参考文献：

1. [CGGI16] Chillotti I, Gama N, Georgieva M, et al. Faster fully homomorphic encryption: Bootstrapping in less than 0.1 seconds[C]//Advances in Cryptology–ASIACRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I 22. Springer Berlin Heidelberg, 2016: 3-33.
2. [CGGI17] Chillotti I, Gama N, Georgieva M, et al. Faster packed homomorphic operations and efficient circuit bootstrap** for TFHE[C]//International Conference on the Theory and Application of Cryptology and Information Security. Cham: Springer International Publishing, 2017: 377-408.
3. [CGGI20] Chillotti I, Gama N, Georgieva M, et al. TFHE: fast fully homomorphic encryption over the torus[J]. Journal of Cryptology, 2020, 33(1): 34-91.
4. [GBA21] Guimarães A, Borin E, Aranha D F. Revisiting the functional bootstrap in TFHE[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2021: 229-253.
5. 加权自动机：在 Semirings 上建模-CSDN博客
6. GSIS/GLWE & LUT/Automata & Blind Rotate-CSDN博客
7. Multi-value & Large-LUT PBS-CSDN博客

Random Functions via LUT

正如 [GINX16] 的设计，任意的函数 $f:{\mathbb{B}}^d\to {\mathbb{T}}^s$ 可以表示为 $s$ 个长度 $2^d$ 的列表，也就是 $[f_j(x){]}_{j\in [s],x\in [2^d]}$。我们可以利用 Mux-based OBDD，根据 $x={\sum }_i{x}_i{2}^i$ 做二叉树查询获得 $f_j(x)$ 的值。

[CGGI17] 提出了两种打包方式，

• 水平打包（Horizontal packing）：它仅利用 CMux Gate，可以并行执行 $N$ 个相同 $x$ 的 LUT 的查询
• 垂直打包（vertical packing）：它同时使用 CMux Gate 以及 Blind Rotation，加速了单个 LUT 的查询

假设 ${\sigma }_{j,h}$ 是子函数 $f_j,j\in [s]$ 在位置 $h\in [2^d]$ 的数值，如图所示

Horizontal Packing

因为子函数都是在相同的 $x$ 上求值的，所以可以使用同一个控制位。

我们固定 $h\in [2^d]$，并行加密各个 $f_j,j\in [s]$ 的 LUT，
$$d_h\in RLW{E}_K\left(\sum _j{\sigma }_{j,h}{X}^j\right)$$
接着使用 $x_i\in \mathbb{B}$ 作为控制位，其密文是：
$$C_i\in RGS{W}_K(x_i)$$
利用 CMux Gate 运算，$c{t}^{\prime }=(1-C)⊠c{t}_0+C⊠c{t}_1$，去执行 OBDD 挑选出 $d_h$ 的值，它就包含了 $f_j(x),j\in [s]$ 的结果，最后分别提取出来。

一般来说 $s\le N$，因此只需要单个 RLWE 密文就可以打包 ${\sum }_j{\sigma }_{j,h}{X}^j$，但是并行度也只有 $s$。如果 $s=kN$，那么就需要 $k$ 个 RLWE 密文，并行度是最大的 $N$。

Vertical Packing

这个技术可用于较长的 LUT 的查询。假设 $\delta =\log N$，我们将长度 $2^d$ 的 LUT 顺序划分为 $2^{d-\delta }=2^d/N$ 个长度为 $N=2^{\delta }$ 的 Box。易知这些 Box 的索引是高位 $(x_{d-1},\cdots ,d_{\delta })$，而 Box 内部的索引是低位 $(x_{\delta -1},\cdots ,x_0)$。

我们固定 $j\in [s]$，利用 $2^d/N$ 个 RLWE 密文加密各个 Box，
$$d_{j,k}\in RLW{E}_K(\sum _i{\sigma }_{j,i+Nk}{X}^i)$$
使用高位 $(x_{d-1},\cdots ,d_{\delta })$ 作为选择 Box 的控制位，使用低位 $(x_{\delta -1},\cdots ,x_0)$ 作为旋转 Box 的控制位。无论是 OBDD 还是 Rotation，其控制位的密文都是：
$$C_i\in RGS{W}_K(x_i)$$
先 OBDD 查询出 $f_j(x)$ 所在的 Box，再 Rotate 将它旋转到常数项，提取出来。

它和 [GBA21] 的区别是：

1. Vertical Packing 将高精度 LUT 顺序拆分为多个 LUT，按照二进制，从高位到低位，使用 Leveled GSW 计算 CMux-based OBDD，选择出某一个 LUT，最后执行一次 PBS 得到计算结果
2. Combine PBS 也将高精度 LUT 顺序拆分为多个 LUT，按照 $t$ 进制，从低位到高位，使用 PBS 计算出各个 LUT 的值，再用 Pri-KS 组合成若干个新的 LUT，继续迭代 PBS 直到得到最终结果

Arithmetic Operations via WFA

对于布尔运算，基于 Mux Gate 的有限自动机（FA）就足够了。但是对于多比特的算术运算，则需要加权的有限自动机（WFA）。

在 [CGGI17] 中，固定 $\Sigma =\mathbb{B}$，让每一个 word 都仅对应单个路径（也就是 det-WFA），所有的 words 都是可接受的（一条从始到终的路径）。半环加法是无用的，而半环乘法是 $(S,\otimes )=({\mathbb{T}}_N[X],+)$

对于某种算术运算，构建对应的 det-WFA，使得路径重量分别为 $w(\sigma )=f(x=\sigma )$，

• 对于每个状态 $q\in Q$，在时刻 $j$ 的值解密到 RLWE 密文 $c_{j,q}$

• 给定一个单词 $\sigma ={\sigma }_0\cdots {\sigma }_{d-1}\in {\mathbb{B}}^d$，每个字母加密到 RGSW 密文 $C_i$

• 从时刻 $d$ 向前回溯，初始设置 $c_{d,q}=RLWE(0)$

• 读取了字母 ${\sigma }_j$，假设 det-WFA 中存在一对 transitions，形如 $(q,0,v_0,q_0)$ 和 $(q,1,v_1,q_1)$，那么计算
  $$c_{j,q}=CMux(C_j,c_{j+1,q_0}+RLWE(v_0),c_{j+1,q_1}+RLWE(v_1))$$

• 一直回溯到 $c_{0,I}$，我们就得到了 $w(\sigma )$ 的值

MAX

对于 $x={\sum }_i{x}_i{2}^i$ 和 $y={\sum }_i{y}_i{2}^i$，从高到低依次比较各个比特，

Multiplication

构建 Schoolbook 算法，使用 states 来追踪 partial sum，使用 transitions 来修改这些 sums，

TBSR counter for Multi-addition

为了更高效的计算 multi-addition，[CGGI17] 提出了 BSR（Bit Sequence Representation）计数器，它可以计算：比特提取、自增、整除。

BSR

二的幂次分圆环的维度是 $N$，设置 $p=\log N$，我们让 $B_{j,k}^{(l)},j\in [0,p],k,l\in \mathbb{Z}$ 表示整数 $k+l$ 的第 $j$ 比特（little-endian signed binary representation）。那么，

• $B_0^{(0)}=(0,1,0,1,\cdots )$ 是 2-periodic 序列（周期为 2）
• $B_1^{(0)}=(0,0,1,1,\cdots )$ 是 4-periodic 序列，其他的类似
• $B_j^{(l)}$ 就是 $B_j^{(0)}$ 平移了 $l$ 位置，不改变周期
• 因此，$B_j^{(l)}$ 都是 $2^j$-antiperiodic 序列（周期为 $2^{j+1}$，前一半和后一半反对称）

易知，
$$(B_{0,k}^{(l)},B_{1,k}^{(l)},\cdots ,B_{p,k}^{(l)}{)}_2=[l+k{]}_{2N}\in [-N,N-1]$$
我们将 $p$ 个（截断长度 $N$ 的）周期的比特流记为 B S R ( l ) : = [ B 0 ( l ) , ⋯ , B p ( l ) ] ∈ { 0 , 1 } p × N BSR(l):=[B_0^{(l)}, \cdots, B_p^{(l)}] \in \{0,1\}^{p\times N} BSR(l):=[B0(l)​,⋯,Bp(l)​]∈{0,1}p×N，

提取：

1. 第一列的 $p$ 个比特就表示了整数 $[l{]}_{2N}$

自增：

1. 给定 $BSR(l)=[u_0,\cdots ,u_p]$，其中 $l\in [0,N-1]$
2. 设置 $v_{j,k}=u_{j,k+i}$，也就是序列 $u_j$ 左移 $i$ 位
3. 输出 $BSR(l+i)=[v_0,\cdots ,v_p]$

整除：

1. 给定 $BSR(l)=[u_0,\cdots ,u_p]$，其中 $l\in [0,N-1]$
2. 设置 $v_{j,k}=u_{j+1,2k},j\in [0,p-1]$，也就是删除最低比特，其他比特简单右移
3. 设置 $v_{p,k}=0,k\in [0,N/2]$，因为 $\lfloor l/2\rfloor <N/2$，于是 $\lfloor l/2\rfloor +k$ 的符号位一定是零
4. 设置 $v_{p,k}=u_{p,2(k-N/2)},k\in [N/2,N-1]$，因为 $u_p$ 先是 $N-l$ 个 $0$ 再是 $l$ 个 $1$，而目标 $v_p$ 应该是 $N-\lfloor l/2\rfloor$ 个 $0$ 再是 $\lfloor l/2\rfloor$ 个 $1$，恰好是对应的
5. 输出 $BSR(\lfloor l/2\rfloor )=[v_0,\cdots ,v_p]$

如图所示：

在同态运算下，[CGGI17] 将 BSR 的低 $p$ 位的序列加密为 ${\mu }_i={\sum }_{k}1/2\cdot u_{j,k}{X}^k$，符号位的序列加密为 ${\mu }_p={\sum }_k(1/2\cdot u_{p,k}-1/4)X^k$，

整除运算为：

TBSR encryption

将 BSR 序列加密到 RLWE 密文中，同态地计算 BSR 上定义的运算。[CGGI17] 要求 $l\in [0,N-1]$，但是原本 BSR 的运算是 $(\mathrm{mod}2N)$ 的，这是因为 $(X^N+1)$ 导致反循环，他们只用一半的空间来避免。

利用它，我们可以搭建出 multi-addition 或者 multiplication 的教科书算法，

Combining leveled with bootstrapping

因为 RGSW 和 RLWE 的外积结果是 RLWE，而 RLWE 再提取为 LWE，因此我们需要将 LWE 提升到 RGSW 的手段。这需要 circuit bootstrapping，也就是对组成 RGSW 密文的那些 RLWE 所依赖的 LWE 分别自举，然后使用 Priv-KS 和 Pub-KS 转化为 RLWE 并组装成 RGSW 密文。