Chimera：混合的 RLWE-FHE 方案

参考文献：

1. [HS14] S. Halevi and V. Shoup. Algorithms in HElib. In Advances in Cryptology–CRYPTO 2014, pages 554–571. Springer, 2014.
2. [HS15] S. Halevi and V. Shoup. Bootstrapping for HElib. In Advances in Cryptology–EUROCRYPT 2015, pages 641–670. Springer, 2015.
3. [CHKKS18] Cheon J H, Han K, Kim A, et al. Bootstrapping for approximate homomorphic encryption[C]//Advances in Cryptology–EUROCRYPT 2018: 37th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Tel Aviv, Israel, April 29-May 3, 2018 Proceedings, Part I 37. Springer International Publishing, 2018: 360-384.
4. [CGGI20] Chillotti I, Gama N, Georgieva M, et al. TFHE: fast fully homomorphic encryption over the torus[J]. Journal of Cryptology, 2020, 33(1): 34-91.
5. [BGGJ20] Boura C, Gama N, Georgieva M, et al. Chimera: Combining ring-lwe-based fully homomorphic encryption schemes[J]. Journal of Mathematical Cryptology, 2020, 14(1): 316-338.
6. TFHE 的全同态模结构（FHE Module Structure）-CSDN博客

CKKS Bootstrapping

Trigonometric function

在 [CKKS18] 中，作者仅仅给出了 Level FHE，并没有给出 Prue FHE，因为 CKKS 自身并不支持计算模约简，但是自举过程中的模约简却是必要的。[CHKKS18] 利用 CKKS 支持近似计算的优势，采取三角函数来近似模约简，
$$S(x):=\frac{q}{2\pi }\sin (\frac{2\pi }{q}x)\approx F(x):=[x{]}_q$$

然后将 $\sin$ 归约到 $\exp$ 的计算上，
$$E(x):=\frac{q}{2\pi }\exp \left(\frac{2\pi i}{q}x\right)$$

最后提取虚部，获得模约减结果，
$$S(x)=Im(E(x))=\frac{1}{2}(E(x)-E(-x))$$

CKKS 自举的流程为：

Homomorphic Matrix Multiplication

我们需要在 coefficient packing 和 slot packing 之间做变换：

• Coeff To Slot，就是对 slots 做 InvDFT 变换
• Slot To Coeff，就是对 slots 做 DFT 变换

对应的图形为：
KaTeX parse error: Expected 'EOF', got '&' at position 16: \begin{array} &̲& \text{IDFT}(m…

为了计算 slots 的（公开）线性变换，[CHKKS18] 采取了 [HS14] 的矩阵-向量乘积的斜对角线算法：

它的每个 $c{t}_j$ 是独立的，可以完全并行。旋转+数乘的数量 $O(N)$，旋转+数乘的深度 $O(1)$，使用 [HS15] 的大步小步法（Baby-Step Giant-Step algorithm）可以获得更低的复杂度：只需要 $O(\sqrt{N})$ 次旋转，

相较而言，同态的 FFT/NTT 需要 $O(\log N)$ 层蝴蝶，并且每层的位移 $2^j$ 需要使用 Benes 网络实现。问题是：上述矩阵乘算法中的 $Rot(ct,j)$，它真就是 Galois 群所提供的基本旋转置换么？是否也需要 Benes 网络呢？哦！可以按照 $\zeta \to {\zeta }^3$ 导致的旋转顺序对矩阵的行列做重排，然后仅使用基本的旋转置换就够了。

由于 CKKS 加密的是实系数多项式，只有一半的槽可用，另外一半与之共轭。

• 对于 Coeff To Slot，我们把 $N$ 个实系数，迁移到 $2$ 个密文的 $N/2$ 个复数槽中。因此需要把 $N/2\times N$ 的 DFT 矩阵切分为两个 $N/2\times N/2$ 子矩阵，
  $$DFT=[U_0|U_1],IDFT=\frac{1}{N}\cdot DF{T}^{†}$$

  两个子矩阵分别为
  $$U_0=\left[\begin{array}{cccc}1& {\zeta }_0& \cdots & {\zeta }_0^{N/2-1}\\ 1& {\zeta }_1& \cdots & {\zeta }_1^{N/2-1}\\ ⋮& & \ddots & \\ 1& {\zeta }_{N/2-1}& \cdots & {\zeta }_{N/2-1}^{N/2-1}\end{array}\right],U_1=\left[\begin{array}{cccc}{\zeta }_0^{N/2}& {\zeta }_0^{N/2+1}& \cdots & {\zeta }_0^{N-1}\\ {\zeta }_1^{N/2}& {\zeta }_1^{N/2+1}& \cdots & {\zeta }_1^{N-1}\\ ⋮& & \ddots & \\ {\zeta }_{N/2-1}^{N/2}& {\zeta }_{N/2-1}^{N/2+1}& \cdots & {\zeta }_{N/2-1}^{N-1}\end{array}\right]$$

  设置 ${\zeta }_j={\zeta }^{2j+1}$，其中的 $\zeta =\exp (\pi i/N)$ 是 $N$ 次本原根

  槽的原始内容为 $z\in {\mathbb{C}}^{N/2}$，计算 $z_0=\frac{1}{N}(U_0^{†}\cdot z+U_0^T\cdot \bar{z})$ 和 $z_1=\frac{1}{N}(U_1^{†}\cdot z+U_1^T\cdot \bar{z})$，满足 $[z_0|z_1]=InvDFT(z)$

• 对于 Slot To Coeff，我们把 $2$ 个密文的 $N/2$ 个复数槽中存放的 $N$ 个实数，迁移回单个密文的 $N$ 个多项式系数上。这就是 Coeff To Slot 的逆过程，分别计算出 $z_0^{\prime }=U_0\cdot z_0$ 和 $z_1^{\prime }=U_1\cdot z_1$，最后得到 $z=z_0^{\prime }+z_1^{\prime }=DFT([z_0|z_1])$

Chimera

[CGGI20] 给出了实数环面（Torus）上的 T( R )LWE-based FHE 算法 TFHE，其密文的底层代数结构是连续的环面（而非 BGV/BFV、CKKS 的离散的环）。[BGGJ20] 提出了如何把 BFV、CKKS 的明密文空间都映射到环面上，可以将 BFV、CKKS、TFHE 的明密文空间统一起来，实现了三者之间的密文转换。

开源代码：DPPH/chimera-iDash2018

统一的明文空间是 ${\mathbb{T}}_R$，统一的密文空间是 ${\mathbb{T}}_R^2$，它们都是 $R=\mathbb{Z}[x]/(x^N+1)$ 模。

• BFV 方案：明文空间 $R_P\cong P^{-1}R/R\subseteq {\mathbb{T}}_R$，密文空间 $R_q\cong q^{-1}R/R\subseteq {\mathbb{T}}_R$
• CKKS 方案：明文空间 { f ∈ R q : ∥ f ∥ ∞ ≤ 2 ρ } ≅ { f ∈ q − 1 R / R : ∥ f ∥ ∞ ≤ 2 ρ / q } ⊆ T R \{f \in R_q:\|f\|_\infty \le 2^\rho\} \cong \{f \in q^{-1}R/R:\|f\|_\infty \le 2^\rho/q\} \subseteq \mathbb T_R {f∈Rq​:∥f∥∞​≤2ρ}≅{f∈q−1R/R:∥f∥∞​≤2ρ/q}⊆TR​，密文空间 $R_q\cong q^{-1}R/R\subseteq {\mathbb{T}}_R$
• TRLWE 方案：明文空间 ${\mathbb{T}}_R$，密文空间 ${\mathbb{T}}_R$

另外，TRGSW 方案：明文空间 $R$，密文空间 ${\mathbb{T}}_R^2$，它加密的是环（其他三个方案都是加密的模）

FHE module structure & External product

[BGGJ20] 提出了全同态模结构，无噪声版本的定义如下：

可以验证，[CGGI20] 的两个方案 TRGSW 和 TRLWE 携带上 “外积”，它们组成了一个全同态模结构。点击这里，查看具体的构造。

我们现在列出 TFHE（TRLWE）的基本运算，

1. KeyGen：采样秘钥 $s\leftarrow \mathcal{B}\subseteq R$，诱导了相位 ${\varphi }_s:(a,b)\mapsto b-s\cdot a$，这里环 $R$ 左作用于环面 ${\mathbb{T}}_R$

2. Encrypt：消息 $\mu \in {\mathbb{T}}_R$，密文 $c=(a,s\cdot a+\mu +e)\in {\mathbb{T}}_R^2$

3. DecryptApprox：带噪的消息 ${\varphi }_s(c)\in {\mathbb{T}}_R$

4. DecryptRounded：预设离散子集 $M\subseteq {\mathbb{T}}_R\cong {\mathbb{T}}^N$，把 ${\varphi }_s(c)$ 园整到最近的点

5. Public Linear Combinatrion：常数 $a_i\in R$，密文 $c_i=TRLW{E}_S({\mu }_i)$，输出（环的左作用）
   $$TRLW{E}_S(\sum _i{a}_i\cdot {\mu }_i)=\sum _i{a}_i\cdot c_i\in {\mathbb{T}}_R^2$$

6. Sample Extract：索引 $i$，加密了 $\mu \in {\mathbb{T}}_R$ 的 TRLWE 密文 $TRLW{E}_S(\mu )=(a,b)$，输出加密了系数 ${\mu }_i\in \mathbb{T}$ 的同一秘钥下的 TLWE 密文
   $$TLW{E}_S({\mu }_i)=((a_i,a_{i-1},\cdots ,a_{i-N+1}),b_i)$$

   （原始论文中如此，但是不是少了负号啊？反循环的系数卷积）

7. External Product：加密了 ${\mu }_r\in R$ 的 TRGSW 密文 $c_r$，加密了 ${\mu }_m\in {\mathbb{T}}_R$ 的 TRLWE 密文 $c_m$，输出加密了 ${\mu }_r\cdot {\mu }_m\in {\mathbb{T}}_R$ 的 TRLWE 密文
   $$c_r{⊡}_{\alpha }{c}_m:=c_r\cdot G_{\alpha }^{-1}(c_m)$$

   其中 $\alpha$ 是动态的精度（当前噪声的标准差）。给定一个足够精度 $2^{-l}$ 的 TRGSW 密文 $A$，所编码的 ${\mu }_A\cdot G_l$ 前面的 $l^{\prime }=-\log \alpha \le l$ 个小方阵，就足够计算外积了。

   噪声规模是
   $$Var(Err(c_r{⊡}_{\alpha }{c}_m))\le 2lN\cdot Var(Err(c_r))+\frac{1+N}{4}\Vert r{\Vert }_2^2{\alpha }^2+\Vert r{\Vert }_2^2\cdot Var(Err(c_m))$$

   选取精度 $\alpha$，设置密文噪声的方差为 $Var(Err(c_r))={\alpha }^2$，使得噪声主项是 $\Vert r{\Vert }_2^2\cdot Var(Err(c_m))$

8. Functional Key-Switch：任意的 $\kappa$-Lipschitz 线性态射 $f:{\mathbb{T}}^k\to {\mathbb{T}}_R$，给定 $k$ 个 TLWE 密文（不需要 $n=N$）
   $$c_i=TLW{E}_S({\mu }_i)\in {\mathbb{T}}^{n+1}$$
   给定秘钥切换秘钥（TRLWE 格式，密文的二进制分解 + 秘钥的$R$ 模线性组合）
   $$K{S}_{ij}=TRLW{E}_{K,\alpha }(S_i/2^j)$$

   存在某算法（详见 TFHE 的秘钥切换算法），输出
   $$c=TRLW{E}_K(f({\mu }_1,\cdots ,{\mu }_k))\in {\mathbb{T}}_R^2$$

   噪声规模是
   $$Var(Err(c))\le {\kappa }^2\underset{i}{\max }(Var(Err(c_i)))+{\alpha }^2(l{N}^2+\frac{N}{4})$$

   选取精度 $\alpha$，使得噪声主项是 ${\kappa }^2{\max }_i(Var(Err(c_i)))$

   

9. Functional Gate Bootstrap：任意的反循环非线性态射 $f:(2N{)}^{-1}\mathbb{Z}/\mathbb{Z}\subseteq \mathbb{T}\to \mathbb{T}$，满足 $f(x+1/2)=-f(x)$，给定某个 TLWE 密文（不需要 $n=N$）
   $$c=TLW{E}_K(\mu )\in ((2N{)}^{-1}\mathbb{Z}/\mathbb{Z}{)}^{n+1}\subseteq {\mathbb{T}}^{n+1}$$

   给定自举秘钥（TRGSW 格式，外积 + 基于 MUX 的盲旋转）
   $$B{K}_i=TRGS{W}_{S,\alpha }(K_i)$$

   存在某算法（详见 TFHE 的盲旋转/门自举算法），输出
   $$c^{\prime }=TLW{E}_S(f({\varphi }_K(c)))\in {\mathbb{T}}^{N+1}$$

   噪声规模是
   $$Var(Err(c^{\prime }))\le {\alpha }^{2}n(2lN+N+\frac{5}{4}+l)$$

   选取精度 $\alpha$，使得自举后 $c^{\prime }$ 的噪声规模比原始 $c$ 的噪声规模小得多

   

在三种方案的密文之间转换时，需要频繁用到 TRLWE 的上述操作：线性组合（同态解密）、系数提取（获取 TLWE 密文）、外积（构造内积）、线性态射的秘钥切换（在 coeff 和 slot 之间切换）、自举。

TRLWE as Bridge

在 Chimera 中，使用 TRLWE 作为桥梁：

对于 BFV（红箭头），

1. 采取 slot packing 编码方式的消息 $p{\mu }_i\in {\mathbb{Z}}_p$ 的单个 BFV 密文，转换为 coeff packing 编码方式的消息 ${\mu }_i\in \mathbb{T}$ 的单个 TRLWE 密文，最后可以提取出 $N$ 个消息 ${\mu }_i\in \mathbb{T}$ 的 TLWE 密文
2. 至多 $N$ 个消息 ${\mu }_i\in \mathbb{T}$ 的 TLWE 密文，组合成 slot packing 编码方式的消息 $p{\mu }_i\in {\mathbb{Z}}_p$ 的单个 BFV 密文

对于 CKKS（绿箭头），

1. 采取 coeff packing 编码方式的消息 ${\mu }_i\in \mathbb{T}$ 的单个 CKKS 密文（也可以利用 Slot to Coeff 程序获取 slot packing 的消息，但是需要 $DFT(\vec{\mu })$ 是实的），可以立即地转换为 coeff packing 编码方式的消息 ${\mu }_i\in \mathbb{T}$ 的单个 TRLWE 密文，最后可以提取出 $N$ 个消息 ${\mu }_i\in \mathbb{T}$ 的 TLWE 密文
2. 至多 $N/2$ 个消息 ${\mu }_i\in \mathbb{T}$ 的 TLWE 密文，采用 CKKS 自举技巧的变体，组合成 slot packing 编码方式的消息 $\exp (2\pi i{\mu }_i)\in \mathbb{C}$ 的单个 CKKS 密文，最后可以利用 $\sin$ 函数以及 Slot to Coeff 程序得到 coeff packing 编码方式的消息 ${\mu }_i\in \mathbb{T}$ 的单个 CKKS 密文

对于 BFV-BigNum（蓝箭头），明文模数选取为 $P=x-p$，此时 $R_P\cong {\mathbb{Z}}_{p^N+1}$，并且
$$P^{-1}=\frac{-1}{p^N+1}\sum _{i=0}^{N-1}{p}^{N-i-1}{x}^i$$

于是同构映射 $R_P\cong P^{-1}R/R\to {\mathbb{Z}}_{p^N+1}$ 恰好就是提取前导项 $x^{N-1}$ 的系数。在密文转换时，直接与 TLWE 做转换。

Application

在 TFHE 密文下计算：

• 稀疏的、深度大的布尔运算
• 线性运算（秘钥切换）
• 反循环的非线性运算（盲旋转/自举）
• 延迟较低的自举

在 BFV 密文下计算：

• 密集的、深度浅的整数运算（SIMD）
• 稀疏表示的非线性多项式（拉格朗日插值）
• 均摊成本低的自举

在 CKKS 密文下计算：

• 密集的、深度浅的浮点数运算（SIMD）
• 明文槽的线性变换（同态的矩阵乘）
• 非线性函数（傅里叶级数/泰勒级数）

BFV

BFV over Torus

原始 BFV 的明文空间是 $R_P\cong P^{-1}R/R\subseteq {\mathbb{T}}_R$，其中 $P\in \mathbb{Z}[x]$ 在 $\mathbb{Q}[x]$ 中可逆。同构映射为
$$u\in {\mathbb{T}}_R\mapsto P\cdot u\in R_P$$

我们称 $R_P$ 是环面 ${\mathbb{T}}_R$ 的 $P$-扭曲（torsion）

我们现在为 native 明文空间 $M:=P^{-1}R/R$ 装备上乘法。定义离散环面 $M\subseteq {\mathbb{T}}_R$ 的蒙哥马利内积（internal Mongomery-type product）
$${\mu }_1{⊡}_P{\mu }_2\mapsto P\cdot {\mu }_1\cdot {\mu }_2(\mathrm{mod}\mathbb{Z})$$

其中的 $\cdot$ 算符，是从 $\mathbb{Z}[x],M$ 提升到 $\mathbb{Q}[x]$ 上运算的。

环面上的 BFV 方案：

• KeyGen：

  1. 均匀采样 $s\leftarrow \mathcal{B}$，它是短的整系数多项式

• Enc：

  1. 明文 $\mu \in M\subseteq {\mathbb{T}}_R$
  2. 均匀采样 $a\leftarrow {\mathbb{T}}_R$，零中心高斯采样 $e\leftarrow {\mathbb{T}}_R$
  3. 计算 $b:=s\cdot a+e\in {\mathbb{T}}_R$，满足 ${\varphi }_s(a,b)=e\approx 0$
  4. 密文 $c:=(a,b)+(0,\mu )$，是长度 $2$ 的列向量

• Dec：

  1. 密文 $(a,b^{\prime })\in {\mathbb{T}}_R\times {\mathbb{T}}_R$
  2. 计算 ${\varphi }_s(a,b^{\prime })=e+\mu \in {\mathbb{T}}_R$
  3. 圆整到 $\mu \in M$

• Add（同态的 $M$ 上的加法）：

  1. 密文 $c_1=BF{V}_s({\mu }_1),c_2=BF{V}_s({\mu }_2)$，属于 $R$ 模 ${\mathbb{T}}_R^2$
  2. 计算 $R$ 模的加法 $c_3=c_1+c_2=BF{V}_s({\mu }_1+{\mu }_2)$

• Internal product（同态的 $M$ 上的内积）：

  1. 给定重线性化秘钥 $RK=TRGS{W}_{s,\alpha }(s)$（原始 BFV 采取 $R{K}_j=TRLW{E}_s(s^2/2^j)$）

  2. 密文 $c_i=BF{V}_s({\mu }_i)$ 提升到 $(a_i,b_i)\in R_{\mathbb{R}}$，系数范围 $[-1/2,1/2)$，使得在 $R_{\mathbb{R}}$ 上可以计算乘法

  3. 计算 $c_i(s)$ 的 Montgomery 版本多项式乘积（提升到 $R_{\mathbb{R}}$ 上的乘法，虽然 ${⊡}_{P,\alpha }$ 仅仅对于子集 $M\subseteq {\mathbb{T}}_R$ 有定义），$C_2=P{a}_1{a}_2$，$C_1=P(a_1{b}_2+a_2{b}_1)$, $C_0=P{b}_1{b}_2$

  4. 消除密文多项式的二次项，由于
     $$En{c}_M(s^2\cdot C_2)=En{c}_R(s^2){⊡}_{\alpha }En{c}_M(C_2)=En{c}_R(s){⊡}_{\alpha }En{c}_M(s\cdot C_2)$$

     Chimera 采用 $RK=En{c}_R(s)$，对应的密文 $En{c}_M(s\cdot C_2)=(-C_2,0)$

     原始 BFV 采用了 $RK=En{c}_R(s^2)$，对应的密文 $En{c}_M(C_2)=(0,C_2)$，但是元素 $s^2$ 的范数相对更大，导致外积的噪声更大

  5. 利用与 TRGSW 的外积，构造出 BFV 的密文内积（注意 TRLWE 的密文内积未定义，环面 ${\mathbb{T}}_R$ 上并没有关于 $P$ 的蒙哥马利内积）
     $$c_1{⊡}_{P,\alpha }{c}_2:=(C_1,C_0)-RK{⊡}_{\alpha }(C_2,0)$$

     容易验证， $c_1{⊡}_{P,\alpha }{c}_2=BF{V}_s({\mu }_1{⊡}_P{\mu }_2)$

     噪声规模是
     $$Var(Err(c_1{⊡}_{P,\alpha }{c}_2))\le \frac{1+N+N^2}{2}\Vert P{\Vert }_2^2\cdot \underset{i}{\max }Var(Err(c_i))+{\alpha }^2(2lN+\frac{N+N^2}{4})$$

     选取合适的 $\alpha$，使得主项是 $\frac{1+N+N^2}{2}\Vert P{\Vert }_2^2\cdot {\max }_{i}Var(Err(c_i))$

• Modulus switch：BFV 不需要模切换，原始方案的思路就是用 ${\mathbb{Z}}_q$ 模拟 $q^{-1}\mathbb{Z}/\mathbb{Z}$，噪声被自然地控制了（小数相乘会变得更小）

现在 BFV 的明文是 $\mu \in M\subseteq {\mathbb{T}}_R$，密文是 $c=(a,b)\in {\mathbb{T}}_R^2$，它们与 TRLWE 的明密文空间相兼容。

BFV to TFHE

选取明文模数 $P=p\in \mathbb{Z}$ 是素数，满足 $2N|p-1$ 使得 ${\mathbb{Z}}_p$ 中存在 $2N$ 次本原单位根。

Coeff packing：明文空间 $M=p^{-1}R/R$，我们以标准基 { 1 , x , ⋯ , x N − 1 } \{1,x,\cdots,x^{N-1}\} {1,x,⋯,xN−1} 将它转换为 $M\cong p^{-1}{\mathbb{Z}}^N/{\mathbb{Z}}^N$，因此 $M$ 可以视为矩阵 $p^{-1}{I}_N$ 生成的正交格，packing raduius 是 $1/2P$

Slot packing：明文空间 $M\cong R_p\cong {\mathbb{Z}}_p^N$，令 ${\zeta }_0,\cdots ,{\zeta }_{N-1}\in {\mathbb{Z}}_p$ 是 $x^n+1$ 的所有根，同构映射为
$$NTT:\mu \in p^{-1}R/R\mapsto z=[(p\mu )({\zeta }_0),\cdots ,(p\mu )({\zeta }_{N-1})]\in {\mathbb{Z}}_p^N$$

从 $p\mu \to z$ 的线性变换为：
$$VDM=\left[\begin{array}{cccc}1& {\zeta }_0& \cdots & {\zeta }_0^{N-1}\\ 1& {\zeta }_1& \cdots & {\zeta }_1^{N-1}\\ ⋮& & \ddots & \\ 1& {\zeta }_{N-1}& \cdots & {\zeta }_{N-1}^{N-1}\end{array}\right](\mathrm{mod}p)$$

给定 BFV 密文 $c=(a,b+\mu )\in {\mathbb{T}}_R^2$，为了方便矩阵运算，我们把 $a$ 写成反循环的行向量，$s$ 和 $b$ 写成列向量（$\mathbb{Z}$ 是交换环，右模 = 左模），于是把 $c$ 写成矩阵形式 $C\in {\mathbb{T}}^{N\times (N+1)}$（也就是 $N$ 个 TLWE 密文），
$$De{c}_s(c)=\left[\begin{array}{cccccc}{a}_{N-1}& a_{N-2}& \cdots & a_1& a_0& b_{N-1}+{\mu }_{N-1}\\ a_{N-2}& a_{N-3}& \cdots & a_0& -a_{N-1}& b_{N-2}+{\mu }_{N-2}\\ & & \ddots & & & ⋮\\ a_0& -a_{N-1}& \cdots & -a_2& -a_1& b_0+{\mu }_0\end{array}\right]\cdot \left[\begin{array}{c}-s_0\\ -s_1\\ ⋮\\ -s_{N-1}\\ 1\end{array}\right]\approx \left[\begin{array}{c}{\mu }_{N-1}\\ {\mu }_{N-2}\\ ⋮\\ {\mu }_0\end{array}\right]\in (p^{-1}\mathbb{Z}/\mathbb{Z}{)}^N$$

给定矩阵 $F\in {\mathbb{Z}}^{N\times N}$（环面 $\mathbb{T}$ 是 $\mathbb{Z}$ 模），可以对多项式的系数 ${\mu }_i$ 做线性变换（通过对 $C$ 的每一列 $X^{i}a(x)(\mathrm{mod}{x}^N+1)$ 做 $F$ 变换），
$$(F\cdot C)\cdot (-s,1)=F\cdot \left[\begin{array}{c}{\mu }_{N-1}\\ {\mu }_{N-2}\\ ⋮\\ {\mu }_0\end{array}\right]+F\cdot e$$

为了减少噪声 $F\cdot e$ 的规模，我们可以把 $F$ 约束为系数范围是 $[-p/2,p/2)$ 的整数矩阵（离散环面 $p^{-1}\mathbb{Z}/\mathbb{Z}\subseteq \mathbb{T}$ 不仅是 $\mathbb{Z}$ 模，也是 ${\mathbb{Z}}_p$ 模）

对于 slot 内的消息 $z=NTT(p\mu )\in {\mathbb{Z}}_p^N$，其上的线性变换为
$$F\cdot (VDM\cdot (p\cdot \mu ))$$

由于 $\mu \in (p^{-1}\mathbb{Z}/\mathbb{Z}{)}^N$，因此 $p\cdot \mu \in {\mathbb{Z}}_p^N$，从而可以在 ${\mathbb{Z}}_p$ 上计算 NTT 变换。

但是密文 $C\in {\mathbb{T}}^{N\times (N+1)}$ 并不是 ${\mathbb{Z}}_p$ 模，我们需要把 $VDM\in {\mathbb{Z}}_p^{N\times N}$ 提升到 ${\mathbb{Z}}^{N\times N}$ 上才存在环作用。我们计算：
$$(F\cdot VDM)\cdot C\cdot (-s,1)\approx p^{-1}(F\cdot z)\in (p^{-1}\mathbb{Z}/\mathbb{Z}{)}^N$$
同理，我们应当把 $F\cdot VDM$ 表示为系数范围是 $[-p/2,p/2)$ 的整数矩阵，以减少噪声规模。

使用线性态射是 $F\cdot VDM$ 的秘钥切换过程（单个 TRLWE 密文被视为 $N$ 个 TLWE 密文），就实现了 BFV 到 TFHE 的密文转换：

• 输入单个 slot packing 编码的消息 $z\in {\mathbb{Z}}_p^N$ 的 BFV over Torus 密文，以及 ${\mathbb{Z}}_p$ 上的线性函数 $f$
• 输出单个 coeff packing 编码的消息 $p^{-1}f(z)$ 的 TRLWE 密文
• 可以通过 Sample Extract 提取出 $N$ 个系数的 TLWE 密文

由于 $F\cdot VDM(\mathrm{mod}p)$ 是一个 $(Np/2)$-Lipschitz 态射，输出的噪声规模为
$$Var(Err(c^{\prime }))\le (\frac{Np}{2}{)}^2\cdot Var(Err(c))+{\alpha }^2\cdot (l{N}^2+\frac{N}{4})$$

选取合适的精度 $\alpha$，使得 $(Np/2{)}^2\cdot Var(Err(c))$ 成为主项。

TFHE to BFV

现在我们把 TLWE 密文转换为 BFV 密文。由于 TLWE 加密的消息是 $\mathbb{T}$，而 BFV 加密的消息是 ${\mathbb{Z}}_p$，因此对于态射 $g:\mathbb{T}\to {\mathbb{Z}}_p$，任意的 $x=p\cdot y\in \mathbb{T}$ 总使得 $g(x)=p\cdot g(y)=0\in {\mathbb{Z}}_p$，所以必须限制 $g$ 的值域是离散的。

我们设置 $g:{\mathbb{Z}}_p^k\to {\mathbb{Z}}_p^N$ 是线性态射，对应的矩阵 $G\in {\mathbb{Z}}^{N\times k}$。在密文转换之前，必须先利用 Gate Bootstrapping，

1. 把 TLWE 密文的明文空间约束为 $p^{-1}\mathbb{Z}/\mathbb{Z}$（盲旋转 LUT 的取值设置为 $p^{-1}$ 整数倍）
2. 并且把噪声水平降低到 BFV 可容忍的范围（TFHE 能够容忍很高的噪声比率）

给定 $k\le N$ 个 TLWE 密文，按照行向量排列为矩阵
$$C=\left[\begin{array}{ccccc}{a}_{0,0}& a_{0,1}& \cdots & a_{0,n-1}& b_0+{\mu }_0\\ a_{1,0}& a_{1,1}& \cdots & a_{1,n-1}& b_1+{\mu }_1\\ & & \ddots & & ⋮\\ a_{k-1,0}& a_{k-1,1}& \cdots & a_{k-1,n-1}& b_{k-1}+{\mu }_{k-1}\end{array}\right]\in {\mathbb{T}}^{k\times (n+1)}$$

我们首先将 $VD{M}^{-1}\cdot G$ 提升为 ${\mathbb{Z}}^{N\times k}$ 内的矩阵（并约束系数范围），然后计算矩阵乘（分别乘以密文 $C$ 的每一列）
$$(VD{M}^{-1}\cdot G\cdot C)\cdot (-s,1)\approx VD{M}^{-1}\cdot (G\cdot \mu )=p^{-1}\cdot INTT(g(p\mu ))\in (p^{-1}\mathbb{Z}/\mathbb{Z}{)}^N$$

使用线性态射是 $VD{M}^{-1}\cdot G$ 的秘钥切换过程，就实现了 TFHE 到 BFV 的密文转换：

• 输入 $k$ 个消息 ${\mu }_i\in p^{-1}\mathbb{Z}/\mathbb{Z}$ 的 TLWE 密文，以及 ${\mathbb{Z}}_p$ 上的线性函数 $g$
• 输出单个 slot packing 编码的消息 $g(p\mu )$ 的 BFV over Torus 密文

输出的噪声规模为
$$Var(Err(c^{\prime }))\le (\frac{Np}{2}{)}^2\cdot \underset{i}{\max }Var(Err(c_i))+{\alpha }^2\cdot (l{N}^2+\frac{N}{4})$$

选取合适的精度 $\alpha$，使得 $(\frac{Np}{2}{)}^2\cdot {\max }_{i}Var(Err(c_i))$ 成为主项。额外要求输入密文的 ${\max }_{i}Var(Err(c_i))$ 本身就很小（自举时设置足够大的精度），从而使得 BFV 可以容忍此噪声。

BFV-big-number

博主我还没看过这个方案，略。。。

CKKS

CKKS over Torus

原始 CKKS 的明文空间是：
{ f ∈ R q : ∥ f ∥ ∞ ≤ 2 ρ } ≅ { f ∈ q − 1 R / R : ∥ f ∥ ∞ ≤ 2 ρ / q } ⊆ T R \{f \in R_q:\|f\|_\infty \le 2^\rho\} \cong \{f \in q^{-1}R/R:\|f\|_\infty \le 2^\rho/q\} \subseteq \mathbb T_R {f∈Rq​:∥f∥∞​≤2ρ}≅{f∈q−1R/R:∥f∥∞​≤2ρ/q}⊆TR​

按照 IEEE754 标准，浮点数表示为 $(\sigma ,\tau ,m)$，其中 σ ∈ { 0 , 1 } \sigma \in \{0,1\} σ∈{0,1} 是符号，$\tau \in \mathbb{Z}$ 是指数，$0\le m<1$ 是尾数，尾数的精度为 $\rho \in \mathbb{N}$（也就是说 $m\in 2^{-\rho }\mathbb{Z}$），对应的浮点数是
$$(-1{)}^{\sigma }\times (1.m)\times 2^{\tau }$$

现在我们把明文（有限精度的复数）存放在 slots 上：

1. 层数 $L\in \mathbb{N}$：代表同态计算能力，native 明文（环面元素）的规模 $\Vert \mu {\Vert }_{\infty }\le 2^{-L}$
2. 明文指数 $\tau \in \mathbb{Z}$：槽（浮点数）的指数
3. 明文精度 $\rho \in \mathbb{N}$：槽（浮点数）的尾数精度
4. 密文精度 $\alpha =2^{-(L+\rho )}$：大约是噪声的标准差

设置 CKKS 的 native 明文空间，
M = { μ ∈ T R : ∥ μ ∥ ∞ ≤ 2 − L } M=\{\mu \in \mathbb T_R:\|\mu\|_\infty \le 2^{-L}\} M={μ∈TR​:∥μ∥∞​≤2−L}

它的 SIMD 槽里的复数形如 $z=m\cdot 2^{\tau }$，其中 $-1<m<1$ 是有限精度的尾数，满足 $m\in 2^{-\rho }(\mathbb{Z}+i\mathbb{Z})$（包含了符号位）

令 $\zeta \in \mathbb{C}$ 是 $x^n+1$ 的复数根，将 $\mu \in {\mathbb{T}}_R$ 提升到 $\mathbb{R}[x]$ 上，计算 DFT 得到槽的内容
$$(2^L\cdot \mu )({\zeta }_i)\approx m_i\in 2^{-\rho }(\mathbb{Z}+i\mathbb{Z})$$

槽内的复数，存储格式如图：

环面上的 CKKS 方案：

• KeyGen：

  1. 均匀采样 $s\leftarrow \mathcal{B}$，它是短的整系数多项式

• Enc：

  1. 预设的精度 $\rho$ 和层数 $L$，模数为 $q=2^{L+\rho }$，噪声规模 $\alpha =1/q$
  2. 给定明文 $z=(z_1,\cdots ,z_{N/2})\in {\mathbb{C}}^{N/2}$，它的存储格式任意
  3. 通过插值法找出整系数多项式 $d(x)\in R$，系数取值范围 $[-2^{\rho },2^{\rho }]$，以及对应的明文指数 $\tau \in \mathbb{Z}$，满足 $\Vert DFT(d)\cdot 2^{\tau }-z{\Vert }_{\infty }\le 2^{\tau -\rho }$
  4. 设置 native 明文为 $\mu =d/q\in q^{-1}R/R$，满足 $\Vert \mu {\Vert }_{\infty }\le 2^{-L}$（当 $L=1$ 时它恰好是 TRLWE 密文）
  5. 均匀采样 $a\leftarrow {\mathbb{T}}_R$，零中心高斯采样 $e\leftarrow {\mathbb{T}}_R$
  6. 计算 $b:=s\cdot a+e\in {\mathbb{T}}_R$，满足 ${\varphi }_s(a,b)=e\approx 0$
  7. 携带 tag 的 CKKS 密文 $c:=((a,b+\mu),\tau,L) $

• Dec：

  1. 密文 $((a,b^{\prime }),\tau ,L)\in {\mathbb{T}}_R^2\times \mathbb{Z}\times \mathbb{N}$
  2. 计算 ${\varphi }_s(a,b^{\prime })=e+\mu \in {\mathbb{T}}_R$，
  3. 设置 $q=2^{L+\rho }$，圆整到 $\mu \in q^{-1}R/R$
  4. 明文 $z=DFT(q\cdot \mu )\cdot 2^{\tau }\in {\mathbb{C}}^{N/2}$

• Add（同态的 $M$ 上的加法）：

  1. 输入密文 $(c_1,{\tau }_1,L_1)$ 和 $(c_2,{\tau }_2,L_2)$
  2. 统一指数 $\tau =\max ({\tau }_1,{\tau }_2)+1$
  3. 统一层数 $L=\min (L_1+{\tau }_1,L_2+{\tau }_2)-\tau$
  4. 加和 $c=2^{{\tau }_1+L_1-(\tau +L)}{c}_1+2^{{\tau }_2+L_2-(\tau +L)}{c}_2(\mathrm{mod}\mathbb{Z})$

• Decrease level（模切换/重缩放过程）：

  1. 输入密文 $(c,\tau ,L)$ 和层数 $1\le L^{\prime }<L$
  2. 输出 $(2^{L-L^{\prime }}c,\tau ,L^{\prime })$

• Binary Shift（二的幂次）：

  1. 输入密文 $(c,\tau ,L)$ 和移位距离 $t\in \mathbb{N}$
  2. 输出 $(c,\tau +t,L)$

• Mult by constant（$\mathbb{Z}$ 模 ${\mathbb{T}}_R$）：

  1. 输入密文 $(c,\tau ,L)$ 和常数 $a\in \mathbb{Z}$
  2. 输出 $(a\cdot c,\tau +\rho ,L-\rho )$

• Slot-wise Mult by constant（$R$ 模 ${\mathbb{T}}_R$）：

  1. 输入密文 $(c,\tau ,L)$ 和有限精度复数 $u=(u_1,\cdots ,u_{N/2})\in {\mathbb{C}}^{N/2}$
  2. 找出多项式 $d(x)\in R$，系数取值范围 $[-2^{\rho },2^{\rho }]$，以及对应的指数 $t\in \mathbb{Z}$，满足 $\Vert DFT(d)\cdot 2^t-u{\Vert }_{\infty }\le 2^{t-\rho }$
  3. 输出 $(d(x)\cdot c,\tau +\rho +t,L-\rho )$

• External Product：

  1. 将上述的 $d(x)\in R$ 用 TRGSW 预加密为 $TRGS{W}_{s,\alpha }(d)$
  2. 计算 $TRGS{W}_{s,\alpha }(d){⊡}_{\alpha }c$

• Internal multiplication：

  1. 输入密文 $(c_1,{\tau }_1,L_1)$ 和 $(c_2,{\tau }_2,L_2)$
  2. 统一层数 $L^{\prime }=\min (L_1,L_2)$，执行 $c_i^{\prime }=R{S}_{L_i\to L^{\prime }}(c_i)$
  3. 设置模数 $q=2^{L^{\prime }+\rho }$，密文精度 $\alpha =1/q$
  4. 将 $c_i^{\prime }$ 园整到 $\alpha R/R$（密文的浮点表示的尾数截断到 $L^{\prime }+\rho$ 比特）
  5. 计算 BFV 内积 $c=c_1^{\prime }{⊡}_{q,\alpha }{c}_2^{\prime }$
  6. 层数 $L=L^{\prime }-\rho$，指数 $\tau ={\tau }_1\cdot {\tau }_2$
  7. 输出 $(c,\tau ,L)$，如果 $\rho \ge \log N$ 那么 $Var(Err(c))\le 4^{-(L+\rho )}$（噪声在 $2^{-(L+\rho )}R/R$ 中完全隐藏）

现在 CKKS 的明文是 $\mu \in 2^{-(L+\rho )}R/R\subseteq {\mathbb{T}}_R$，密文是 $c=(a,b)\in {\mathbb{T}}_R^2$，它们与 TRLWE 的明密文空间相兼容。

CKKS to TFHE

由于 $L=1$ 时，所加密的 native 明文为 $\mu =d/2^{\rho +1}$，设置 $q=2^{\rho +1}$，它诱导了双射
$$d_i=q\cdot {\mu }_i\in [-2^{\rho },2^{\rho })\to {\mu }_i\in [-0.5,0.5)\cap q^{-1}\mathbb{Z}/\mathbb{Z}$$

因此，这个 coeff packing 的 CKKS 密文恰好就是 TFHE 密文。

转换算法为：

1. 先执行 Slot to Coeff 过程，得到两个 coeff packing 的密文 $(c_1,c_2)\leftarrow MatMult(c,IDFT)$
2. 然后做重缩放，$c_i^{\prime }=R{S}_{L^{\prime }\to 1}(c_i)$ 成为 TRLWE 密文
3. 最后使用 Sample Extract，提取出各个系数的 TLWE 密文（还需要记录它们的指数 $\tau$）

TFHE to CKKS

从 TFHE 到 CKKS 的转换过程，

1. 输入 $N/2$ 个消息 $v_k\in \mathbb{T}$ 的 TLWE 密文，
2. 输出单个 slot packing 编码的消息 $\exp (2\pi i\cdot v_k)$ 的 TRLWE 密文

有些类似于 [CHKKS18] 的 CKKS Boostrpping Trick，[BGGJ20] 使用傅里叶级数来近似指数函数。根据 Taylor–Lagrange 不等式，
$$\left|\exp (ix)-\sum _{k=0}^{t-1}\frac{(ix{)}^k}{k!}\right|\le \frac{|x{|}^t}{t!}$$

我们希望以精度 $2^{-\rho }$ 近似指数函数，设置泰勒级数的项数为 $t=\sqrt{\rho }$。如果我们约束 $x\le n/2^p$，选择足够大的
$$p=\sqrt{\rho }+\log (2\pi n/\sqrt{\rho })$$

就可以满足 $2^{-\rho }$ 的精度要求。

为了计算 $\exp (2\pi i\cdot v)$，

1. 首先对相位 ${\varphi }_s(c)=v$ 做恰当的缩放，得到 $x=2\pi v/2^p\le n/2^p$
2. 然后使用 Paterson–Stockmayer 多项式求值算法，计算前 $t$ 项泰勒级数（度数 $t=\sqrt{\rho }$ 的多项式），得到 $E=\exp (2\pi i\cdot v/2^p)$
3. 最后使用快速幂算法，计算出 $\exp (2\pi i\cdot v)=E^{2^p}$

现在，我们有两种计算非线性函数的方法：

1. 使用常规同态乘法，以 SIMD 的方式计算复数多项式
2. 在自举过程中，利用三角函数（傅里叶级数是个较好的选择，收敛速度快）去逼近