-a\cdot E(s)=E(b-a\cdot s)$，这只是密文的同态数乘，可以被视为一些密文的加法。方案 $E$ 被用来构造同态累加器（Homomorphic Accumulator），它是一个算法四元组 $(E,Init,Incr,msbExtract)$，

• $E$：加密算法，密文空间 $\mathcal{C}$ 可以与 $LW{E}_s^{t/q}$ 不同。
• $Init$：初始化，$ACC\leftarrow Init(v_0)$ 简记为 $ACC\leftarrow v_0$
• $Incr$：同态累加（Increment），$ACC\leftarrow Incr(ACC,E(v_i))$ 简记为 $ACC\stackrel{+}{\leftarrow }E(v_i)$，其中 $i=1,\cdots ,l$
• $msbExtract$：提取 MSB，$c\leftarrow msbExtract(ACC)$

我们说这个同态累加器是 $\mathcal{E}\text{ - correct}$ 的，如果 $c\notin LW{E}_s^{t/q}({\sum }_i{v}_i,\mathcal{E}(l))$ 的概率可忽略。对于 $t=4$，要求 $\mathcal{E}(l)\le q/16$

然后利用上述的同态累加器，可以实现 refresh 函数。首先预计算 refreshing key K : = { K i j c } \mathcal K := \{K_{ijc}\} K:={ Kijc​}，
$$K_{ijc}:=E(c{s}_i{B}_r^j(\mathrm{mod}q)),i=1,\cdots ,n,j=0,\cdots ,d_r-1,c=0,\cdots ,B_r-1$$

其中 $d_r=\lceil {\log }_{B_r}q\rceil$，这儿的 LWE 密钥 $s\in {\mathbb{Z}}_q^n$ 的各个系数被 power 为 $(s_i{B}_r^j{)}_j$，然后枚举了所有的 $B_r$ 进制下的所有取值。由于 $Decompose(a_i)\cdot Power(s_i)=a_i\cdot s_i$，因此可以根据 $a_i={\sum }_j{a}_{ij}{B}_r^j$ 挑选出对应的 $K_{i,j,a_{ij}}$ 计算同态加法。

初始化 $b+q/4$，这使得循环末尾
$$v=q/4+b-a\cdot s=mq/2+(e+q/4)$$

由于 $|e|<q/4$，因此 $e^{\prime }=e+q/4\in (0,q/2)$，如果 $v\in (0,q/2)$ 那么 $m=0$，如果 $v\in (q/2,q)$ 那么 $m=1$，这就把提取 $b-as$ 的 MSB 转化为了测试 $v$ 的范围（与 HEPerm 类似）。

FHEW 使用 Ring-GSW 来实例化同态累加器。LWE 的模数 $q=2^k$，消息域大小 $t=4$。GSW 的模数 $Q$ 满足 $Q=B_g^{d_g}$，其中 base $B_g$ 是 $3$ 的幂次（这使得 $\forall K\ge 3,N=2^K,X^N+1=(X^{N/2}+X^{N/4}-1)(X^{N/2}-X^{N/4}-1)$，从而 $R_Q$ 几乎是一个域）。额外设置一个参数 $u=\lfloor Q/2t\rfloor$ 或者 $u=\lceil Q/2t\rceil$，它们在 ${\mathbb{Z}}_Q$ 中是可逆的，且误差 $|u-Q/2t|<1$。

设置环 $R=\mathbb{Z}[X]/(X^N+1)$，使得 $q\mid 2N$，那么它有 $q$ 次本原单位根 $Y:=X^{2N/q}$，因此 ${\mathbb{Z}}_q\cong ⟨Y⟩$ 是单位根循环群 $G=⟨X⟩\cong {\mathbb{Z}}_{2N}$ 的子循环群。消息 $m\in {\mathbb{Z}}_q$ 可以直接编码到指数上为 $Y^m\in R$，其向量表示为 { − 1 , 0 , 1 } N \{-1,0,1\}^N { −1,0,1}N 上的 one-hot 向量。为了提取 $m$ 的 MSB，我们构造一个 testing vector
t : = − ∑ v = 1 q / 2 − 1 Y ⃗ v ∈ { − 1 , 0 , 1 } N t := - \sum_{v=1}^{q/2-1} \vec Y^v \in \{-1,0,1\}^N t:=−v=1∑q/2−1​Y v∈{ −1,0,1}N

如果 $0\le m<N$ 那么 $t\cdot {\vec{Y}}^m=-1$，如果 $N\le m<2N$ 那么 $t\cdot {\vec{Y}}^m=+1$，这其实就是挨个测试了 $Eq(m,v),\forall MSB(v)=0$

FHEW 的基于 RGSW 的同态累加器：

由于 GSW 密文就是由 LWE 密文组成的向量，因此提取 MSB 对应的 LWE 密文，就是挑选出对应的列向量：

Refresh 的主要的计算量集中在累加阶段，可以用 FFT/NTT 来加速：