这篇文章主要介绍了CKKS算法的数学基础，并且基于这个基础讲了一下CKKS算法中的旋转操作。

一些记号

我们记整数环为 $\mathbb{Z}$ ，有理数环为 $\mathbb{Q}$ ，实数域为 $\mathbb{R}$ ，复数域为 $\mathbb{C}$ 。

对正整数 $m$ ，记 $\mathbb{Z}_{m}$ 为模 $m$ 剩余类。记 $\mathbb{Z}_{m}^{*}$ 为 $\mathbb{Z}_{m}$ 里有模乘法逆元的元素，则 $\mathbb{Z}_{m}^{*}$ 是乘法群。

$\mathbb{Z}_{m}^{*}$ 里的元素，都是一些和 $m$ 互素的元素，并且 $\left|\mathbb{Z}_{m}^{*}\right|=\phi(m)$ ，其中 $\phi$ 是欧拉计数函数， $\phi(m) = len(\{k: 1 \leq k \leq m, gcd(k, m) = 1\})$ 。

记 $\{0, \ldots, m-1\}, m > 0$ 。注意一个事儿： $\mathbb{Z}_{m}$ 和 $[m]$ 可不是一个东西啊！

单位原根和分圆多项式

单位根
$m$ 是正整数， $F$ 是域。如果 $\omega \in F, \omega^{m}=1$ ，那么 $\omega$ 叫做 $m$ 次单位根，等价于 $\omega$ 是 $X^{m}-1 \in F[X]$ 的根。如果没有比 $\omega$ 更小的 $m$ 次单位根，那么 $m$ 次单位根 $\omega$ 叫单位原根。

$\omega$ 是 $m$ 次单位根。那么，如果 $\equiv \ell(\bmod m)$ ，则 $\omega^{k}=\omega^{\ell}$ 。则可以引出 $m$ 次单位根的等价类。

$\omega$ 是 $m$ 次单位原根，则可以知道原根的构造：

单位根都可以写成 $\omega^{j}, j \in \mathbb{Z}_{m}$
单位原根都可以写成 $\omega^{j}, j \in \mathbb{Z}_{m}^*$

在复数域 $\mathbb{C}$ 上看这个事， $\omega:=e^{2 \pi \mathbf{i} / m} \in \mathbb{C}$ 是 $m$ 次单位原根。则多项式
$\Phi_{m}(X):=\prod_{j \in \mathbb{Z}_{m}^{*}}\left(X-\omega^{j}\right) \in \mathbb{C}[X]$
叫 $m$ 次分圆多项式。显然 $m$ 次分圆多项式首一且度为 $\phi(m)$ 。

几个结论：

$\Phi_{m}(X) \in \mathbb{Z}[X]$
$\Phi_{m}(X)$ 在 $\mathbb{Q}$ 上不可约。
$X^{m}-1=\prod_{d \mid m} \Phi_{d}(X)$

第三个结论给了 $\Phi_{m}(X)$ 的迭代形式。 $\Phi_{1}(X)=X-1$ 。对于 $m > 1$ ，有

$\Phi_{m}(X)=\frac{X^{m}-1}{\prod_{ {d \mid m , d<m}} \Phi_{d}(X)}$

分圆环 $\mathcal{A}, \mathcal{A}_{q}, \mathcal{A}_{\mathbb{Q}}$ , $\mathcal{A}_{\mathbb{R}}$

$m > 1$ 为整数。记 $\Phi_{m}(X) \in \mathbb{Z}[X]$ 为 $m$ 阶分圆多项式。
我们将要考虑商环 $\mathcal{A}:=\mathbb{Z}[X] /\left(\Phi_{m}(X)\right)$ ，即整系数多项式环模 $\Phi_{m}(X)$ .

$m > 1$ 为整数。考虑商环 $\mathcal{A}_{q}=\mathbb{Z}_{q}[X] /\left(\bar{\Phi}_{m}(X)\right)$ ，其中 $\bar{\Phi}_{m}(X)$ 是 $\Phi_{m}(X)$ 塞到 $\mathbb{Z}_{q}[X]$ 里的像，即把 $\Phi_{m}(X)$ 的系数在 $\mathbb{Z}_{q}$ 里取模。

有时假设 $q$ 和 $m$ 互素。此时， $X^{m}-1$ 在 $\overline{\mathbb{Z}}_{q}$ 上有 $m$ 个不同的根，其中 $\overline{\mathbb{Z}}_{q}$ 是 $\mathbb{Z}_{q}$ 的代数闭包，此时 $\bar{\Phi}_{m}(X) \in \mathbb{Z}_{q}[X]$ 同理，在 $\overline{\mathbb{Z}}_{q}$ 有 $\phi(m)$ 个不同的 $m$ 次原根。

有时也会考虑 $\mathcal{A}_{\mathbb{Q}}:=\mathbb{Q}[X] /\left(\Phi_{m}(X)\right)$ 、 $\mathcal{A}_{\mathbb{R}}:=\mathbb{R}[X] /\left(\Phi_{m}(X)\right)$ . 和 $\mathcal{A}$ 类似。只不过把系数一换。

自然(canonical)嵌入和相关的无穷范数

$\omega:=e^{2 \pi \mathbf{i} / m} \in \mathbb{C}$ 是 $m$ 次单位原根，也是 $\Phi_{m}(X)$ 的根。
考虑两个多项式 $\in \mathbb{Z}[X]$ ，使得 $\equiv g(X)\left(\bmod \Phi_{m}(X)\right)$ 。

再考虑 $\omega^{j}$ , $\in \mathbb{Z}_{m}^{*}$ ，则 $\omega^{j}$ 是 $\Phi_{m}(X)$ 的根，则必有 $f\left(\omega^{j}\right)=g\left(\omega^{j}\right)$ 。这就有了一个等价类。不妨找个代表元 $\boldsymbol{a}$ ，使得 $\boldsymbol{a}\left(\omega^{j}\right):=f\left(\omega^{j}\right)$ 。

那么 $\boldsymbol a \in \mathcal{A}$ 就是多项式（函数） $a$ 在所有单位原根下的（函数）值。可以把这个映射过程写作（注意，这个 $j$ 是有序的！）：
$\operatorname{canon}(\boldsymbol{a}):=\left(\boldsymbol{a}\left(\omega^{j}\right)\right)_{j \in \mathbb{Z}_{m}^{*}}$
定义无穷范数：
$\|\boldsymbol{a}\|:=\|\operatorname{canon}(\boldsymbol{a})\|_{\infty}$
i.e.
$\|\boldsymbol{a}\|=\max \left\{\left|\boldsymbol{a}\left(\omega^{j}\right)\right|: j \in \mathbb{Z}_{m}^{*}\right\},$
这个东西 $\|\cdot\|$ 叫自然范数。

范数的几样性质：正定、齐次、三角不等式，这里还有次乘性：

$\|\boldsymbol{a}+\boldsymbol{b}\| \leq\|\boldsymbol{a}\|+\|\boldsymbol{b}\|$ ， $\forall \boldsymbol{a}, \boldsymbol{b} \in \mathcal{A}$ （三角不等式）
$\|c \boldsymbol{a}\|=|c|\|\boldsymbol{a}\|$ ， $\forall \boldsymbol{a} \in \mathcal{A}, c \in \mathbb{Z}$ （齐次）
$\|a b\| \leq\|a\|\|b\|$ ， $\forall \boldsymbol{a}, \boldsymbol{b} \in \mathcal{A}$ 。（次乘）

在 $\mathcal{A}_{\mathbb{Q}}$ 或 $\mathcal{A}_{\mathbb{R}}$ 上有类似的结论。以后就用 $\|\boldsymbol{a}\|=\|$ canon $(\boldsymbol{a}) \|_{\infty}$ 来指代 $\mathcal{A}_{\mathbb{Q}}$ 或 $\mathcal{A}_{\mathbb{R}}$ 中 $\boldsymbol{a}$ 的范数。

标准 & powerful基

下面需要先做一个符号上的区分：

符号（变量） $X$ 和这玩意在 $\Phi_{m}(X)$ 上的像 $\boldsymbol{x}:=$ $\left[X \bmod \Phi_{m}(X)\right]$ ，其中 $\boldsymbol x \in \mathcal{A}=\mathbb{Z}[X] /\left(\Phi_{m}(X)\right)$ 。

实际上， $\mathcal{A}$ 也可以写成 $\mathcal{A}=\{f(\boldsymbol{x}): f(X) \in \mathbb{Z}[X]\}$ 。

$\boldsymbol{x} \in \mathcal{A}$ 满足 $\Phi_{m}(\boldsymbol{x})=0$ （因为模都给你模完了）。此外， $\mathcal{A}$ 中每个元素均可唯一表示成 $f(\boldsymbol{x})$ ，其中 $\in \mathbb{Z}[X]$ 的度数小于 $\phi(m)$ 。

立即推出对于任意的 $\boldsymbol{a} \in \mathcal{A}$ 都可以唯一地表示成：
$\boldsymbol{a}=\sum_{i \in[\phi(m)]} a_{i} \boldsymbol{x}^{i} .$
于是
$\left\{\boldsymbol{x}^{i}\right\}_{i \in[\phi(m)]}$
构成了 $\mathcal{A}$ 的一个 $\mathbb{Z}$ -基底，称为 $\mathcal{A}$ 的标准基底。

设 $m=m_{1} \cdots m_{k}$ 是 $m$ 的素分解。考虑一个新的商环
$\mathcal{B}:=\mathbb{Z}\left[Y_{1}, \ldots, Y_{k}\right] /\left(\Phi_{m_{1}}\left(Y_{1}\right), \ldots, \Phi_{m_{k}}\left(Y_{k}\right)\right)$

对于 $\ldots, k$ , 记 $\boldsymbol{y}_{t}$ 为 $Y_{t}$ 在 $\mathcal{B}$ 的像。于是有 $\mathcal{B}=\mathbb{Z}\left[\boldsymbol{y}_{1}, \ldots, \boldsymbol{y}_{k}\right]$ . 那么，每个 $\mathcal{B}$ 中元可以唯一写成 $g\left(\boldsymbol{y}_{1}, \ldots, \boldsymbol{y}_{k}\right)$ 的形式，其中 $g\left(Y_{1}, \ldots, Y_{k}\right) \in \mathbb{Z}\left[Y_{1}, \ldots, Y_{k}\right]$ ，其中 $Y_{t}$ 的度数小于 $\phi\left(m_{t}\right)$ for $\ldots, k$ 。则
$\left\{\boldsymbol{y}_{1}^{i_{1}} \cdots \boldsymbol{y}_{k}^{i_{k}}\right\}_{i_{1} \in\left[\phi\left(m_{1}\right)\right], \ldots, i_{k} \in\left[\phi\left(m_{k}\right)\right]}$
构成 $\mathcal{B}$ 的 $\mathbb{Z}$ -基底。

环 $\mathcal{A}$ 和 $\mathcal{B}$ 实际上是同构的。记 $\boldsymbol{x}_{t}:=\boldsymbol{x}^{m / m_{t}} \in \mathcal{A}$ ， $\ldots, k$ . 则有从 $g\left(\boldsymbol{y}_{1}, \ldots, \boldsymbol{y}_{k}\right) \in \mathcal{B}$ 到 $g\left(\boldsymbol{x}_{1}, \ldots, \boldsymbol{x}_{k}\right) \in \mathcal{A}$ ， $g\left(Y_{1}, \ldots, Y_{k}\right) \in \mathbb{Z}\left[Y_{1}, \ldots, Y_{k}\right]$ 的同构映射。

这个同构映射为 $\mathcal{A}$ 定义了另一个 $\mathbb{Z}$ -基底：
$\left\{\boldsymbol{x}_{1}^{i_{1}} \cdots \boldsymbol{x}_{k}^{i_{k}}\right\}_{i_{1} \in\left[\phi\left(m_{1}\right)\right], \ldots, i_{k} \in\left[\phi\left(m_{k}\right)\right]} .$
叫它 $\mathcal{A}$ 的 powerful basis。

除了基于规范嵌入的范数之外， $\mathcal{A}$ 上其他的范数可以根据上述基底定义。

Galois自同构

记 $\mathcal{A}=\mathbb{Z}[X] /\left(\Phi_{m}(X)\right)$ ，然后 $\mathcal{A}=\mathbb{Z}[\boldsymbol{x}]$ ，其中 $\boldsymbol{x}:=\left[X \bmod \Phi_{m}(X)\right]$ 是未定元 $X$ 在 $\mathcal{A}$ 中的像。

对于 $\in \mathbb{Z}_{m}^{*}$ ，第 $j$ 个 Galois自同构 $\theta_{j}$ 是环同构：
$\begin{aligned} \theta_{j}: \mathcal{A} & \longrightarrow \mathcal{A} \\ f(\boldsymbol{x}) & \longmapsto f\left(\boldsymbol{x}^{j}\right) \quad(\text { for } f(X) \in \mathbb{Z}[X]) \end{aligned}$
$\theta_{j}$ 是well-defined，因为在 $\mathbb{Z}[X]$ 上， $\Phi_{m}\left(X^{j}\right)$ 可被 $\Phi_{m}(X)$ 整除。考虑它们的根，如果 $\omega:=e^{2 \pi i} / m \in \mathbb{C}$ 是原根, 那么 $\omega^{j}$ 也是。所以 $\omega$ 是 $\Phi_{m}\left(X^{j}\right)$ 的根。又因为 $\Phi_{m}(X)$ 的最小性，所以 $\Phi_{m}\left(X^{j}\right)$ 可被 $\Phi_{m}(X)$ 整除。此即若 $f(\boldsymbol{x})=g(\boldsymbol{x})$ ，则 $f\left(\boldsymbol{x}^{j}\right)=g\left(\boldsymbol{x}^{j}\right)$ ，良定性得证。

对于 $j^{\prime} \in \mathbb{Z}_{m}^{*}$ ，有
$\theta_{j} \circ \theta_{j^{\prime}}=\theta_{j j^{\prime}}=\theta_{j^{\prime}} \circ \theta_{j}$
若 $j^{\prime}=j^{-1} \in \mathbb{Z}_{m}^{*}$ ，则 $\theta_{j^{\prime}}$ 是 $\theta_{j}$ 的逆，于是 $\theta_{j}$ 是双射。

对任意 $\boldsymbol{a} \in \mathcal{A}$ ，可以注意到 $\operatorname{canon}\left(\theta_{j}(\boldsymbol{a})\right)$ 就是 canon $(\boldsymbol{a})$ 的置换，因此 $\left\|\theta_{j}(\boldsymbol{a})\right\|=\|\boldsymbol{a}\|$ .

$\mathcal{A}_{q}、 \mathcal{A}_{\mathbb{Q}}$ 和 $\mathcal{A}_{\mathbb{R}}$ 上的Galois自同构同理可得。

明文上的一些代数学

回忆一下我写过的CKKS文章，消息叫做message（是向量或者矩阵），明文叫做plaintext（是多项式），密文叫做ciphertext（是一对多项式）。

记 $\mathcal{A}=\mathbb{Z}[X] /\left(\Phi_{m}(X)\right)$ 。于是CKKS中的明文可以被视为环 $\mathcal{A}_{P}$ 的元素，其中 $P=p^{r}$ 是素数的幂，且 $p$ 不整除 $m$ 。

环 $\mathcal{A}_{P}$ 实际上是一个 $\mathbb{Z}_{P}$ -代数（有加法和乘法的线性空间），意味着在这个环里有一个 $\mathbb{Z}_{P}$ 的同构拷贝作为子环。

首先考虑一下 $r = 1$ 的情况，于是 $P = p$ 是素数， $\mathbb{Z}_{p}$ 是一个域。

此时 $\mathcal{A}_{p}$ 是一个 $\mathbb{Z}_{p}$ -代数并且包含域 $\mathbb{Z}_{p}$ 作为子域，所以可以自然地把 $\mathcal{A}_{p}$ 看成 $\mathbb{Z}_{p}$ 下的向量空间。

下面先回忆一下 $\mathcal{A}_{p}$ 的定义， $\mathcal{A}_{p}=\mathbb{Z}_{p}[X] /\left(\bar{\Phi}_{m}(X)\right)$ ，其中 $\bar{\Phi}_{m}(X)$ 是分圆多项式 $\Phi_{m}(X)$ 的系数模 $p$ 的结果，是 $\mathbb{Z}_{p}[X]$ 的元素。我们假设 $p$ 不整除 $m$ 。

我们还定义了 $\boldsymbol{x}:=\left[X \bmod \bar{\Phi}_{m}(X)\right]$ , 于是 $\mathcal{A}_{p}=\mathbb{Z}_{p}[\boldsymbol{x}]$ , 意味着对 $\mathcal{A}_{p}$ 中的所有元素，都有一个 $\in \mathbb{Z}_{p}[X]$ 和它对应。

一些常见结论：

把多项式 $\bar{\Phi}_{m}(X) \in \mathbb{Z}_{p}[X]$ 完全因式分解成
$\bar{\Phi}_{m}(X)=F_{1}(X) \cdots F_{n}(X)$
其中 $F_{i}(X) \in \mathbb{Z}_{p}[X]$ 是不同的不可约多项式，每个多项式都有度数 $d$ ；于是 $\phi(m)=n d$ .
$d$ 是 $p$ 模 $m$ 的阶数，此即 $d$ 是 $p^{d} \equiv 1(\bmod m)$ 成立的最小整数。

于是由中国剩余定理的多项式版本，可以搞出来一个 $\mathbb{Z}_{p}$ -代数的同构
$\begin{aligned} \mathcal{A}_{p} & \longrightarrow \mathbb{Z}_{p}[X] /\left(F_{1}(X)\right) \times \cdots \times \mathbb{Z}_{p}[X] /\left(F_{n}(X)\right) \\ f(\boldsymbol{x}) & \longmapsto\left(\left[f(X) \bmod F_{1}(X)\right], \ldots,\left[f(X) \bmod F_{n}(X)\right]\right) \quad\left(\text { for } f(X) \in \mathbb{Z}_{p}[X]\right) \end{aligned}$

还可以这么看 $\mathcal{A} = \mathbb{Z}_{p}[X]/\Phi_{m}(X)$ 。记 $E=\mathbb{Z}_{p}[X] /\left(F_{1}(X)\right)$ 。则可以在 $\bar{\Phi}_{m}(X)$ 里的不可约因子里任选一个 $F_{1}(X)$ 。记 $\eta:=\left[X \bmod F_{1}(X)\right] \in$ $E$ 。

现在 $F_{1}(X)$ 不可约，则 $E$ 是一个基数为 $p^{d}$ 的有限域。我们也有 $E=\mathbb{Z}_{p}[\eta]$ ，意味着 $E$ 中每个元素都可以写成 $f(\eta)$ 的形式，其中 $\in \mathbb{Z}_{p}[X]$ 。这样 $\mathbb{Z}_{p}$ 自然成了 $E$ 的子域。根据定义， $\eta$ 是 $F_{1}(X)$ 的根， $\eta \in E$ 也是 $m$ 次单位原根。

现在考虑群 $\mathbb{Z}_{m}^{*}$ 。易知 $\bar{\Phi}_{m}(X)$ 在 $E$ 上有 $\phi(m)$ 个根 $\eta^{j}$ for $\in \mathbb{Z}_{m}^{*}$ 。因此这 $\phi(m)$ 个根需要被分配到 $\bar{\Phi}_{m}(X)$ 的不可约因子上。于是，每个不可约因子 $F_{i}(X)$ 在 $E$ 上都有 $d$ 个根。

上面说的这些个根是怎么分配的呢？考虑由 $\bar{p}:=[p \bmod m] \in \mathbb{Z}_{m}^{*}$ 生成的 $\mathbb{Z}_{m}^{*}$ 的乘法子群 $H$ 。这个子群有 $d$ 个不同元素 $\overline{1}, \bar{p}, \ldots, \bar{p}^{d-1}$ 。考虑商群 $\mathbb{Z}_{m}^{*} / H$ ，有 $n=\phi(m) / d$ 个不同的陪集，每个陪集长这样：

$H=\{k h: h \in H\} \subseteq \mathbb{Z}_{m}^{*}$
$k$ 是陪集代表。

现在从每个陪集里面找一个代表，得到一串数 $k_{1}, \ldots, k_{n} \in \mathbb{Z}_{m}^{*}$ 。则 $H$ 在 $\mathbb{Z}_{m}^{*}$ 里的所有陪集是：
$k_{1} H, \ldots, k_{n} H \text {. }$
每个 $\mathbb{Z}_{m}^{*}$ 中的元素都在一个陪集中。

下面我们要把多项式域的结果扔到向量空间上了。首先看一个结果：

对于任意的代表集 $k_{1}, \ldots, k_{n} \in \mathbb{Z}_{m}^{*}$ of $H$ in $\mathbb{Z}_{m}^{*}$ , 可以把它组织成下面的形式，使得对 $\ldots, n$ ，多项式 $F_{i}(X)$ 在 $E$ 上有 $d$ 个根，即 $\eta^{k}$ for $\in k_{i} H$ .

因此，对 $\ldots, n$ 我们都有 $\mathbb{Z}_{p}$ -代数的同构：
$\begin{aligned} \mathbb{Z}_{p}[X] /\left(F_{i}(X)\right) & \longrightarrow E \\ {\left[f(X) \bmod F_{i}(X)\right] } & \longmapsto f\left(\eta^{k_{i}}\right) \quad\left(\text { for } f(X) \in \mathbb{Z}_{p}[X]\right) . \end{aligned}$

因为 $E$ 中每个元素都可以写成 $f(\eta)$ 的形式，其中 $\in \mathbb{Z}_{p}[X]$ 。于是有 $\mathbb{Z}_{p}$ -代数的同构：

$\begin{aligned} \mathcal{A}_{p} & \longrightarrow E^{n} \\ f(\boldsymbol{x}) & \longmapsto\left(f\left(\eta^{k_{1}}\right), \ldots, f\left(\eta^{k_{n}}\right)\right) \quad\left(\text { for } f(X) \in \mathbb{Z}_{p}[X]\right) . \end{aligned}$
我们不妨称 $E$ 为槽(slot)代数。 $\mathcal{A}_{p} \longrightarrow E^{n}$ 这个自同构允许我们在 $E^{n}$ 做逐元素的加法和乘法，并且可以对应到 $\mathcal{A}_{p}$ 上。

比如 $\boldsymbol{a} \in \mathcal{A}_{p}$ 对应 $\left(\alpha_{1}, \ldots, \alpha_{n}\right) \in E^{n}$ ， $\boldsymbol{b} \in \mathcal{A}_{p}$ 对应 $\left(\beta_{1}, \ldots, \beta_{n}\right) \in E^{n}$ ，则 $\boldsymbol{a}+\boldsymbol{b}$ 对应 $\left(\alpha_{1}+\beta_{1}, \ldots, \alpha_{n}+\beta_{n}\right) \in E^{n}$ ， $\boldsymbol{a} \cdot \boldsymbol{b}$ 对应 $\left(\alpha_{1} \cdot \beta_{1}, \ldots, \alpha_{n} \cdot \beta_{n}\right) \in$ $E^{n}$ .

在计算上实现这个自同构也比较简单。

Galois自同构和向量内数据的移动

有了 $\mathcal{A}_{p} \longrightarrow E^{n}$ 这个自同构，我们就可以对向量（或者说多项式），弄一些SIMD操作。但是，在向量内部移动数据也是有用的一批。这个事可以通过上一篇文章介绍的 $\mathcal{A}_{p}$ 上的Galois自同构实现。

回忆杀：对于 $\in \mathbb{Z}_{m}^{*}$ ，第 $j$ 个 Galois 自同构 $\theta_{j}$ 是 $\mathbb{Z}_{p}$ -代数的自同构：
$\begin{aligned} \theta_{j}: \mathcal{A}_{p} & \longrightarrow \mathcal{A}_{p} \\ f(\boldsymbol{x}) & \longmapsto f\left(\boldsymbol{x}^{j}\right) \quad\left(\text { for } f(X) \in \mathbb{Z}_{p}[X]\right) \end{aligned}$
由 $\mathcal{A}_{p} \longrightarrow E^{n}$ 这个自同构
$f(\boldsymbol{x}) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{k_{1}}\right), \ldots, f\left(\eta^{k_{n}}\right)\right) \in E^{n}$
我们可以得到
$\theta_{j}(f(\boldsymbol{x})) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{j k_{1}}\right), \ldots, f\left(\eta^{j k_{n}}\right)\right) \in E^{n}$
因此， $\theta_{j}$ 在向量上做的置换比较特殊。通过精心选取 $k_{1}, \ldots, k_{n}$ 就可以用特定的Galois自同构来做一些有用的映射。

Frobenius自同构

映射
$\begin{aligned} \sigma: \quad E & \longrightarrow E \\ f(\eta) & \longmapsto f\left(\eta^{p}\right) \quad\left(\text { for } f(X) \in \mathbb{Z}_{p}[X]\right) . \end{aligned}$
是 $\mathbb{Z}_{p}$ -代数的自同构，称为 Frobenius自同构。Frobenius自同构在有限域中十分重要。

一个结论是， $\forall \alpha \in E$ 有 $\sigma(\alpha)=\alpha^{p}$ .

另一个结论是 $\forall \alpha \in E$ 有
$\alpha \in \mathbb{Z}_{p} \Longleftrightarrow \sigma(\alpha)=\alpha .$
在自同构 $\mathcal{A}_{p} \longrightarrow E^{n}$
$f(\boldsymbol{x}) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{k_{1}}\right), \ldots, f\left(\eta^{k_{n}}\right)\right) \in E^{n}$
下，我们有
$\theta_{\bar{p}}(f(\boldsymbol{x})) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{p k_{1}}\right), \ldots, f\left(\eta^{p k_{n}}\right)\right)=\left(\sigma\left(f\left(\eta^{k_{1}}\right)\right), \ldots, \sigma\left(f\left(\eta^{k_{n}}\right)\right)\right) \in E^{n},$
其中 $\bar{p}=[p \bmod m] \in \mathbb{Z}_{m}^{*}$ 。因此，映射 $\theta_{\bar{p}}$ 是逐元素的。

在超方体(hypercube)上做旋转

我们已经知道自同构 $\theta_{\bar{p}}$ 做了一个Frobenius映射，映射到向量中每一个元素上，但是目前为止这个映射并没有完成类似于CKKS的旋转操作。现在我们看一下怎么用 $\theta_{j}$ 做旋转。

首先是一些简单的例子：

一维旋转（！！！！！！！！！！！！）

设 $\in \mathbb{Z}_{m}^{*}$ 并且假设 $g^{2}, \ldots, g^{n-1}$ 是 $H$ 在 $\mathbb{Z}_{m}^{*}$ 上的所有的陪集代表。. 那么必然有 $g^{n} \in H$ 。

为什么？注意到对于某个 $\in\{0, \ldots, n-1\}$ 和某个 $\in H$ ，必有 $g^{n}=g^{e} h$ 。此外，必有 $e = 0$ ，否则 $g^{n-e} \in H$ ，意味着两个不同的陪集代表在 $H$ 里，而这不可能。所以有 $g^{n}=h \in H$ 。

假设 $g^{n}=1$ ，则对于自同构 $\mathcal{A}_{p} \longrightarrow E^{n}$ ，我们用上 $\mathbb{Z}_{m}^{*}$ 中所有的 $H$ 的陪集代表 $\ldots, g^{n-1} \in \mathbb{Z}_{m}^{*}$ ，于是有：
$f(\boldsymbol{x}) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{1}\right), f\left(\eta^{g}\right), \ldots, f\left(\eta^{g^{n-2}}\right), f\left(\eta^{g^{n-1}}\right)\right) \in E^{n}$
做映射 $\theta_{g}$ 便有：
$\theta_{g}(f(\boldsymbol{x})) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{g}\right), f\left(\eta^{g^{2}}\right), \ldots, f\left(\eta^{g^{n-1}}\right), f\left(\eta^{g^{n}}\right)\right) \in E^{n}$
由于我们假设了 $g^{n}=1$ ，所以
$\theta_{g}(f(\boldsymbol{x})) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{g}\right), f\left(\eta^{g^{2}}\right), \ldots, f\left(\eta^{g^{n-1}}\right), f\left(\eta^{1}\right)\right) \in E^{n}$
于是我们最终做到了旋转这件事。

对于 $\ldots, n-1$ ，做映射 $\theta_{g^{e}}$ 可以做到“向左”旋转 $e$ 位。

现在假设 $g^{n} \in H$ ，但是 $g^{n} \neq 1$ 。这意味着 $g^{n}=\bar{p}^{s} \in \mathbb{Z}_{m}^{*}$ ，其中 $\in\{1, \ldots, d-1\}$ 。此时我们有：
$\theta_{g}(f(\boldsymbol{x})) \in \mathcal{A}_{p} \longleftrightarrow\left(f\left(\eta^{g}\right), f\left(\eta^{g^{2}}\right), \ldots, f\left(\eta^{g^{n-1}}\right), \sigma^{s}\left(f\left(\eta^{1}\right)\right)\right) \in E^{n} .$
于是对向量 $\boldsymbol{a}$ 做 $\theta_{g}$ 确实是旋转了，但是在最后一个地方加了点扰动（伪旋转）。

更一般的结论是，对于 $\ldots, n-1$ ，映射 $\theta_{g^{e}}$ 向左旋转了 $e$ 位，同时把最后的 $e$ 位扰动了。向右旋转同理。

如果向量里真有不在 $\mathbb{Z}_{p}$ 里的元素的话，我们仍然可以做旋转。如下所示：

对于 $\boldsymbol{a} \in \mathcal{A}_{p}$ ，我们可以用一个掩码 $\boldsymbol{M}_{e}$ ，它对应的是
$\boldsymbol{M}_{e} \in \mathcal{A}_{p} \longleftrightarrow(\underbrace{1, \ldots, 1}_{n-e 1^{\prime} \mathrm{s}}, \underbrace{0, \ldots, 0}_{e 0 ' s}) \in E^{n} .$
我们也有
$1-\boldsymbol{M}_{e} \in \mathcal{A}_{p} \longleftrightarrow(\underbrace{0, \ldots, 0}_{n-e 0^{\prime} s}, \underbrace{1, \ldots, 1}_{e 1^{\prime} s}) \in E^{n}$

如果
$\boldsymbol a \in \mathcal{A}_{p} \longleftrightarrow\left(\alpha_{0}, \ldots, \alpha_{n-1}\right) \in E^{n}$
那么
$M_{e} \cdot \theta_{g^{e}}(\boldsymbol{a}) \in \mathcal{A}_{p} \longleftrightarrow(\alpha_{e}, \ldots, \alpha_{n-1}, \underbrace{0, \ldots, 0}_{e 0 ' s}) \in E^{n}$
并且
$\left(1-\boldsymbol{M}_{e}\right) \cdot \theta_{g^{e-n}}(\boldsymbol{a}) \in \mathcal{A}_{p} \longleftrightarrow(\underbrace{0, \ldots, 0}_{n-e 0^{\prime} s}, \alpha_{0}, \ldots, \alpha_{e-1}) \in E^{n}$
于是有
$M_{e} \cdot \theta_{g^{e}}(\boldsymbol{a})+\left(1-M_{e}\right) \cdot \theta_{g^{e-n}}(\boldsymbol{a}) .$

它便是旋转的结果。

更高效的做法是这样：
$\theta_{g^{*}}\left(\left(1-\boldsymbol{M}_{n-e}\right) \cdot \boldsymbol{a}\right)+\theta_{g^{k-n}}\left(\boldsymbol{M}_{n-e} \cdot \boldsymbol{a}\right)$

同态加密：CKKS原理之旋转（Rotation）

一些记号

单位原根和分圆多项式

分圆环 $\mathcal{A}, \mathcal{A}_{q}, \mathcal{A}_{\mathbb{Q}}$ , $\mathcal{A}_{\mathbb{R}}$

自然(canonical)嵌入和相关的无穷范数

标准 & powerful基

Galois自同构

明文上的一些代数学

Galois自同构和向量内数据的移动

Frobenius自同构

在超方体(hypercube)上做旋转

一维旋转（！！！！！！！！！！！！）

猜你喜欢

同态加密：CKKS原理之旋转（Rotation）

一些记号

单位原根和分圆多项式

分圆环 A , A q , A Q \mathcal{A}, \mathcal{A}_{q}, \mathcal{A}_{\mathbb{Q}} A,Aq​,AQ​, A R \mathcal{A}_{\mathbb{R}} AR​

自然(canonical)嵌入和相关的无穷范数

标准 & powerful基

Galois自同构

明文上的一些代数学

Galois自同构和向量内数据的移动

Frobenius自同构

在超方体(hypercube)上做旋转

一维旋转（！！！！！！！！！！！！）

猜你喜欢

分圆环 $\mathcal{A}, \mathcal{A}_{q}, \mathcal{A}_{\mathbb{Q}}$ , $\mathcal{A}_{\mathbb{R}}$