Chimera:混合的 RLWE-FHE 方案

参考文献:

  1. [HS14] S. Halevi and V. Shoup. Algorithms in HElib. In Advances in Cryptology–CRYPTO 2014, pages 554–571. Springer, 2014.
  2. [HS15] S. Halevi and V. Shoup. Bootstrapping for HElib. In Advances in Cryptology–EUROCRYPT 2015, pages 641–670. Springer, 2015.
  3. [CHKKS18] Cheon J H, Han K, Kim A, et al. Bootstrapping for approximate homomorphic encryption[C]//Advances in Cryptology–EUROCRYPT 2018: 37th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Tel Aviv, Israel, April 29-May 3, 2018 Proceedings, Part I 37. Springer International Publishing, 2018: 360-384.
  4. [CGGI20] Chillotti I, Gama N, Georgieva M, et al. TFHE: fast fully homomorphic encryption over the torus[J]. Journal of Cryptology, 2020, 33(1): 34-91.
  5. [BGGJ20] Boura C, Gama N, Georgieva M, et al. Chimera: Combining ring-lwe-based fully homomorphic encryption schemes[J]. Journal of Mathematical Cryptology, 2020, 14(1): 316-338.
  6. TFHE 的全同态模结构(FHE Module Structure)-CSDN博客

文章目录

  • CKKS Bootstrapping
    • Trigonometric function
    • Homomorphic Matrix Multiplication
  • Chimera
    • FHE module structure & External product
    • TRLWE as Bridge
    • Application
  • BFV
    • BFV over Torus
    • BFV to TFHE
    • TFHE to BFV
    • BFV-big-number
  • CKKS
    • CKKS over Torus
    • CKKS to TFHE
    • TFHE to CKKS

CKKS Bootstrapping

Trigonometric function

在 [CKKS18] 中,作者仅仅给出了 Level FHE,并没有给出 Prue FHE,因为 CKKS 自身并不支持计算模约简,但是自举过程中的模约简却是必要的。[CHKKS18] 利用 CKKS 支持近似计算的优势,采取三角函数来近似模约简
S ( x ) : = q 2 π sin ⁡ ( 2 π q x ) ≈ F ( x ) : = [ x ] q S(x):=\dfrac{q}{2\pi}\sin(\dfrac{2\pi}{q}x) \approx F(x):=[x]_q S(x):=2πqsin(q2πx)F(x):=[x]q

然后将 sin ⁡ \sin sin 归约到 exp ⁡ \exp exp 的计算上,
E ( x ) : = q 2 π exp ⁡ ( 2 π i q x ) E(x) := \dfrac{q}{2\pi}\exp\left(\dfrac{2\pi i}{q}x\right) E(x):=2πqexp(q2πix)

最后提取虚部,获得模约减结果,
S ( x ) = I m ( E ( x ) ) = 1 2 ( E ( x ) − E ( − x ) ) S(x) = Im(E(x)) = \dfrac{1}{2}(E(x)-E(-x)) S(x)=Im(E(x))=21(E(x)E(x))

CKKS 自举的流程为:

在这里插入图片描述

Homomorphic Matrix Multiplication

我们需要在 coefficient packingslot packing 之间做变换:

  • Coeff To Slot,就是对 slots 做 InvDFT 变换
  • Slot To Coeff,就是对 slots 做 DFT 变换

对应的图形为:
KaTeX parse error: Expected 'EOF', got '&' at position 16: \begin{array} &̲& \text{IDFT}(m…

为了计算 slots 的(公开)线性变换,[CHKKS18] 采取了 [HS14] 的矩阵-向量乘积的斜对角线算法

在这里插入图片描述

它的每个 c t j ct_j ctj 是独立的,可以完全并行。旋转+数乘的数量 O ( N ) O(N) O(N),旋转+数乘的深度 O ( 1 ) O(1) O(1),使用 [HS15] 的大步小步法(Baby-Step Giant-Step algorithm)可以获得更低的复杂度:只需要 O ( N ) O(\sqrt N) O(N ) 次旋转,

在这里插入图片描述

相较而言,同态的 FFT/NTT 需要 O ( log ⁡ N ) O(\log N) O(logN) 层蝴蝶,并且每层的位移 2 j 2^j 2j 需要使用 Benes 网络实现。问题是:上述矩阵乘算法中的 R o t ( c t , j ) Rot(ct,j) Rot(ct,j),它真就是 Galois 群所提供的基本旋转置换么?是否也需要 Benes 网络呢?哦!可以按照 ζ → ζ 3 \zeta \to \zeta^3 ζζ3 导致的旋转顺序对矩阵的行列做重排,然后仅使用基本的旋转置换就够了。

由于 CKKS 加密的是实系数多项式,只有一半的槽可用,另外一半与之共轭。

  • 对于 Coeff To Slot,我们把 N N N 个实系数,迁移到 2 2 2 个密文的 N / 2 N/2 N/2 个复数槽中。因此需要把 N / 2 × N N/2 \times N N/2×N 的 DFT 矩阵切分为两个 N / 2 × N / 2 N/2 \times N/2 N/2×N/2 子矩阵,
    D F T = [ U 0 ∣ U 1 ] , I D F T = 1 N ⋅ D F T † DFT = [U_0|U_1],\,\, IDFT = \dfrac{1}{N} \cdot DFT^\dagger DFT=[U0U1],IDFT=N1DFT

    两个子矩阵分别为
    U 0 = [ 1 ζ 0 ⋯ ζ 0 N / 2 − 1 1 ζ 1 ⋯ ζ 1 N / 2 − 1 ⋮ ⋱ 1 ζ N / 2 − 1 ⋯ ζ N / 2 − 1 N / 2 − 1 ] , U 1 = [ ζ 0 N / 2 ζ 0 N / 2 + 1 ⋯ ζ 0 N − 1 ζ 1 N / 2 ζ 1 N / 2 + 1 ⋯ ζ 1 N − 1 ⋮ ⋱ ζ N / 2 − 1 N / 2 ζ N / 2 − 1 N / 2 + 1 ⋯ ζ N / 2 − 1 N − 1 ] U_0 = \begin{bmatrix} 1 & \zeta_0 &\cdots & \zeta_0^{N/2-1}\\ 1 & \zeta_1 &\cdots & \zeta_1^{N/2-1}\\ \vdots && \ddots\\ 1 & \zeta_{N/2-1} &\cdots & \zeta_{N/2-1}^{N/2-1}\\ \end{bmatrix},\,\, U_1 =\begin{bmatrix} \zeta_0^{N/2} & \zeta_0^{N/2+1} &\cdots & \zeta_0^{N-1}\\ \zeta_1^{N/2} & \zeta_1^{N/2+1} &\cdots & \zeta_1^{N-1}\\ \vdots && \ddots\\ \zeta_{N/2-1}^{N/2} & \zeta_{N/2-1}^{N/2+1} &\cdots & \zeta_{N/2-1}^{N-1}\\ \end{bmatrix} U0= 111ζ0ζ1ζN/21ζ0N/21ζ1N/21ζN/21N/21 ,U1= ζ0N/2ζ1N/2ζN/21N/2ζ0N/2+1ζ1N/2+1ζN/21N/2+1ζ0N1ζ1N1ζN/21N1

    设置 ζ j = ζ 2 j + 1 \zeta_j=\zeta^{2j+1} ζj=ζ2j+1,其中的 ζ = exp ⁡ ( π i / N ) \zeta=\exp(\pi i/N) ζ=exp(πi/N) N N N 次本原根

    槽的原始内容为 z ∈ C N / 2 z \in \mathbb C^{N/2} zCN/2,计算 z 0 = 1 N ( U 0 † ⋅ z + U 0 T ⋅ z ˉ ) z_0=\dfrac{1}{N}(U_0^\dagger \cdot z+U_0^T \cdot \bar z) z0=N1(U0z+U0Tzˉ) z 1 = 1 N ( U 1 † ⋅ z + U 1 T ⋅ z ˉ ) z_1=\dfrac{1}{N}(U_1^\dagger \cdot z+U_1^T \cdot \bar z) z1=N1(U1z+U1Tzˉ),满足 [ z 0 ∣ z 1 ] = I n v D F T ( z ) [z_0|z_1]=InvDFT(z) [z0z1]=InvDFT(z)

  • 对于 Slot To Coeff,我们把 2 2 2 个密文的 N / 2 N/2 N/2 个复数槽中存放的 N N N 个实数,迁移回单个密文的 N N N 个多项式系数上。这就是 Coeff To Slot 的逆过程,分别计算出 z 0 ′ = U 0 ⋅ z 0 z_0'=U_0 \cdot z_0 z0=U0z0 z 1 ′ = U 1 ⋅ z 1 z_1'=U_1 \cdot z_1 z1=U1z1,最后得到 z = z 0 ′ + z 1 ′ = D F T ( [ z 0 ∣ z 1 ] ) z=z_0'+z_1'= DFT([z_0|z_1]) z=z0+z1=DFT([z0z1])

Chimera

[CGGI20] 给出了实数环面(Torus)上的 T( R )LWE-based FHE 算法 TFHE,其密文的底层代数结构是连续的环面(而非 BGV/BFV、CKKS 的离散的环)。[BGGJ20] 提出了如何把 BFV、CKKS 的明密文空间都映射到环面上,可以将 BFV、CKKS、TFHE 的明密文空间统一起来,实现了三者之间的密文转换。

开源代码:DPPH/chimera-iDash2018

统一的明文空间是 T R \mathbb T_R TR,统一的密文空间是 T R 2 \mathbb T_R^2 TR2,它们都是 R = Z [ x ] / ( x N + 1 ) R=\mathbb Z[x]/(x^N+1) R=Z[x]/(xN+1) 模。

  • BFV 方案:明文空间 R P ≅ P − 1 R / R ⊆ T R R_P \cong P^{-1}R/R \subseteq \mathbb T_R RPP1R/RTR,密文空间 R q ≅ q − 1 R / R ⊆ T R R_q \cong q^{-1}R/R \subseteq \mathbb T_R Rqq1R/RTR
  • CKKS 方案:明文空间 { f ∈ R q : ∥ f ∥ ∞ ≤ 2 ρ } ≅ { f ∈ q − 1 R / R : ∥ f ∥ ∞ ≤ 2 ρ / q } ⊆ T R \{f \in R_q:\|f\|_\infty \le 2^\rho\} \cong \{f \in q^{-1}R/R:\|f\|_\infty \le 2^\rho/q\} \subseteq \mathbb T_R {fRq:f2ρ}{fq1R/R:f2ρ/q}TR,密文空间 R q ≅ q − 1 R / R ⊆ T R R_q \cong q^{-1}R/R \subseteq \mathbb T_R Rqq1R/RTR
  • TRLWE 方案:明文空间 T R \mathbb T_R TR,密文空间 T R \mathbb T_R TR

另外,TRGSW 方案:明文空间 R R R,密文空间 T R 2 \mathbb T_R^2 TR2,它加密的是(其他三个方案都是加密的

FHE module structure & External product

[BGGJ20] 提出了全同态模结构,无噪声版本的定义如下:

在这里插入图片描述

可以验证,[CGGI20] 的两个方案 TRGSW 和 TRLWE 携带上 “外积”,它们组成了一个全同态模结构。点击这里,查看具体的构造。

我们现在列出 TFHE(TRLWE)的基本运算,

  1. KeyGen:采样秘钥 s ← B ⊆ R s \gets \mathcal B \subseteq R sBR,诱导了相位 ϕ s : ( a , b ) ↦ b − s ⋅ a \phi_s:(a,b) \mapsto b-s \cdot a ϕs:(a,b)bsa,这里环 R R R 左作用于环面 T R \mathbb T_R TR

  2. Encrypt:消息 μ ∈ T R \mu \in \mathbb T_R μTR,密文 c = ( a , s ⋅ a + μ + e ) ∈ T R 2 c=(a,s \cdot a+\mu+e) \in \mathbb T_R^2 c=(a,sa+μ+e)TR2

  3. DecryptApprox:带噪的消息 ϕ s ( c ) ∈ T R \phi_s(c)\in \mathbb T_R ϕs(c)TR

  4. DecryptRounded:预设离散子集 M ⊆ T R ≅ T N M \subseteq \mathbb T_R \cong \mathbb T^N MTRTN,把 ϕ s ( c ) \phi_s(c) ϕs(c) 园整到最近的点

  5. Public Linear Combinatrion:常数 a i ∈ R a_i \in R aiR,密文 c i = T R L W E S ( μ i ) c_i=TRLWE_S(\mu_i) ci=TRLWES(μi),输出(环的左作用)
    T R L W E S ( ∑ i a i ⋅ μ i ) = ∑ i a i ⋅ c i ∈ T R 2 TRLWE_S(\sum_i a_i \cdot \mu_i)=\sum_i a_i \cdot c_i\in \mathbb T_R^2 TRLWES(iaiμi)=iaiciTR2

  6. Sample Extract:索引 i i i,加密了 μ ∈ T R \mu \in \mathbb T_R μTR 的 TRLWE 密文 T R L W E S ( μ ) = ( a , b ) TRLWE_S(\mu) = (a,b) TRLWES(μ)=(a,b),输出加密了系数 μ i ∈ T \mu_i \in \mathbb T μiT 的同一秘钥下的 TLWE 密文
    T L W E S ( μ i ) = ( ( a i , a i − 1 , ⋯ , a i − N + 1 ) , b i ) TLWE_S(\mu_i) = ((a_i,a_{i-1},\cdots,a_{i-N+1}), b_i) TLWES(μi)=((ai,ai1,,aiN+1),bi)

    (原始论文中如此,但是不是少了负号啊?反循环的系数卷积

  7. External Product:加密了 μ r ∈ R \mu_r \in R μrR 的 TRGSW 密文 c r c_r cr,加密了 μ m ∈ T R \mu_m \in \mathbb T_R μmTR 的 TRLWE 密文 c m c_m cm,输出加密了 μ r ⋅ μ m ∈ T R \mu_r \cdot \mu_m \in \mathbb T_R μrμmTR 的 TRLWE 密文
    c r ⊡ α c m : = c r ⋅ G α − 1 ( c m ) c_r \boxdot_\alpha c_m := c_r \cdot G^{-1}_\alpha(c_m) crαcm:=crGα1(cm)

    其中 α \alpha α 是动态的精度(当前噪声的标准差)。给定一个足够精度 2 − l 2^{-l} 2l 的 TRGSW 密文 A A A,所编码的 μ A ⋅ G l \mu_A \cdot G_l μAGl 前面的 l ′ = − log ⁡ α ≤ l l'=-\log\alpha \le l l=logαl 个小方阵,就足够计算外积了。

    噪声规模是
    V a r ( E r r ( c r ⊡ α c m ) ) ≤ 2 l N ⋅ V a r ( E r r ( c r ) ) + 1 + N 4 ∥ r ∥ 2 2 α 2 + ∥ r ∥ 2 2 ⋅ V a r ( E r r ( c m ) ) Var(Err(c_r \boxdot_\alpha c_m)) \le 2lN \cdot Var(Err(c_r)) + \dfrac{1+N}{4}\|r\|_2^2\alpha^2 + \|r\|_2^2 \cdot Var(Err(c_m)) Var(Err(crαcm))2lNVar(Err(cr))+41+Nr22α2+r22Var(Err(cm))

    选取精度 α \alpha α,设置密文噪声的方差 V a r ( E r r ( c r ) ) = α 2 Var(Err(c_r))=\alpha^2 Var(Err(cr))=α2,使得噪声主项是 ∥ r ∥ 2 2 ⋅ V a r ( E r r ( c m ) ) \|r\|_2^2 \cdot Var(Err(c_m)) r22Var(Err(cm))

  8. Functional Key-Switch:任意的 κ \kappa κ-Lipschitz 线性态射 f : T k → T R f:\mathbb T^k \to \mathbb T_R f:TkTR,给定 k k k 个 TLWE 密文(不需要 n = N n=N n=N
    c i = T L W E S ( μ i ) ∈ T n + 1 c_i=TLWE_{S}(\mu_i) \in \mathbb T^{n+1} ci=TLWES(μi)Tn+1
    给定秘钥切换秘钥(TRLWE 格式,密文的二进制分解 + 秘钥的 R R R 模线性组合)
    K S i j = T R L W E K , α ( S i / 2 j ) KS_{ij}=TRLWE_{K,\alpha}(S_i/2^j) KSij=TRLWEK,α(Si/2j)

    存在某算法(详见 TFHE 的秘钥切换算法),输出
    c = T R L W E K ( f ( μ 1 , ⋯ , μ k ) ) ∈ T R 2 c=TRLWE_K(f(\mu_1,\cdots,\mu_k)) \in \mathbb T_R^2 c=TRLWEK(f(μ1,,μk))TR2

    噪声规模是
    V a r ( E r r ( c ) ) ≤ κ 2 max ⁡ i ( V a r ( E r r ( c i ) ) ) + α 2 ( l N 2 + N 4 ) Var(Err(c)) \le \kappa^2 \max_i(Var(Err(c_i))) + \alpha^2(lN^2+\dfrac{N}{4}) Var(Err(c))κ2imax(Var(Err(ci)))+α2(lN2+4N)

    选取精度 α \alpha α,使得噪声主项是 κ 2 max ⁡ i ( V a r ( E r r ( c i ) ) ) \kappa^2 \max_i(Var(Err(c_i))) κ2maxi(Var(Err(ci)))

    在这里插入图片描述

  9. Functional Gate Bootstrap:任意的反循环非线性态射 f : ( 2 N ) − 1 Z / Z ⊆ T → T f:(2N)^{-1}\mathbb Z/\mathbb Z \subseteq \mathbb T \to \mathbb T f:(2N)1Z/ZTT,满足 f ( x + 1 / 2 ) = − f ( x ) f(x+1/2)=-f(x) f(x+1/2)=f(x),给定某个 TLWE 密文(不需要 n = N n=N n=N
    c = T L W E K ( μ ) ∈ ( ( 2 N ) − 1 Z / Z ) n + 1 ⊆ T n + 1 c=TLWE_K(\mu) \in ((2N)^{-1}\mathbb Z/\mathbb Z)^{n+1} \subseteq \mathbb T^{n+1} c=TLWEK(μ)((2N)1Z/Z)n+1Tn+1

    给定自举秘钥(TRGSW 格式,外积 + 基于 MUX 的盲旋转)
    B K i = T R G S W S , α ( K i ) BK_i=TRGSW_{S,\alpha}(K_i) BKi=TRGSWS,α(Ki)

    存在某算法(详见 TFHE 的盲旋转/门自举算法),输出
    c ′ = T L W E S ( f ( ϕ K ( c ) ) ) ∈ T N + 1 c'=TLWE_S(f(\phi_K(c))) \in \mathbb T^{N+1} c=TLWES(f(ϕK(c)))TN+1

    噪声规模是
    V a r ( E r r ( c ′ ) ) ≤ α 2 n ( 2 l N + N + 5 4 + l ) Var(Err(c')) \le \alpha^2n(2lN+N+\dfrac{5}{4}+l) Var(Err(c))α2n(2lN+N+45+l)

    选取精度 α \alpha α,使得自举后 c ′ c' c 的噪声规模比原始 c c c 的噪声规模小得多

    在这里插入图片描述

在三种方案的密文之间转换时,需要频繁用到 TRLWE 的上述操作:线性组合(同态解密)、系数提取(获取 TLWE 密文)、外积(构造内积)、线性态射的秘钥切换(在 coeff 和 slot 之间切换)、自举。

TRLWE as Bridge

在 Chimera 中,使用 TRLWE 作为桥梁:

在这里插入图片描述

对于 BFV(红箭头),

  1. 采取 slot packing 编码方式的消息 p μ i ∈ Z p p\mu_i \in \mathbb Z_p pμiZp 的单个 BFV 密文,转换为 coeff packing 编码方式的消息 μ i ∈ T \mu_i \in \mathbb T μiT 的单个 TRLWE 密文,最后可以提取出 N N N 个消息 μ i ∈ T \mu_i \in \mathbb T μiT 的 TLWE 密文
  2. 至多 N N N 个消息 μ i ∈ T \mu_i \in \mathbb T μiT 的 TLWE 密文,组合成 slot packing 编码方式的消息 p μ i ∈ Z p p\mu_i \in \mathbb Z_p pμiZp 的单个 BFV 密文

对于 CKKS(绿箭头),

  1. 采取 coeff packing 编码方式的消息 μ i ∈ T \mu_i \in \mathbb T μiT 的单个 CKKS 密文(也可以利用 Slot to Coeff 程序获取 slot packing 的消息,但是需要 D F T ( μ ⃗ ) DFT(\vec \mu) DFT(μ ) 是实的),可以立即地转换为 coeff packing 编码方式的消息 μ i ∈ T \mu_i \in \mathbb T μiT 的单个 TRLWE 密文,最后可以提取出 N N N 个消息 μ i ∈ T \mu_i \in \mathbb T μiT 的 TLWE 密文
  2. 至多 N / 2 N/2 N/2 个消息 μ i ∈ T \mu_i \in \mathbb T μiT 的 TLWE 密文,采用 CKKS 自举技巧的变体,组合成 slot packing 编码方式的消息 exp ⁡ ( 2 π i μ i ) ∈ C \exp(2\pi i\mu_i) \in \mathbb C exp(2πiμi)C 的单个 CKKS 密文,最后可以利用 sin ⁡ \sin sin 函数以及 Slot to Coeff 程序得到 coeff packing 编码方式的消息 μ i ∈ T \mu_i \in \mathbb T μiT 的单个 CKKS 密文

对于 BFV-BigNum(蓝箭头),明文模数选取为 P = x − p P=x-p P=xp,此时 R P ≅ Z p N + 1 R_P \cong \mathbb Z_{p^N+1} RPZpN+1,并且
P − 1 = − 1 p N + 1 ∑ i = 0 N − 1 p N − i − 1 x i P^{-1} = \dfrac{-1}{p^N+1} \sum_{i=0}^{N-1} p^{N-i-1}x^i P1=pN+11i=0N1pNi1xi

于是同构映射 R P ≅ P − 1 R / R → Z p N + 1 R_P \cong P^{-1}R/R \to \mathbb Z_{p^N+1} RPP1R/RZpN+1 恰好就是提取前导项 x N − 1 x^{N-1} xN1 的系数。在密文转换时,直接与 TLWE 做转换。

Application

在 TFHE 密文下计算:

  • 稀疏的、深度大的布尔运算
  • 线性运算(秘钥切换)
  • 反循环的非线性运算(盲旋转/自举)
  • 延迟较低的自举

在 BFV 密文下计算:

  • 密集的、深度浅的整数运算(SIMD)
  • 稀疏表示的非线性多项式(拉格朗日插值)
  • 均摊成本低的自举

在 CKKS 密文下计算:

  • 密集的、深度浅的浮点数运算(SIMD)
  • 明文槽的线性变换(同态的矩阵乘)
  • 非线性函数(傅里叶级数/泰勒级数)

BFV

BFV over Torus

原始 BFV 的明文空间是 R P ≅ P − 1 R / R ⊆ T R R_P \cong P^{-1}R/R \subseteq \mathbb T_R RPP1R/RTR,其中 P ∈ Z [ x ] P \in \mathbb Z[x] PZ[x] Q [ x ] \mathbb Q[x] Q[x] 中可逆。同构映射为
u ∈ T R ↦ P ⋅ u ∈ R P u \in \mathbb T_R \mapsto P\cdot u \in R_P uTRPuRP

我们称 R P R_P RP 是环面 T R \mathbb T_R TR P P P-扭曲(torsion)

我们现在为 native 明文空间 M : = P − 1 R / R M:=P^{-1}R/R M:=P1R/R 装备上乘法。定义离散环面 M ⊆ T R M \subseteq \mathbb T_R MTR蒙哥马利内积(internal Mongomery-type product)
μ 1 ⊡ P μ 2 ↦ P ⋅ μ 1 ⋅ μ 2 ( m o d Z ) \mu_1 \boxdot_P \mu_2 \mapsto P \cdot \mu_1 \cdot \mu_2 \pmod{\mathbb Z} μ1Pμ2Pμ1μ2(modZ)

其中的 ⋅ \cdot 算符,是从 Z [ x ] , M \mathbb Z[x],M Z[x],M 提升到 Q [ x ] \mathbb Q[x] Q[x] 上运算的。

环面上的 BFV 方案:

  • KeyGen

    1. 均匀采样 s ← B s \gets \mathcal B sB,它是短的整系数多项式
  • Enc

    1. 明文 μ ∈ M ⊆ T R \mu \in M \subseteq \mathbb T_R μMTR
    2. 均匀采样 a ← T R a \gets \mathbb T_R aTR,零中心高斯采样 e ← T R e \gets \mathbb T_R eTR
    3. 计算 b : = s ⋅ a + e ∈ T R b := s\cdot a+e \in \mathbb T_R b:=sa+eTR,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e0
    4. 密文 c : = ( a , b ) + ( 0 , μ ) c:=(a,b)+(0,\mu) c:=(a,b)+(0,μ),是长度 2 2 2 的列向量
  • Dec

    1. 密文 ( a , b ′ ) ∈ T R × T R (a,b') \in \mathbb T_R \times \mathbb T_R (a,b)TR×TR
    2. 计算 ϕ s ( a , b ′ ) = e + μ ∈ T R \phi_s(a,b') = e+\mu \in \mathbb T_R ϕs(a,b)=e+μTR
    3. 圆整到 μ ∈ M \mu \in M μM
  • Add(同态的 M M M 上的加法):

    1. 密文 c 1 = B F V s ( μ 1 ) , c 2 = B F V s ( μ 2 ) c_1 = BFV_s(\mu_1), c_2 = BFV_s(\mu_2) c1=BFVs(μ1),c2=BFVs(μ2),属于 R R R T R 2 \mathbb T_R^2 TR2
    2. 计算 R R R 模的加法 c 3 = c 1 + c 2 = B F V s ( μ 1 + μ 2 ) c_3 = c_1+c_2 = BFV_s(\mu_1+\mu_2) c3=c1+c2=BFVs(μ1+μ2)
  • Internal product(同态的 M M M 上的内积):

    1. 给定重线性化秘钥 R K = T R G S W s , α ( s ) RK=TRGSW_{s,\alpha}(s) RK=TRGSWs,α(s)(原始 BFV 采取 R K j = T R L W E s ( s 2 / 2 j ) RK_j=TRLWE_s(s^2/2^j) RKj=TRLWEs(s2/2j)

    2. 密文 c i = B F V s ( μ i ) c_i = BFV_s(\mu_i) ci=BFVs(μi) 提升到 ( a i , b i ) ∈ R R (a_i,b_i) \in R_\mathbb R (ai,bi)RR,系数范围 [ − 1 / 2 , 1 / 2 ) [-1/2,1/2) [1/2,1/2),使得在 R R R_\mathbb R RR可以计算乘法

    3. 计算 c i ( s ) c_i(s) ci(s) 的 Montgomery 版本多项式乘积(提升到 R R R_\mathbb R RR 上的乘法,虽然 ⊡ P , α \boxdot_{P,\alpha} P,α 仅仅对于子集 M ⊆ T R M \subseteq \mathbb T_R MTR 有定义), C 2 = P a 1 a 2 C_2=P a_1 a_2 C2=Pa1a2 C 1 = P ( a 1 b 2 + a 2 b 1 ) C_1=P (a_1b_2 + a_2b_1) C1=P(a1b2+a2b1), C 0 = P b 1 b 2 C_0=P b_1 b_2 C0=Pb1b2

    4. 消除密文多项式的二次项,由于
      E n c M ( s 2 ⋅ C 2 ) = E n c R ( s 2 ) ⊡ α E n c M ( C 2 ) = E n c R ( s ) ⊡ α E n c M ( s ⋅ C 2 ) Enc_M(s^2 \cdot C_2) = Enc_R(s^2) \boxdot_\alpha Enc_M(C_2) = Enc_R(s) \boxdot_\alpha Enc_M(s \cdot C_2) EncM(s2C2)=EncR(s2)αEncM(C2)=EncR(s)αEncM(sC2)

      Chimera 采用 R K = E n c R ( s ) RK=Enc_R(s) RK=EncR(s),对应的密文 E n c M ( s ⋅ C 2 ) = ( − C 2 , 0 ) Enc_M(s \cdot C_2)=(-C_2,0) EncM(sC2)=(C2,0)

      原始 BFV 采用了 R K = E n c R ( s 2 ) RK=Enc_R(s^2) RK=EncR(s2),对应的密文 E n c M ( C 2 ) = ( 0 , C 2 ) Enc_M(C_2)=(0,C_2) EncM(C2)=(0,C2),但是元素 s 2 s^2 s2 的范数相对更大,导致外积的噪声更大

    5. 利用与 TRGSW 的外积,构造出 BFV 的密文内积(注意 TRLWE 的密文内积未定义,环面 T R \mathbb T_R TR 上并没有关于 P P P 的蒙哥马利内积)
      c 1 ⊡ P , α c 2 : = ( C 1 , C 0 ) − R K ⊡ α ( C 2 , 0 ) c_1 \boxdot_{P,\alpha} c_2 := (C_1,C_0) - RK \boxdot_\alpha (C_2,0) c1P,αc2:=(C1,C0)RKα(C2,0)

      容易验证, c 1 ⊡ P , α c 2 = B F V s ( μ 1 ⊡ P μ 2 ) c_1 \boxdot_{P,\alpha} c_2 = BFV_s(\mu_1 \boxdot_P \mu_2) c1P,αc2=BFVs(μ1Pμ2)

      噪声规模是
      V a r ( E r r ( c 1 ⊡ P , α c 2 ) ) ≤ 1 + N + N 2 2 ∥ P ∥ 2 2 ⋅ max ⁡ i V a r ( E r r ( c i ) ) + α 2 ( 2 l N + N + N 2 4 ) Var(Err(c_1 \boxdot_{P,\alpha} c_2)) \le \dfrac{1+N+N^2}{2}\|P\|_2^2 \cdot \max_i Var(Err(c_i)) + \alpha^2(2lN+\dfrac{N+N^2}{4}) Var(Err(c1P,αc2))21+N+N2P22imaxVar(Err(ci))+α2(2lN+4N+N2)

      选取合适的 α \alpha α,使得主项是 1 + N + N 2 2 ∥ P ∥ 2 2 ⋅ max ⁡ i V a r ( E r r ( c i ) ) \dfrac{1+N+N^2}{2}\|P\|_2^2 \cdot \max_i Var(Err(c_i)) 21+N+N2P22maxiVar(Err(ci))

  • Modulus switch:BFV 不需要模切换,原始方案的思路就是用 Z q \mathbb Z_q Zq 模拟 q − 1 Z / Z q^{-1}\mathbb Z/\mathbb Z q1Z/Z,噪声被自然地控制了(小数相乘会变得更小)

现在 BFV 的明文是 μ ∈ M ⊆ T R \mu \in M \subseteq \mathbb T_R μMTR,密文是 c = ( a , b ) ∈ T R 2 c=(a,b) \in \mathbb T_R^2 c=(a,b)TR2,它们与 TRLWE 的明密文空间相兼容

BFV to TFHE

选取明文模数 P = p ∈ Z P=p \in \mathbb Z P=pZ 是素数,满足 2 N ∣ p − 1 2N|p-1 2Np1 使得 Z p \mathbb Z_p Zp 中存在 2 N 2N 2N 次本原单位根。

Coeff packing:明文空间 M = p − 1 R / R M = p^{-1}R/R M=p1R/R,我们以标准基 { 1 , x , ⋯ , x N − 1 } \{1,x,\cdots,x^{N-1}\} {1,x,,xN1} 将它转换为 M ≅ p − 1 Z N / Z N M \cong p^{-1}\mathbb Z^N/\mathbb Z^N Mp1ZN/ZN,因此 M M M 可以视为矩阵 p − 1 I N p^{-1}I_N p1IN 生成的正交格,packing raduius 是 1 / 2 P 1/2P 1/2P

Slot packing:明文空间 M ≅ R p ≅ Z p N M \cong R_p \cong \mathbb Z_p^N MRpZpN,令 ζ 0 , ⋯ , ζ N − 1 ∈ Z p \zeta_0,\cdots,\zeta_{N-1} \in \mathbb Z_p ζ0,,ζN1Zp x n + 1 x^n+1 xn+1 的所有根,同构映射为
N T T : μ ∈ p − 1 R / R ↦ z = [ ( p μ ) ( ζ 0 ) , ⋯ , ( p μ ) ( ζ N − 1 ) ] ∈ Z p N NTT:\mu \in p^{-1}R/R \mapsto z=[(p\mu)(\zeta_0),\cdots,(p\mu)(\zeta_{N-1})] \in \mathbb Z_p^N NTT:μp1R/Rz=[(pμ)(ζ0),,(pμ)(ζN1)]ZpN

p μ → z p\mu \to z pμz 的线性变换为:
V D M = [ 1 ζ 0 ⋯ ζ 0 N − 1 1 ζ 1 ⋯ ζ 1 N − 1 ⋮ ⋱ 1 ζ N − 1 ⋯ ζ N − 1 N − 1 ] ( m o d p ) VDM=\begin{bmatrix} 1 & \zeta_0 & \cdots & \zeta_0^{N-1}\\ 1 & \zeta_1 & \cdots & \zeta_1^{N-1}\\ \vdots && \ddots\\ 1 & \zeta_{N-1} & \cdots & \zeta_{N-1}^{N-1}\\ \end{bmatrix} \pmod{p} VDM= 111ζ0ζ1ζN1ζ0N1ζ1N1ζN1N1 (modp)

给定 BFV 密文 c = ( a , b + μ ) ∈ T R 2 c=(a,b+\mu) \in \mathbb T_R^2 c=(a,b+μ)TR2,为了方便矩阵运算,我们把 a a a 写成反循环的行向量, s s s b b b 写成列向量( Z \mathbb Z Z 是交换环,右模 = 左模),于是把 c c c 写成矩阵形式 C ∈ T N × ( N + 1 ) C \in \mathbb T^{N \times (N+1)} CTN×(N+1)也就是 N N N 个 TLWE 密文),
D e c s ( c ) = [ a N − 1 a N − 2 ⋯ a 1 a 0 b N − 1 + μ N − 1 a N − 2 a N − 3 ⋯ a 0 − a N − 1 b N − 2 + μ N − 2 ⋱ ⋮ a 0 − a N − 1 ⋯ − a 2 − a 1 b 0 + μ 0 ] ⋅ [ − s 0 − s 1 ⋮ − s N − 1 1 ] ≈ [ μ N − 1 μ N − 2 ⋮ μ 0 ] ∈ ( p − 1 Z / Z ) N Dec_s(c) = \left[\begin{array}{ccccc|c} a_{N-1} & a_{N-2} & \cdots & a_1 & a_0 & b_{N-1}+\mu_{N-1}\\ a_{N-2} & a_{N-3} & \cdots & a_0 & -a_{N-1} & b_{N-2}+\mu_{N-2}\\ &&\ddots&&&\vdots\\ a_{0} & -a_{N-1} & \cdots & -a_{2} & -a_{1} & b_0+\mu_{0}\\ \end{array}\right] \cdot \begin{bmatrix} -s_0\\-s_1\\\vdots\\-s_{N-1}\\1 \end{bmatrix} \approx \begin{bmatrix} \mu_{N-1}\\\mu_{N-2}\\\vdots\\\mu_{0} \end{bmatrix} \in (p^{-1} \mathbb Z/\mathbb Z)^N Decs(c)= aN1aN2a0aN2aN3aN1a1a0a2a0aN1a1bN1+μN1bN2+μN2b0+μ0 s0s1sN11 μN1μN2μ0 (p1Z/Z)N

给定矩阵 F ∈ Z N × N F \in \mathbb Z^{N \times N} FZN×N(环面 T \mathbb T T Z \mathbb Z Z 模),可以对多项式的系数 μ i \mu_i μi 做线性变换(通过对 C C C 的每一列 X i a ( x ) ( m o d x N + 1 ) X^ia(x) \pmod{x^N+1} Xia(x)(modxN+1) F F F 变换),
( F ⋅ C ) ⋅ ( − s , 1 ) = F ⋅ [ μ N − 1 μ N − 2 ⋮ μ 0 ] + F ⋅ e (F \cdot C) \cdot (-s,1) = F \cdot \begin{bmatrix} \mu_{N-1}\\\mu_{N-2}\\\vdots\\\mu_{0} \end{bmatrix} +F \cdot e (FC)(s,1)=F μN1μN2μ0 +Fe

为了减少噪声 F ⋅ e F \cdot e Fe 的规模,我们可以把 F F F 约束为系数范围是 [ − p / 2 , p / 2 ) [-p/2,p/2) [p/2,p/2) 的整数矩阵(离散环面 p − 1 Z / Z ⊆ T p^{-1} \mathbb Z/\mathbb Z \subseteq \mathbb T p1Z/ZT 不仅是 Z \mathbb Z Z 模,也是 Z p \mathbb Z_p Zp

对于 slot 内的消息 z = N T T ( p μ ) ∈ Z p N z=NTT(p\mu) \in \mathbb Z_p^N z=NTT(pμ)ZpN,其上的线性变换为
F ⋅ ( V D M ⋅ ( p ⋅ μ ) ) F \cdot (VDM \cdot (p \cdot \mu)) F(VDM(pμ))

由于 μ ∈ ( p − 1 Z / Z ) N \mu \in (p^{-1}\mathbb Z/\mathbb Z)^N μ(p1Z/Z)N,因此 p ⋅ μ ∈ Z p N p \cdot \mu \in \mathbb Z_p^N pμZpN,从而可以在 Z p \mathbb Z_p Zp 上计算 NTT 变换。

但是密文 C ∈ T N × ( N + 1 ) C \in \mathbb T^{N \times (N+1)} CTN×(N+1) 并不是 Z p \mathbb Z_p Zp,我们需要把 V D M ∈ Z p N × N VDM \in \mathbb Z_p^{N \times N} VDMZpN×N 提升到 Z N × N \mathbb Z^{N \times N} ZN×N 上才存在环作用。我们计算:
( F ⋅ V D M ) ⋅ C ⋅ ( − s , 1 ) ≈ p − 1 ( F ⋅ z ) ∈ ( p − 1 Z / Z ) N (F \cdot VDM) \cdot C \cdot (-s,1) \approx p^{-1}(F \cdot z) \in (p^{-1}\mathbb Z/\mathbb Z)^N (FVDM)C(s,1)p1(Fz)(p1Z/Z)N
同理,我们应当把 F ⋅ V D M F \cdot VDM FVDM 表示为系数范围是 [ − p / 2 , p / 2 ) [-p/2,p/2) [p/2,p/2) 的整数矩阵,以减少噪声规模。

使用线性态射是 F ⋅ V D M F \cdot VDM FVDM秘钥切换过程(单个 TRLWE 密文被视为 N N N 个 TLWE 密文),就实现了 BFV 到 TFHE 的密文转换:

  • 输入单个 slot packing 编码的消息 z ∈ Z p N z \in \mathbb Z_p^N zZpN 的 BFV over Torus 密文,以及 Z p \mathbb Z_p Zp 上的线性函数 f f f
  • 输出单个 coeff packing 编码的消息 p − 1 f ( z ) p^{-1}f(z) p1f(z) 的 TRLWE 密文
  • 可以通过 Sample Extract 提取出 N N N 个系数的 TLWE 密文

在这里插入图片描述

由于 F ⋅ V D M ( m o d p ) F \cdot VDM \pmod p FVDM(modp) 是一个 ( N p / 2 ) (Np/2) (Np/2)-Lipschitz 态射,输出的噪声规模为
V a r ( E r r ( c ′ ) ) ≤ ( N p 2 ) 2 ⋅ V a r ( E r r ( c ) ) + α 2 ⋅ ( l N 2 + N 4 ) Var(Err(c')) \le (\dfrac{Np}{2})^2 \cdot Var(Err(c)) + \alpha^2 \cdot (lN^2+\dfrac{N}{4}) Var(Err(c))(2Np)2Var(Err(c))+α2(lN2+4N)

选取合适的精度 α \alpha α,使得 ( N p / 2 ) 2 ⋅ V a r ( E r r ( c ) ) (Np/2)^2 \cdot Var(Err(c)) (Np/2)2Var(Err(c)) 成为主项。

TFHE to BFV

现在我们把 TLWE 密文转换为 BFV 密文。由于 TLWE 加密的消息是 T \mathbb T T,而 BFV 加密的消息是 Z p \mathbb Z_p Zp,因此对于态射 g : T → Z p g:\mathbb T \to \mathbb Z_p g:TZp,任意的 x = p ⋅ y ∈ T x=p\cdot y \in\mathbb T x=pyT 总使得 g ( x ) = p ⋅ g ( y ) = 0 ∈ Z p g(x)=p \cdot g(y)=0 \in \mathbb Z_p g(x)=pg(y)=0Zp,所以必须限制 g g g 的值域是离散的。

我们设置 g : Z p k → Z p N g:\mathbb Z_p^k \to \mathbb Z_p^N g:ZpkZpN 是线性态射,对应的矩阵 G ∈ Z N × k G \in \mathbb Z^{N \times k} GZN×k。在密文转换之前,必须先利用 Gate Bootstrapping

  1. 把 TLWE 密文的明文空间约束为 p − 1 Z / Z p^{-1}\mathbb Z/\mathbb Z p1Z/Z(盲旋转 LUT 的取值设置为 p − 1 p^{-1} p1 整数倍)
  2. 并且把噪声水平降低到 BFV 可容忍的范围(TFHE 能够容忍很高的噪声比率)

给定 k ≤ N k \le N kN 个 TLWE 密文,按照行向量排列为矩阵
C = [ a 0 , 0 a 0 , 1 ⋯ a 0 , n − 1 b 0 + μ 0 a 1 , 0 a 1 , 1 ⋯ a 1 , n − 1 b 1 + μ 1 ⋱ ⋮ a k − 1 , 0 a k − 1 , 1 ⋯ a k − 1 , n − 1 b k − 1 + μ k − 1 ] ∈ T k × ( n + 1 ) C = \left[\begin{array}{cccc|c} a_{0,0} & a_{0,1} & \cdots & a_{0,n-1} & b_0+\mu_0\\ a_{1,0} & a_{1,1} & \cdots & a_{1,n-1} & b_1+\mu_1\\ &&\ddots&&\vdots\\ a_{k-1,0} & a_{k-1,1} & \cdots & a_{k-1,n-1} & b_{k-1}+\mu_{k-1}\\ \end{array}\right] \in \mathbb T^{k \times (n+1)} C= a0,0a1,0ak1,0a0,1a1,1ak1,1a0,n1a1,n1ak1,n1b0+μ0b1+μ1bk1+μk1 Tk×(n+1)

我们首先将 V D M − 1 ⋅ G VDM^{-1} \cdot G VDM1G 提升为 Z N × k \mathbb Z^{N \times k} ZN×k 内的矩阵(并约束系数范围),然后计算矩阵乘(分别乘以密文 C C C 的每一列)
( V D M − 1 ⋅ G ⋅ C ) ⋅ ( − s , 1 ) ≈ V D M − 1 ⋅ ( G ⋅ μ ) = p − 1 ⋅ I N T T ( g ( p μ ) ) ∈ ( p − 1 Z / Z ) N (VDM^{-1} \cdot G \cdot C) \cdot (-s,1) \approx VDM^{-1} \cdot (G \cdot \mu) = p^{-1} \cdot INTT(g(p\mu)) \in (p^{-1}\mathbb Z/\mathbb Z)^N (VDM1GC)(s,1)VDM1(Gμ)=p1INTT(g(pμ))(p1Z/Z)N

使用线性态射是 V D M − 1 ⋅ G VDM^{-1} \cdot G VDM1G秘钥切换过程,就实现了 TFHE 到 BFV 的密文转换:

  • 输入 k k k 个消息 μ i ∈ p − 1 Z / Z \mu_i \in p^{-1}\mathbb Z/\mathbb Z μip1Z/Z 的 TLWE 密文,以及 Z p \mathbb Z_p Zp 上的线性函数 g g g
  • 输出单个 slot packing 编码的消息 g ( p μ ) g(p\mu) g(pμ) 的 BFV over Torus 密文

在这里插入图片描述

输出的噪声规模为
V a r ( E r r ( c ′ ) ) ≤ ( N p 2 ) 2 ⋅ max ⁡ i V a r ( E r r ( c i ) ) + α 2 ⋅ ( l N 2 + N 4 ) Var(Err(c')) \le (\dfrac{Np}{2})^2 \cdot \max_iVar(Err(c_i)) + \alpha^2 \cdot (lN^2+\dfrac{N}{4}) Var(Err(c))(2Np)2imaxVar(Err(ci))+α2(lN2+4N)

选取合适的精度 α \alpha α,使得 ( N p 2 ) 2 ⋅ max ⁡ i V a r ( E r r ( c i ) ) (\dfrac{Np}{2})^2 \cdot \max_i Var(Err(c_i)) (2Np)2maxiVar(Err(ci)) 成为主项。额外要求输入密文的 max ⁡ i V a r ( E r r ( c i ) ) \max_i Var(Err(c_i)) maxiVar(Err(ci)) 本身就很小(自举时设置足够大的精度),从而使得 BFV 可以容忍此噪声。

BFV-big-number

博主我还没看过这个方案,略。。。

CKKS

CKKS over Torus

原始 CKKS 的明文空间是:
{ f ∈ R q : ∥ f ∥ ∞ ≤ 2 ρ } ≅ { f ∈ q − 1 R / R : ∥ f ∥ ∞ ≤ 2 ρ / q } ⊆ T R \{f \in R_q:\|f\|_\infty \le 2^\rho\} \cong \{f \in q^{-1}R/R:\|f\|_\infty \le 2^\rho/q\} \subseteq \mathbb T_R {fRq:f2ρ}{fq1R/R:f2ρ/q}TR

按照 IEEE754 标准,浮点数表示为 ( σ , τ , m ) (\sigma,\tau,m) (σ,τ,m),其中 σ ∈ { 0 , 1 } \sigma \in \{0,1\} σ{0,1}符号 τ ∈ Z \tau \in \mathbb Z τZ指数 0 ≤ m < 1 0 \le m <1 0m<1尾数,尾数的精度 ρ ∈ N \rho \in \mathbb N ρN(也就是说 m ∈ 2 − ρ Z m \in 2^{-\rho}\mathbb Z m2ρZ),对应的浮点数是
( − 1 ) σ × ( 1. m ) × 2 τ (-1)^\sigma \times (1.m) \times 2^\tau (1)σ×(1.m)×2τ

现在我们把明文(有限精度的复数)存放在 slots 上:

  1. 层数 L ∈ N L \in \mathbb N LN:代表同态计算能力,native 明文(环面元素)的规模 ∥ μ ∥ ∞ ≤ 2 − L \|\mu\|_\infty \le 2^{-L} μ2L
  2. 明文指数 τ ∈ Z \tau \in \mathbb Z τZ:槽(浮点数)的指数
  3. 明文精度 ρ ∈ N \rho \in \mathbb N ρN:槽(浮点数)的尾数精度
  4. 密文精度 α = 2 − ( L + ρ ) \alpha = 2^{-(L+\rho)} α=2(L+ρ):大约是噪声的标准差

设置 CKKS 的 native 明文空间
M = { μ ∈ T R : ∥ μ ∥ ∞ ≤ 2 − L } M=\{\mu \in \mathbb T_R:\|\mu\|_\infty \le 2^{-L}\} M={μTR:μ2L}

它的 SIMD 槽里的复数形如 z = m ⋅ 2 τ z=m \cdot 2^\tau z=m2τ,其中 − 1 < m < 1 -1 <m<1 1<m<1 是有限精度的尾数,满足 m ∈ 2 − ρ ( Z + i Z ) m \in 2^{-\rho}(\mathbb Z+i\mathbb Z) m2ρ(Z+iZ)包含了符号位

ζ ∈ C \zeta \in \mathbb C ζC x n + 1 x^n+1 xn+1 的复数根,将 μ ∈ T R \mu \in \mathbb T_R μTR 提升到 R [ x ] \mathbb R[x] R[x] 上,计算 DFT 得到槽的内容
( 2 L ⋅ μ ) ( ζ i ) ≈ m i ∈ 2 − ρ ( Z + i Z ) (2^L \cdot\mu)(\zeta_i) \approx m_i \in 2^{-\rho}(\mathbb Z+i\mathbb Z) (2Lμ)(ζi)mi2ρ(Z+iZ)

槽内的复数,存储格式如图:

在这里插入图片描述

环面上的 CKKS 方案:

  • KeyGen

    1. 均匀采样 s ← B s \gets \mathcal B sB,它是短的整系数多项式
  • Enc

    1. 预设的精度 ρ \rho ρ 和层数 L L L,模数为 q = 2 L + ρ q=2^{L+\rho} q=2L+ρ,噪声规模 α = 1 / q \alpha=1/q α=1/q
    2. 给定明文 z = ( z 1 , ⋯ , z N / 2 ) ∈ C N / 2 z=(z_1,\cdots,z_{N/2}) \in \mathbb C^{N/2} z=(z1,,zN/2)CN/2,它的存储格式任意
    3. 通过插值法找出整系数多项式 d ( x ) ∈ R d(x) \in R d(x)R,系数取值范围 [ − 2 ρ , 2 ρ ] [-2^\rho,2^\rho] [2ρ,2ρ],以及对应的明文指数 τ ∈ Z \tau \in \mathbb Z τZ,满足 ∥ D F T ( d ) ⋅ 2 τ − z ∥ ∞ ≤ 2 τ − ρ \|DFT(d) \cdot 2^\tau - z\|_\infty \le 2^{\tau-\rho} DFT(d)2τz2τρ
    4. 设置 native 明文为 μ = d / q ∈ q − 1 R / R \mu=d/q \in q^{-1} R/R μ=d/qq1R/R,满足 ∥ μ ∥ ∞ ≤ 2 − L \|\mu\|_\infty \le 2^{-L} μ2L(当 L = 1 L=1 L=1 时它恰好是 TRLWE 密文)
    5. 均匀采样 a ← T R a \gets \mathbb T_R aTR,零中心高斯采样 e ← T R e \gets \mathbb T_R eTR
    6. 计算 b : = s ⋅ a + e ∈ T R b := s\cdot a+e \in \mathbb T_R b:=sa+eTR,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e0
    7. 携带 tag 的 CKKS 密文 $c:=((a,b+\mu),\tau,L) $
  • Dec

    1. 密文 ( ( a , b ′ ) , τ , L ) ∈ T R 2 × Z × N ((a,b'),\tau,L) \in \mathbb T_R^2 \times \mathbb Z \times \mathbb N ((a,b),τ,L)TR2×Z×N
    2. 计算 ϕ s ( a , b ′ ) = e + μ ∈ T R \phi_s(a,b') = e+\mu \in \mathbb T_R ϕs(a,b)=e+μTR
    3. 设置 q = 2 L + ρ q=2^{L+\rho} q=2L+ρ,圆整到 μ ∈ q − 1 R / R \mu \in q^{-1}R/R μq1R/R
    4. 明文 z = D F T ( q ⋅ μ ) ⋅ 2 τ ∈ C N / 2 z = DFT(q \cdot \mu) \cdot 2^\tau \in \mathbb C^{N/2} z=DFT(qμ)2τCN/2
  • Add(同态的 M M M 上的加法):

    1. 输入密文 ( c 1 , τ 1 , L 1 ) (c_1,\tau_1,L_1) (c1,τ1,L1) ( c 2 , τ 2 , L 2 ) (c_2,\tau_2,L_2) (c2,τ2,L2)
    2. 统一指数 τ = max ⁡ ( τ 1 , τ 2 ) + 1 \tau = \max(\tau_1,\tau_2)+1 τ=max(τ1,τ2)+1
    3. 统一层数 L = min ⁡ ( L 1 + τ 1 , L 2 + τ 2 ) − τ L=\min(L_1+\tau_1,L_2+\tau_2)-\tau L=min(L1+τ1,L2+τ2)τ
    4. 加和 c = 2 τ 1 + L 1 − ( τ + L ) c 1 + 2 τ 2 + L 2 − ( τ + L ) c 2 ( m o d Z ) c=2^{\tau_1+L_1-(\tau+L)}c_1 + 2^{\tau_2+L_2-(\tau+L)}c_2 \pmod{\mathbb Z} c=2τ1+L1(τ+L)c1+2τ2+L2(τ+L)c2(modZ)
  • Decrease level(模切换/重缩放过程):

    1. 输入密文 ( c , τ , L ) (c,\tau,L) (c,τ,L) 和层数 1 ≤ L ′ < L 1 \le L'<L 1L<L
    2. 输出 ( 2 L − L ′ c , τ , L ′ ) (2^{L-L'}c, \tau,L') (2LLc,τ,L)
  • Binary Shift(二的幂次):

    1. 输入密文 ( c , τ , L ) (c,\tau,L) (c,τ,L) 和移位距离 t ∈ N t \in \mathbb N tN
    2. 输出 ( c , τ + t , L ) (c, \tau+t,L) (c,τ+t,L)
  • Mult by constant Z \mathbb Z Z T R \mathbb T_R TR):

    1. 输入密文 ( c , τ , L ) (c,\tau,L) (c,τ,L) 和常数 a ∈ Z a \in \mathbb Z aZ
    2. 输出 ( a ⋅ c , τ + ρ , L − ρ ) (a \cdot c, \tau+\rho,L-\rho) (ac,τ+ρ,Lρ)
  • Slot-wise Mult by constant R R R T R \mathbb T_R TR):

    1. 输入密文 ( c , τ , L ) (c,\tau,L) (c,τ,L) 和有限精度复数 u = ( u 1 , ⋯ , u N / 2 ) ∈ C N / 2 u=(u_1,\cdots,u_{N/2}) \in \mathbb C^{N/2} u=(u1,,uN/2)CN/2
    2. 找出多项式 d ( x ) ∈ R d(x) \in R d(x)R,系数取值范围 [ − 2 ρ , 2 ρ ] [-2^\rho,2^\rho] [2ρ,2ρ],以及对应的指数 t ∈ Z t \in \mathbb Z tZ,满足 ∥ D F T ( d ) ⋅ 2 t − u ∥ ∞ ≤ 2 t − ρ \|DFT(d) \cdot 2^t - u\|_\infty \le 2^{t-\rho} DFT(d)2tu2tρ
    3. 输出 ( d ( x ) ⋅ c , τ + ρ + t , L − ρ ) (d(x) \cdot c, \tau+\rho+t, L-\rho) (d(x)c,τ+ρ+t,Lρ)
  • External Product

    1. 将上述的 d ( x ) ∈ R d(x) \in R d(x)R 用 TRGSW 预加密为 T R G S W s , α ( d ) TRGSW_{s,\alpha}(d) TRGSWs,α(d)
    2. 计算 T R G S W s , α ( d ) ⊡ α c TRGSW_{s,\alpha}(d) \boxdot_\alpha c TRGSWs,α(d)αc
  • Internal multiplication

    1. 输入密文 ( c 1 , τ 1 , L 1 ) (c_1,\tau_1,L_1) (c1,τ1,L1) ( c 2 , τ 2 , L 2 ) (c_2,\tau_2,L_2) (c2,τ2,L2)
    2. 统一层数 L ′ = min ⁡ ( L 1 , L 2 ) L'=\min(L_1,L_2) L=min(L1,L2),执行 c i ′ = R S L i → L ′ ( c i ) c_i'=RS_{L_i \to L'}(c_i) ci=RSLiL(ci)
    3. 设置模数 q = 2 L ′ + ρ q=2^{L'+\rho} q=2L+ρ,密文精度 α = 1 / q \alpha=1/q α=1/q
    4. c i ′ c_i' ci 园整到 α R / R \alpha R/R αR/R(密文的浮点表示的尾数截断到 L ′ + ρ L'+\rho L+ρ 比特)
    5. 计算 BFV 内积 c = c 1 ′ ⊡ q , α c 2 ′ c=c_1' \boxdot_{q,\alpha} c_2' c=c1q,αc2
    6. 层数 L = L ′ − ρ L=L'-\rho L=Lρ,指数 τ = τ 1 ⋅ τ 2 \tau = \tau_1 \cdot \tau_2 τ=τ1τ2
    7. 输出 ( c , τ , L ) (c,\tau,L) (c,τ,L),如果 ρ ≥ log ⁡ N \rho \ge \log N ρlogN 那么 V a r ( E r r ( c ) ) ≤ 4 − ( L + ρ ) Var(Err(c)) \le 4^{-(L+\rho)} Var(Err(c))4(L+ρ)(噪声在 2 − ( L + ρ ) R / R 2^{-(L+\rho)}R/R 2(L+ρ)R/R 中完全隐藏)

现在 CKKS 的明文是 μ ∈ 2 − ( L + ρ ) R / R ⊆ T R \mu \in 2^{-(L+\rho)}R/R \subseteq \mathbb T_R μ2(L+ρ)R/RTR,密文是 c = ( a , b ) ∈ T R 2 c=(a,b) \in \mathbb T_R^2 c=(a,b)TR2,它们与 TRLWE 的明密文空间相兼容

CKKS to TFHE

由于 L = 1 L=1 L=1 时,所加密的 native 明文为 μ = d / 2 ρ + 1 \mu=d/2^{\rho+1} μ=d/2ρ+1,设置 q = 2 ρ + 1 q=2^{\rho+1} q=2ρ+1,它诱导了双射
d i = q ⋅ μ i ∈ [ − 2 ρ , 2 ρ ) → μ i ∈ [ − 0.5 , 0.5 ) ∩ q − 1 Z / Z d_i=q \cdot\mu_i \in [-2^\rho,2^\rho) \to \mu_i \in [-0.5,0.5) \cap q^{-1}\mathbb Z/\mathbb Z di=qμi[2ρ,2ρ)μi[0.5,0.5)q1Z/Z

因此,这个 coeff packing 的 CKKS 密文恰好就是 TFHE 密文

转换算法为:

  1. 先执行 Slot to Coeff 过程,得到两个 coeff packing 的密文 ( c 1 , c 2 ) ← M a t M u l t ( c , I D F T ) (c_1,c_2) \gets MatMult(c,IDFT) (c1,c2)MatMult(c,IDFT)
  2. 然后做重缩放, c i ′ = R S L ′ → 1 ( c i ) c_i' = RS_{L' \to 1}(c_i) ci=RSL1(ci) 成为 TRLWE 密文
  3. 最后使用 Sample Extract,提取出各个系数的 TLWE 密文(还需要记录它们的指数 τ \tau τ

TFHE to CKKS

从 TFHE 到 CKKS 的转换过程,

  1. 输入 N / 2 N/2 N/2 个消息 v k ∈ T v_k \in \mathbb T vkT 的 TLWE 密文,
  2. 输出单个 slot packing 编码的消息 exp ⁡ ( 2 π i ⋅ v k ) \exp(2\pi i \cdot v_k) exp(2πivk) 的 TRLWE 密文

有些类似于 [CHKKS18] 的 CKKS Boostrpping Trick,[BGGJ20] 使用傅里叶级数来近似指数函数。根据 Taylor–Lagrange 不等式,
∣ exp ⁡ ( i x ) − ∑ k = 0 t − 1 ( i x ) k k ! ∣ ≤ ∣ x ∣ t t ! \left| \exp(i x) - \sum_{k=0}^{t-1} \dfrac{(i x)^k}{k!} \right| \le \dfrac{|x|^t}{t!} exp(ix)k=0t1k!(ix)k t!xt

我们希望以精度 2 − ρ 2^{-\rho} 2ρ 近似指数函数,设置泰勒级数的项数为 t = ρ t=\sqrt \rho t=ρ 。如果我们约束 x ≤ n / 2 p x \le n/2^p xn/2p,选择足够大的
p = ρ + log ⁡ ( 2 π n / ρ ) p = \sqrt\rho + \log(2\pi n/\sqrt \rho) p=ρ +log(2πn/ρ )

就可以满足 2 − ρ 2^{-\rho} 2ρ 的精度要求。

为了计算 exp ⁡ ( 2 π i ⋅ v ) \exp(2\pi i \cdot v) exp(2πiv)

  1. 首先对相位 ϕ s ( c ) = v \phi_s(c)= v ϕs(c)=v 做恰当的缩放,得到 x = 2 π v / 2 p ≤ n / 2 p x=2\pi v/2^p \le n/2^p x=2πv/2pn/2p
  2. 然后使用 Paterson–Stockmayer 多项式求值算法,计算前 t t t 项泰勒级数(度数 t = ρ t=\sqrt \rho t=ρ 的多项式),得到 E = exp ⁡ ( 2 π i ⋅ v / 2 p ) E=\exp(2\pi i \cdot v/2^p) E=exp(2πiv/2p)
  3. 最后使用快速幂算法,计算出 exp ⁡ ( 2 π i ⋅ v ) = E 2 p \exp(2\pi i \cdot v) = E^{2^p} exp(2πiv)=E2p

在这里插入图片描述

现在,我们有两种计算非线性函数的方法:

  1. 使用常规同态乘法,以 SIMD 的方式计算复数多项式
  2. 在自举过程中,利用三角函数(傅里叶级数是个较好的选择,收敛速度快)去逼近

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/120712.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

K8s概念汇总-笔记

目录 1.Master 1.1在Master上运⾏着以下关键进程 2.什么是Node? 1.2在每个Node上都运⾏着以下关键进程 3.什么是 Pod ? 4. 什么是Label &#xff1f; 5.Replication Controller 6.Deployment 6.1Deployment的典型场景&#xff1a; 7.Horizontal Pod Autoscaler TODO…

【MATLAB源码-第57期】基于matlab的IS95前向链路仿真,输出误码率曲线。

操作环境&#xff1a; MATLAB 2022a 1、算法描述 IS-95&#xff0c;也被称为cdmaOne&#xff0c;是第一代的CDMA&#xff08;Code Division Multiple Access&#xff0c;码分多址&#xff09;数字蜂窝通信标准。IS-95的全称是Interim Standard-95&#xff0c;最初由Qualcomm…

春运压力如何破?V2X技术来解题

近日&#xff0c;国务院发布了2024春节放假方案。春节作为每年中国交通运输系统最繁忙的时期&#xff0c;车流的快速增长带来了道路运载压力和事故风险率。如果想拥有一个不堵车又平安的春节&#xff1f;那就不得不提V2X 技术&#xff0c;以及它在提升交通安全与交通效率、助力…

TVRNet网络PyTorch实现

文章目录 文章地址网络各层结构代码实现 文章地址 An End-to-End Traffic Visibility Regression Algorithm文章通过训练搜集得到的真实道路图像数据集&#xff08;Actual Road dense image Dataset, ARD&#xff09;&#xff0c;通过专业的能见度计和多人标注&#xff0c;获得…

图像语义分割 pytorch复现DeepLab v1图像分割网络以及网络详解(骨干网络基于VGG16)

图像语义分割 pytorch复现DeepLab v1图像分割网络以及网络详解&#xff08;骨干网络基于VGG16&#xff09; 背景介绍2、 网络结构详解2.1 LarFOV效果分析 2.2 DeepLab v1-LargeFOV 模型架构2.3 MSc&#xff08;Multi-Scale&#xff0c;多尺度(预测)&#xff09;2.3 以VGG16为特…

1-多媒体通信概述

文章目录 媒体和多媒体媒体多媒体VarityIntergrationInteraction 多媒体通信(MMC)业务类型 MMC主要问题和关键技术主要问题关键技术 MMC发展动向重要事件趋势 标准化组织 媒体和多媒体 媒体 承载信息的载体. 感知媒体, 表示媒体, 显示媒体, 存储媒体, 传输媒体. 多媒体 Var…

电脑定时关机

电脑定时关机 1.右键 管理 2. 3. 4. 5. shutdown.exe/s /f /t 06.点击完成就好了 7.这里面可以 看到定时任务和启动 右键有运行 结束 禁用

世微 宽电压降压 DC-DC 电源管理芯片 以太网平衡车工业控制电源驱动12V6A AP8854

1&#xff0c;产品描述 AP8854 一款宽电压范围降压型 DC-D 电源管理芯片&#xff0c;内部集成使能开关控制、基 准电源、误差放大器、过热保护、限流保 护、短路保护等功能&#xff0c;非常适合宽电压输 入降压使用。 AP8854 带使能控制&#xff0c;可以大大节省外 围器件&…

广州华锐互动:VR虚拟现实物理学习平台,开启数字化教学新格局

随着虚拟现实(VR)技术的不断发展&#xff0c;越来越多的领域开始应用这一技术。广州华锐互动开发的VR虚拟现实物理学习平台就得到了广泛应用&#xff0c;平台涉及力学、光学、热学等初中物理知识&#xff0c;还包含了物理名人、实验器具、物理现象的还原和学习&#xff0c;相比…

CSS色域、色彩空间、CSS Color 4新标准 | 京东云技术团队

引言 近期&#xff0c;三大主流浏览器引擎均发布最新版本&#xff0c;支持W3C的CSS Color 4标准&#xff0c;包含新的取色方法color()和相应语法&#xff0c;可展示更多的色域及色彩空间&#xff0c;这意味着web端能展示更丰富更高清的色彩。虽然目前只有最新版本的现代浏览器…

java时间解析生成定时Cron表达式工具类

Cron表达式工具类CronUtil 构建Cron表达式 /****方法摘要&#xff1a;构建Cron表达式*param taskScheduleModel*return String*/public static String createCronExpression(TaskScheduleModel taskScheduleModel){StringBuffer cronExp new StringBuffer("");if(…

k8s-----26、细粒度权限管理 RBAC

0、导读 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限(也就是通过serviceaccount) token(共享秘钥) SSL(双向SSL认证) …通过任何一个认证即表示认证通过,进入下一步第二步:授权检查,确认是否对资源…

JAVAEE初阶相关内容第十六弹--网络编程

写在前 这一节的内容首先是对十五弹&#xff08;UDP回显服务器&#xff09;进行简单的改进&#xff0c;在这基础上开始介绍TCP流套接字编程。 目录 写在前 1.改进回显服务器 1.1完整代码实现 1.2运行输出结果 2.TCP流套接字编程 2.1ServerSocketAPI 2.2SocketAPI 3.TC…

echarts的柱状图的重叠和堆叠实现两个柱体的显示和之前的差值显示

效果图 主要思路 准备三个柱体&#xff08;原计划&#xff0c;实际进度&#xff0c;差值&#xff09; 原计划和实际进度设置成重叠 {barWidth: 20,// yAxisIndex: 1,z: 1,name: 原计划,type: bar,stack: ab,emphasis: { // 点击柱体其他柱体颜色会变浅disabled: true},label…

代码随想录打卡第五十天|198.打家劫舍 ● 213.打家劫舍II ● 337.打家劫舍III

198.打家劫舍 题目&#xff1a; 你是一个专业的小偷&#xff0c;计划偷窃沿街的房屋。每间房内都藏有一定的现金&#xff0c;影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统&#xff0c;如果两间相邻的房屋在同一晚上被小偷闯入&#xff0c;系统会自动报警。 …

AWTK实现汽车仪表Cluster/DashBoard嵌入式GUI开发(六):一个AWTK工程

一个AWTK工程基于C/C++编写,可以分为如下几步: 结合下图,看懂启动的部分。一般一个AWTK工程,需要实现哪些部分,就是其中开始之后白色的部分,比如调用main函数和gui_app_start时会做一些操作,比如asset_init和application_init时要做一些设置,还有退出的函数application…

【ARM AMBA Q_Channel 详细介绍】

文章目录 1.1 Q_Channel 概述1.2 Q-Channel1.2.1 Q-Channel 接口1.2.2 Q-Channel 接口的握手状态1.2.3 握手信号规则 1.3 P_Channel的握手协议1.3.1 device 接受 PMU 的 power 请求1.3.2 device 拒绝 PMU 的 power 请求 1.4 device 复位信号与 Q _Channel 的结合1.4.1 RESETn 复…

Xcode iOS app启用文件共享

在info.plist中添加如下两个配置 Supports opening documents in place Application supports iTunes file sharing 结果都为YES&#xff0c;如下图所示&#xff1a; 然后&#xff0c;iOS设备查看&#xff0c;文件->我的iPhone列表中有一个和你工程名相同的文件夹出现&…

工作小计-GPU硬编以及依赖库 nvcuvidnvidia-encode

工作小计-GPU编码以及依赖库 已经是第三篇关于编解码的记录了。项目中用到GPU编码很久了&#xff0c;因为yuv太大&#xff0c;所以编码显得很重要。这次遇到的问题是环境的搭建问题。需要把开发机上的环境放到docker中&#xff0c;以保证docker中同样可以进行GPU的编码。 1 定…

三代自动驾驶系统及主流科技公司自动驾驶技术方案简介

截止目前&#xff0c;按技术特点&#xff0c;自动驾驶技术大致经历了三代发展&#xff1a;第一代自动驾驶技术以后融合感知技术&#xff0c;高精度地图&#xff0c;基于惯导、GPS定位系统&#xff0c;预测模块&#xff0c;基于优化、搜索的规控等组成。第一代比较成熟的自动驾驶…