参考文献：

1. [Dae95] Daemen J .Cipher and hash function design strategies based on linear and differential cryptanalysis[J].Doctoral Dissertation K.u.leuven, 1995.
2. [GPP11] Guo J, Peyrin T, Poschmann A. The PHOTON family of lightweight hash functions[C]//Advances in Cryptology–CRYPTO 2011: 31st Annual Cryptology Conference, Santa Barbara, CA, USA, August 14-18, 2011. Proceedings 31. Springer Berlin Heidelberg, 2011: 222-239.
3. [DGH+23] Dobraunig C, Grassi L, Helminger L, et al. Pasta: A Case for Hybrid Homomorphic Encryption[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2023, 2023(3): 30-73.

[DGH+23] 给出了 HHE 的形式化定义，设计了一个通用的 HHE 测试框架，并评估了目前已有的 HHE 方案的执行效率。他们发现即使是很小的用例（use case）它们也都是不实用的。然后它们提出了 Pasta 方案，专门对 Leveled FHE 支持的 ${\mathbb{F}}_p^t$ 明文空间做了优化。对于 Leveled FHE，优化准则是最小化 SE 的乘法深度；对于 Pure FHE，优化准则应该修改为最小化 SE 的乘法数量。[DGH+23] 很早就在 eprint 上可用了，后续有多种 HHE 使用了 Pasta 的构造模块，例如 Rubato

HHE Benchmarking Framework

[DGH+23] 选择了如下的基准测试用例（Benchmarking a Generic Use Case），以反映真实世界中的 HHE 效率

1. 三个仿射变换 $x_i^{\prime }=M_i\cdot x_i+b_i$，其中 $x_i,x_i^{\prime },b_i\in {\mathbb{F}}_p^{200}$ 以及 $M_i\in {\mathbb{F}}_p^{200\times 200}$，素数 $p$ 的规模是 $60$ 比特
2. 给定某个（加密的）向量 $x_0$，依次执行三个仿射变换，在它们之间插入了两个平方函数
3. 这被视为是三层神经网络，使用的平方激活函数

[DGH+23] 使用 SEAL（明文空间 ${\mathbb{F}}_p$）测试了：BFV 本身，对 ${\mathbb{F}}_p$ 优化的 Pasta，对 ${\mathbb{F}}_2$ 优化的 Agrasta，AES 加密，以及 LWE-Native 加密。基准测试的结果如下，

可以观察到：HE 需要大量的随机性，并且通信开销很大。LWE 对随机性的需要以及通信开销都大幅降低了，但依旧不算好。使用 ${\mathbb{Z}}_2$ 上的 SE 方案，由于 FHE 支持的明文空间是 ${\mathbb{Z}}_p$，布尔电路在这上面的深度很大，导致 Server 无法同态解密。[DGH+23] 所设计的 Pasta over ${\mathbb{F}}_p$ 做到了 Client 和 Server 之间的很好平衡。三种 HHE 在客户端的表现相似，但是在服务器上的差异巨大，主要就是因为 SE 是否设计在了 ${\mathbb{F}}_p$ 算术运算上，而非布尔电路。

考虑通信带宽的影响，Client 的时间开销为：

Inefficiency of ${\mathbb{Z}}_2$ Ciphers

[DGH+23] 还展示了布尔电路上设计的 SE 应用到 HHE 时的低效。在这里，他们使用了很小的用例 $r=M\cdot x+b$，其中 $r,x,b\in {\mathbb{Z}}_{65536}^5$ 以及 $M\in {\mathbb{Z}}_{65536}^{5\times 5}$，去执行完整的 HHE 计算流程。可以发现即使是这么小的用例，这些 SE 的效率也会非常的低。

[DGH+23] 测试了如下的 Ciphers（它们的设计细节请看原文），

在 SEAL 下的测试结果为：

他们把 SE 的解密称之为 decompressing the HHE ciphertext。在小用例的计算中，由于 SEAL 不支持 ${\mathbb{Z}}_2$ 上的打包，因此他们将单个 bit 加密在单个 BFV 密文的 coeff 常数项（好傻啊）

Efficient Cipher for HHE over ${\mathbb{F}}_p$

在 Pasta 之前，已经存在了一些针对 ${\mathbb{F}}_p$ 而设计的 SE 方案，其中 $2^{12}<p<2^{60}$ 是 SEAL 所支持的可打包的素数范围。

• Masta：它是把 Rasta 简单地从 ${\mathbb{Z}}_2$ 扩展到了 ${\mathbb{F}}_p$ 上，使用了 randomized linear layers 策略
• Hera：它被用于 RtF Framework，使用了 randomized key schedule 策略

SEAL 不支持自举，因此计算代价的度量应该首选为乘法深度，当然 ct-ct 甚至 pt-ct 乘法的数量也不可忽视。[DGH+23] 也遵循 Rasta 的设计，将它扩展到 ${\mathbb{F}}_p$ 上。为了降低乘法深度，采取的措施有：最小化轮数，低次数的 S-box（代价是更大的状态，但设计 packing-friendly cipher），平衡乘法深度和运算时间。

S-Box

[DGH+23] 考虑了多种 S-boxes 的计算代价和限制，

$\chi$-S-box：原始的 Rasta 使用了 [Dae95] 的 $\chi$-transformation over ${\mathbb{Z}}_2^t$ 作为非线性层，但是它在一般的 ${\mathbb{F}}_p^t$ 中不再是一个置换。不过 Rasta 使用了随机化的线性层（已经抵御了统计攻击），因此它的非线性层只需要求逆的次数很高即可（抵御代数攻击）。定义
$$[\chi (x){]}_i=x_i+x_{i+2}\cdot (1+x_{i+1})(\mathrm{mod}p)$$
其中的 indices 都是 $(\mathrm{mod}t)$ 循环的。在 BFV 的打包技术下，上述运算只需要使用 2 次旋转和 1 次乘法（如果 $t\ne N$，还需要使用 masking vectors 模拟）。

Cube S-box：假如 $\gcd (p-1,3)=1$，那么存在 $3^{-1}\in {\mathbb{F}}_p^{\ast }$，从而 $x^3$ 是双射。定义：
$$[S(x){]}_i=x_i^3$$
在打包技术下，它只需两次阿达玛乘法，不需要 Rotate 运算。

Feistel-Like S-Box（via a Quadratic Function）：定义一个使用 $x^2$ 函数的 Feistel 网络，
$$[S^{\prime }(x){]}_i=\{\begin{array}{rlr}{x}_i,& & i=0\\ x_i+x_{i-1}^2,& & \text{otherwise}\end{array}$$
使用 $[0,1,1,\cdots ]$ 作为 masking vector，容易实现它的 SIMD 运算。

Alternative Feistel-Like S-Box（via the $\chi$-Function）：定义一个使用 $\chi$ 函数的 Feistel 网络，
[ S ′ ′ ( x ) ] i = { x i , i ∈ { 0 , 1 } x i + x i − 1 ⋅ x i − 2 otherwise [S''(x)]_i = \left\{\begin{aligned} x_i, && i \in \{0,1\}\\ x_i + x_{i-1}\cdot x_{i-2} && \text{otherwise} \end{aligned}\right. [S′′(x)]i​={xi​,xi​+xi−1​⋅xi−2​​​i∈{0,1}otherwise​
使用 $[0,0,1,1,\cdots ]$ 作为 masking vector，也容易实现它的 SIMD 运算。

上述四种 S-boxes 的计算开销为：

综合考虑乘法深度以及 KS 的开销，最终 Pasta 选取 Feistel 作为 main S-box。但同时也使用了 Cube 作为补充，去提升 Cipher 的次数（从而抵御线性分析，降低状态规模）。

Linear Layer

[DGH+23] 使用的是随机化线性层的策略，但是 ${\mathbb{F}}_p$ 上的矩阵可逆性的检查是昂贵的（在明文下生成随机矩阵，而非在同态下）。[DGH+23] 采用了 [GPP11] 提出的 sequential matrix 生成方式，直接随机生成一个必然可逆的矩阵。对于 $d$ 阶矩阵，随机采样 α 1 , ⋯ , α d ∈ F p \ { 0 } \alpha_1,\cdots, \alpha_d \in \mathbb F_p\backslash\{0\} α1​,⋯,αd​∈Fp​\{0}，首先构造
$$A=Serial({\alpha }_1,\cdots ,{\alpha }_d):=\left[\begin{array}{ccccc}0& 1& 0& \cdots & 0\\ 0& 0& 1& \cdots & 0\\ ⋮& & & \ddots & ⋮\\ 0& 0& 0& \cdots & 1\\ {\alpha }_1& {\alpha }_2& {\alpha }_3& \cdots & {\alpha }_d\end{array}\right]\in {\mathbb{F}}_p^{d\times d}$$
然后计算 $M=A^d$ 作为随机的可逆矩阵。由于 $A$ 是具有特殊结构的稀疏矩阵，计算 $M$ 只需要 $d(d-1)$ 次乘法以及 $(d-1{)}^2$ 次加法（怎么快速计算的？）。

如果采用的分圆环维度 $N$ 是二的幂次，那么 Z 2 N ∗ = { 1 , 3 , ⋯ , 2 N − 1 } = ⟨ − 1 , 3 ⟩ \mathbb Z_{2N}^* = \{1,3,\cdots,2N-1\} = \langle-1,3\rangle Z2N∗​={1,3,⋯,2N−1}=⟨−1,3⟩，其中 $ord(-1)=2,ord(3)=N/2$，因此明文槽组成了形状是 ${\mathbb{F}}_p^{2\times N/2}$ 的立方。为了使得 babystep-giantstep optimized diagonal method 中使用的旋转操作的开销更小，[DGH+23] 使用了 Rotate1D 而非 Rotate，并行地执行两个 $t\mid (N/2)$ 阶线性变换，然后再组合它们。

确切地，假设 $x=[x_L,x_R]\in {\mathbb{F}}_p^{2t}$，那么仿射层的运算如下：
$$\left[\begin{array}{cc}2I& I\\ I& 2I\end{array}\right]\cdot \left(\left[\begin{array}{cc}{M}_L& O\\ O& M_R\end{array}\right]\cdot \left[\begin{array}{c}{x}_L\\ x_R\end{array}\right]+\left[\begin{array}{c}{c}_L\\ c_R\end{array}\right]\right)$$
这里的 $M_L,M_R$ 都是 $t$ 阶矩阵，$O$ 和 $I$ 分别是零矩阵和单位阵。首先使用自同构 ${\tau }_{3^i}$ 执行两个并行的 BSGS 矩阵乘法，然后再使用自同构 ${\tau }_{-1}$ 实现这两个仿射变换的结果混合。

Pasta

现在我们描述 Pasta 方案。选择 $t=t_1\cdot t_2$ 是两个大小接近的整数的乘积，选择满足 $\gcd (p-1,3)=1$ 的一个 NTT 友好的大素数。它同时使用了 Feistel 和 Cube 两种 S-boxes，

对于第 $i$ 个消息分组，使用 XOF 来产生随机化的仿射层（在明文下），对主密钥 $K$（在密文下）执行 AES-like 轮函数迭代（状态大小为 $2t$），最后截断长度为 $t$ 的密钥流，加到消息分组上。

经过不同攻击的分析，[DGH+23] 给出了推荐的参数集。用例为 ${\mathbb{Z}}_{65536}^{5\times 5}$ 上仿射变换，Pasta 的计算效率：