ベイビーステップ ジャイアントステップ＆amp;準同型 DFT

参考文献:

1. [CT65] Cooley J W、Tukey J W. 複素フーリエ級数の機械計算用アルゴリズム [J]。計算の数学、1965、19(90): 297-301。
2. [Shoup95] Shoup V. 新しい多項式因数分解アルゴリズムとその実装[J]。記号計算ジャーナル、1995、20(4): 363-397。
3. [HS14] Halevi S、Shoup V. helib のアルゴリズム[C]//暗号学の進歩 – CRYPTO 2014: 第 34 回年次暗号会議、米国カリフォルニア州サンタバーバラ、2014 年 8 月 17 ～ 21 日、議事録、パート I 34. Springerベルリン ハイデルベルク、2014: 554-571。
4. [CHKKS18] Cheon J H、Han K、Kim A 他近似準同型暗号化のためのブートストラッピング[C]//暗号学の進歩 – EUROCRYPT 2018: 暗号技術の理論と応用に関する第 37 回年次国際会議、イスラエル、テルアビブ、2018 年 4 月 29 日から 5 月 3 日まで議事録、パート I 37. Springer International出版、2018: 360-384。
5. [CHH18] Cheon J H、Han K、Hhan M。 より高速な準同型離散フーリエ変換とブートストラップの改良 [J]。暗号学 ePrint アーカイブ、2018 年。
6. [HHC19] Han K、Hhan M、Cheon J H. 準同型離散フーリエ変換とブートストラップを改良しました [J]。 IEEE Access、2019、7: 57361-57370。
7. Nussbaumer 変換および償却済み FHEW ブートストラップ
8. キメラ: ハイブリッド RLWE-FHE スキーム
9. クイック掛け算テクニック: カラツバ、トゥーム、グッド、シェーンハーゲ、ストラッセン、ヌスバウマー
10. パターソン・ストックマイヤー多項式評価アルゴリズム

ベイビーステップ ジャイアントステップ

ショップ95

記事 [Shoup95] では、一変量多項式を既約因数に分解するための BSGS 因数分解法を研究および実装しています。 CRT と FFT は多項式の表現に使用され (GHS12 の Doube-CRT よりも古い)、高速な乗算、除算、逆算、二乗、GCD およびその他の多項式演算が実装されています。

多項式分解は 3 つのステップに分けることができます。

1. square-free factorization：将多项式分解为 $f={\prod }_i{f}_i$，其中的 $f_i$正方形は無料です
2. 個別次数因数分解: 自由平方多項式を$f_i={\prod }_j{f}_{i、j}$，其中的 $f_{i、j}$ はある程度です $j$
3. 等次数分解: 既約因数は同じ次数の正方自由多項式です$f_{i、j}$、これらの既約多項式に分解されます。

主要なステップはステップ 2 に集中しています。[Shoup95] は次の事実を観察しました。$a、b\in {と}^{+}$，多项式 $h_{a、b}\left(x\right)={バツ}^{p^{ある}}-{バツ}^{p^b}\in GF(p)[x]$ 以所有的满足 $\mathrm{中g}f|(a-b)$ 的不可约多项式 $f$ 为因式。

$\mathrm{中g}f\le n$ の自由平方多項式の真の因子次数は $n/2$、不等式 $f_d、1\le d\le n$ 是它的全部 $d$ 倍の既約因数の積。すべての $1\le ある-b\le n$，计算出 $h_{a、b}\left(x\right)$，再设计 $\gcd (h_{a、b}、f)$ 从而获得这些 $f_d$

[Shoup95] 使用 BSGS 算法来计算这些 $h_{a、b}$、真の因子の次数の上限を設定します $B$、分は $B=私\cdot m$，ベイビーステップ 就是 $\{い:1\le 私\le l\}$,ジャイアント ステップ ステップ $\{l\cdot j:1\le j\le m\}$、

ただし、単純に直接計算すると $h_i、H_j$ の場合、上記のアルゴリズムはまだ実用的ではありません。 [Shoup95] 反復的に計算します: $h_{i+1}=h_i\left(h_1\right)\left(modf\right)$、$H_{j+1}=H_j\left(H_1\right)\left(modf\right)$、ここでの問題は、モジュラー構成、形式は $g\left(h\right)\left(modf\right)$

[Shoup95] は引き続き BSGS アルゴリズム ([PS73] 多項式評価アルゴリズムと同様) を採用し、パラメータを選択します< a i =3> t ≈ n t \およそ \sqrt n $t\approx \sqrt{n}$,定義 $h^{私}\left(modf\right),0\le 私\le t$ 表格，那么：
$$g\left(x\right)=\sum _{j=0}^{n/t}{g}_j\left(x\right)\cdot {そして}^j、そして={バツ}^t、\mathrm{中g}{g}_j<;t$$
したがって、事前計算テーブルの内容を直接使用して、単純に加算 (および乗算) を計算します。
$$g_j\left(h\right)=\sum _{i=0}^t{g}_{j、i}\cdot h^{私}\left(modf\right)$$
続いて、取ホーナー法则、计算出
$$g\left(x\right)=((g_{n/t}\cdot h^t+\cdots )\cdot h^t+g_1)\cdot h^t+g_0$$
多項式演算はすべて Double-CRT モードで計算され、合計複雑さは $O(n^{2.5}+n\mathrm{ロg}n\mathrm{ロg}\mathrm{ロg}n\mathrm{ロg}p)$

CT65

[CT65] は、 再帰形式の DFT 分解を提供します。これは、実際には FFT アルゴリズムの BSGS バージョンとみなすことができます。 DFT の式は次のとおりです。
$${あ}_j:=\sum _{k=0}^{N-1}{ある}_k\cdot g^{jk}$$
は BSGS アルゴリズムを採用しており、 $N=N_1\cdot N_2$，設定インデックス
$$\begin{array}{rl}j& :=N_1\cdot j_1+j_0、j_0\in \left[N_1\right]、j_1\in \left[N_2\right]\\ k& :=N_2\cdot k_1+k_0、k_0\in \left[N_2\right]、k_1\in \left[N_1\right]\end{array}$$
自由
$$\begin{array}{rl}{あ}_{j_1、j_0}& :=\sum _{k_0\in \left[N_2\right]}\sum _{k_1\in \left[N_1\right]}{ある}_{k_1、k_0}\cdot g^{jk}\\ & =\sum _{k_0\in \left[N_2\right]}\left(\sum _{k_1\in \left[N_1\right]}{ある}_{k_1、k_0}\cdot g^{N_{2}j{k}_1}\right)\cdot g^{j{k}_0}\\ & =\sum _{k_0\in \left[N_2\right]}\left(\sum _{k_1\in \left[N_1\right]}{ある}_{k_1、k_0}\cdot g^{N_{2}j{k}_1}\right)\cdot g^{j_0{k}_0}\cdot g^{N_1{j}_1{k}_0}\end{array}$$
于是，将 ${ある}_N$ は 行優先順$N_1\times N_2$ 的矩阵 ${ある}_{N_1\times N_2}$、

1. 各 $k_0$，利用形状 $N_1\times N_1$ の行列
   $${で}_1:=\{{\zeta }^{j_0{k}_1}{\}}_{j_0、k_1}$$
   計算された長さは $N_1$ 的各个列矢 ${ある}_{k_0}$ 的 NTT 变换（单位根为 $\{{\zeta }_{N_1}^{j_0}、j_0\in [N_1]\}$），得到形状 $N_1\times N_2$ 的行列
   $${で}_1\times {ある}_{N_1\times N_2}={\left\{{あ}_{j_0、k_0}^{\text{'}}:=\sum _{k_1\in \left[N_1\right]}{ある}_{k_1、k_0}\cdot g^{N_{2}j{k}_1}\right\}}_{j_0、k_0}$$

2. 利用形状 $N_1\times N_2$ の行列
   $${で}_2:=\{{\zeta }^{j_0{k}_0}{\}}_{j_0、k_0}$$
   对它做 Hadamard 乘积，扭曲矩阵 ${あ}^{\text{'}}$ は次の演算を標準 NTT にします (そうしないと、後続の NTT で使用される単位根を適切に歪ませる必要があります)。このときの結果は $N_1\times N_2$ 的行列
   $${で}_2\odot {あ}_{N_1\times N_2}^{\text{'}}={\left\{{あ}_{j_0、k_0}^{\text{'}\text{'}}:=g^{j_0{k}_0}\cdot \sum _{k_1\in \left[N_1\right]}{ある}_{k_1、k_0}\cdot g^{N_{2}j{k}_1}\right\}}_{j_0、k_0}$$

3. 对于每一个 $j_1$，利用形状 $N_2\times N_2$ 定義
   $${で}_3:=\{{\zeta }_{N_2}^{j_1{k}_0}{\}}_{j_1、k_0}$$
   計算された長さは $N_2$ 的各个行矢 ${あ}_{j_0}^{\text{'}\text{'}}$ 的 NTT 变换（单位根为 $\{{\zeta }_{N_2}^{j_1}、j_1\in [N_2]\}$），得到形状 $N_2\times N_1$ 的行列
   $${で}_3\times (A_{N_1\times N_2}^{\text{'}\text{'}}{)}^T=\{A_{j_1、j_0}{\}}_{j_1、j_0}$$

对于形状 $N_2\times N_1$ 的矩阵 ${あ}_{N_2\times N_1}$，按照行主序读取为 ${あ}_N=NTT\left(a_N\right)$

总之，${ある}_N、{あ}_N$ はすべて行優先順 (さまざまな形状) で行列に配置されており、次のようになります。
$${あ}_{N_2\times N_1}={で}_3\times (W_2\odot (W_1\times {ある}_{N_1\times N_2}){)}^T$$
実際、このプロセスはヌスバウマー変換
$$F\left[x\right]/(x^N-1)\cong \left(F\right[y]/(y^{N_1}-1\left)\right)\left[x\right]/(x^{N_2}-y)\cong \left(F\right[y]/(y^{N_1}-1\left)\right)\left[z\right]/(z^{N_2}-1)$$

CHKKS18

初期の [HS14] は、行列とベクトルの乗算のための対角アルゴリズムを提案しました: SIMD テクノロジーを使用しましたアダマール および回転 演算は準同型線形演算を実現します。 [CHKKS18] は、それらを計算するために BSGS トリックを採用しました。デフォルトのインデックスは自動です ( mod n ) \pmod n $(modn)$ 的，基本符号：

• 任意の線形変換の場合 $M\in C^{n\times n}$，简记 $dia{g}_i\left(M\right)=[M_{0、i}、M_{1、i+1}、\cdots 、M_{n、i+n}]$ 是第 $私\in Z$ 対角線 (負の場合もあります − i -i $n-i$ 条对角线）
• 任意のベクトルの場合 $で\in C^n$，简记 $ロ{ト}_i\left(v\right)=[v_i、{で}_{i+1}、\cdots 、{で}_{i+n-1}]$ 是循环左移 $私\in \mathbb{Z}$ 距离（可以是负数 $-i$，循环右移 $i$ 距离）

BSGS アルゴリズムを使用して分解する $n=私\times k$、線形変換は次のように表すことができます:

最適化中に選択 $k\approx \sqrt{n}$，计算复杂度为：$お(\sqrt{n})$ 次 Rotate 运算（关于 $v$ 的密文），$O(n)$ 次 Hadamard 运算。对于公开的固定矩阵 $M$，其中的 $ロ{ト}_{-オフ}\left(dia{g}_{キ+j}\right(M))$ は、事前に計算された定数多項式 (InvDFT でエンコード) です。 CKKS 暗号文での回転操作が必要です。

[CHKKS18] 上記の線形変換をスロット パッキング CKKS での準同型計算に変換し、それを使用して係数からスロットへのバッチ CKKS ブートストラップを実装します。使用される線形変換は DFT と InvDFT で、[CHKKS18] はこれらを一般的な線形変換として扱い、この準同型行列乗算を使用して実装します。

ただし、パブリックな線形変換の場合は、TFHE によって提案されたファンクション キー スイッチを直接使用する方がはるかに効率的です。秘密の線形変換については、TFHE も $M$ は、プライベート ファンクション キー スイッチをサポートする M の KS-Key を構築します。ただし、この M 用の特別な KS-Key が提供されていない場合は、代わりに $M$ は一般的な CKKS 暗号文に暗号化されているため、上記の準同型行列の乗算を使用し、Rotate と Hadamard を使用してゆっくり計算することしかできません。

より高速な準同型 DFT

[CHH18] は、DFT 行列がスパース分解していることを観察しました（つまり、バタフライ アルゴリズム）。したがって、この特殊な線形変換では、次のようになります。 [CHKKS18] の一般的な行列乗算と比較して、複雑さは 1 つ軽減されます。$n$ 要素。 [CHKKS18] の CKKS バッチ ブートストラップに適用すると、計算速度が数百倍向上します。 [HHC19] (IEEE Access で公開) のコンテンツは、基本的に [CHH18] (eprint に掲載) のコンテンツであり、名前が異なるだけです。

疎対角行列の因数分解

[CHH18] [CT65] の再帰的 FFT によれば、DFT 行列は次のようにスパースに分解できると言われています。

前者を繰り返し分解し続けると、最終的に次のものを得ることができます。

容易看出，$dia{g}_i\left(D_{2^{私}}^{\left(n\right)}\right)\ne \vec{0}⟺k\in \{0、\pm \frac{n}{2^{私}}\}$、非ゼロの対角線は 3 つだけなので、傾きの乗算によって計算するのが非常に効率的です。
$$D_{2^{私}}^{\left(n\right)}\cdot で=\sum _{k\in \{0、\pm n/2^i\}}dia{g}_k\left(D_{2^{私}}^{\left(n\right)}\right)\odot ロ{ト}_k(v)$$
算法为：

注意到 $ロ{ト}_0\left(v\right)=v$ 不必计算，对于特殊情况 $私=1$ に基づく $ロ{ト}_{n/2^i}\left(v\right)=ロ{ト}_{-n/2^i}(v)$ 可节约计算。最终，$DFT\cdot で={\prod }_{i=0}^{{\log }_{2}n}{D}_{2^{私}}^{\left(n\right)}\cdot v$ 的复杂度为 $O\left({\mathrm{ロg}}_{2}n\right)$

逆変換の場合、DFT の逆行列はまさにそのエルミート行列であるため、

したがって、上記の GS バタフライと同様に、CT バタフライもまばらに対角的であるため、同様に高速な行列乗算が存在することは明らかです。

基数-r

ただし、上記の演算数は非常に少ないですが、計算の深さは ${\mathrm{ロg}}_2\left(n\right)$ にはマルチレイヤの Rotate および CMult シリアル化が必要であり、ノイズ制御の問題が発生する可能性があります。 。 質問。特定の連続する $k$ 行列の場合、深さは ${\mathrm{ロg}}_{r}n、r=2^k$ の場合、その代償として計算の複雑さが増加します。

対角行列の乗算特性によると、2 つの対角行列の積は依然として対角行列です。
$$dia{g}_i\left(a\right)\cdot dia{g}_j\left(b\right)=dia{g}_{i+j}(a\odot ロ{ト}_i(b))$$
可以证明，连续 $k$ 行列
$$D_{k、s}=D_{2^{s+k}}^{\left(n\right)}\cdots D_{2^{s+2}}^{\left(n\right)}\cdot D_{2^{s+1}}^{\left(n\right)}$$
の非ゼロ対角のインデックスは
$${それは}_1\cdot \frac{n}{2^{s+1}}+{それは}_2\cdot \frac{n}{2^{s+2}}+\cdots +{それは}_t\cdot \frac{n}{2^{s+k}}$$
其中 ${それは}_i\in \{0、\pm 1\}$，易知这些 index 都是 $\frac{n}{2^{s+k}}$ の倍数、絶対値の上限は$\frac{(2^k-1)n}{2^{s+k}}$ の場合、これらのインデックスの数は最大 $2^{k+1}-1$

この時点での DFT の複雑さは次のとおりです。$O(r{\mathrm{ロg}}_{r}n)$ 次 Rotate 和 Hadamard，深度为 $O\left({\mathrm{ロg}}_{r}n\right)$

ハイブリッド方式

上記の分解のゼロ以外のインデックスは等差級数を表すため (両方$\frac{n}{2^{s+k}}$そのため、BSGS 技術を使用して共通の計算部分を抽出し、計算効率をさらに向上させることができます。

最適化設定 $k_2\approx \sqrt{t}$、この時点での DFT の複雑さは次のとおりです: まだ $O(r{\mathrm{ロg}}_{r}n)$ 次 Hadamard，但是只需 $お(\sqrt{r}{\mathrm{ロg}}_{r}n)$ 次 Ratate（但 $r$ 是常数），深度也还是 $O\left({\mathrm{ロg}}_{r}n\right)$

結果

準同型DFTの実行時間：数秒程度

CKKS ブートストラップ時間: 2 分の遅延、4 ミリ秒で償却