FHEW阅读笔记

FHEW: Bootstrapping Homomorphic Encryption in Less Than a Second

作者: Leo Ducas¹, Daniele Micciancio².

个人总结

FHEW总结：
其实FHEW的主要贡献就在于使用了累加器的方法来做Bootstrapping，思路是在幂次上计算$X^{b+as}=X^m$，通过与一个test vector $v(X)$相乘就可以用来提取最高位，对于{0,1}的密文来说，提取了最高位就相当于做了刷新。

后续工作：

之后TFHE将FHEW中使用$\mathsf{RGSW}$与$\mathsf{RGSW}$内乘来做算$v(x)\cdot X^{b+as}$改为了$\mathsf{RGSW}$与$\mathsf{RLWE}$的外乘，从而极大地提高了效率。

且FHEW中的testvector就是$v(X)=1+X+X^2+...+X^{N-1}$。后续文章会有将$v(X)$改为$v(X)=f(0)+f(1)X+...+f(N-1)X^{N-1}$，就可以在做Bootstrapping的同时执行某个函数。详情可以看TFHE作者写的PBS这篇以及我们写的TOTA这篇文章。

摘要

目前所有FHE方案主要的瓶颈在于Gentry的Bootstrapping操作。在之前2014年HElib of Halevi and Shoup中，一次Bootstrapping操作需要6分钟³。我们发现了一种新的方法来刷新密文的噪声，在个人机器上只要半秒。

引言

我们的工作

这篇文章考虑了1bit密文的刷新究竟能有多快，具体来说，考虑两个加密一比特的密文$E(b_1)$和$E(b_2)$，我们想要同态地运算一个与非门（NAND），来得到$E(b_1\bar{\wedge }{b}_2)$的结果。这里考虑的门电路是带bootstrapping的门电路，也就是在执行一次同态的与非门之后，要跟上一个bootstrapping，也就是对$E(b_1\bar{\wedge }{b}_2)$运行一次同态地解密电路，使得$E(b_1\bar{\wedge }{b}_2)$的噪声大小与 E ( b i ) , i ∈ { 0 , 1 } E(b_i),i\in \{0,1\} E(bi​),i∈{0,1}​一致。这样的一次同态的NAND门加上一次Bootstrapping操作在个人电脑上的耗时为半秒。

与HElib中的bootstrapping比起来，这篇文章中在每次bootstrapping之前只允许一次NAND操作，而HElib支持更加复杂的操作，而且HElib还考虑了SIMD技术，因此平均每个比特刷新的速度和本文是一个量级的。

技术

这篇文章的提升主要基于两个技术，第一个是在两个LWE密文上计算NAND门的新算法。另一个是一种进行Bootstrapping的方法。

同态NAND门

具体来说，考虑两个密文$E(m_1)$​​​和$E(m_2)$​​​，同态加密运行进行同态加法得到一个噪声更大的密文$E(m_1+m_2)$​​。​当在模2下考虑时，就能够同态地两个比特的异或。实现NAND门的方法就是将模2扩展到模4。考虑以下的真值表：

$m_1$​​​	$m_2$​​​	$m_1\bar{\wedge }{m}_2$​​​	$[m_1+m_2{]}_4$​​
0	0	1	0
0	1	1	1
1	0	1	1
1	1	0	2

也就是说，当$E(m)=E(m_1)+E(m_2)$​​​​​​的值为$m=2$​​​​​​时，代表$m_1\bar{\wedge }{m}_2=0$​​​​​​。当 m ∈ { 0 , 1 } m\in\{0,1\} m∈{0,1}​​​​​时，$m_1\bar{\wedge }{m}_2=1$​​​​​​。​利用这个性质，就可以对$E(m)$进行一个简单的仿射变换⁴来将密文变为$E(m_1\bar{\wedge }{m}_2)$。这里用到的是$\frac{5}{4}-\frac{1}{2}(m_1+m_2)$​​​​​。再考虑如下真值表：

$m_1$	$m_2$	$\frac{5}{4}-\frac{1}{2}(m_1+m_2)$​​	$\lfloor \frac{5}{4}-\frac{1}{2}(m_1+m_2)\rceil$​​
0	0	$\frac{5}{4}$​	1
0	1	$\frac{3}{4}$	1
1	0	$\frac{3}{4}$	1
1	1	$\frac{1}{4}$	0

通过这样的方式来构造的NAND门，比之前的方法（通过乘法构造）的噪音要低很多。因此，噪声刷新操作（bootstrapping）也更加简单。

Bootstrapping

本文的第二个关键技术时基于文章Faster Bootstrapping with Polynomial Error⁵，LWE密文的解密可以由一次模q的内积和一次取整操作得到。bootstrapping就是在密文上同态地执行模q的内积以及取整。文章⁵中使用了一个模q的加密算法，可以很快速的计算内积。具体的做法使用一个一比特的加密算法，将一个循环群中的元素$v\in C$​，加密为一个向量$E(x_1),...,E(x_{|C|})$，其中$x_i=1$当且仅当$i=v$​。​本文将⁵中的方法扩张到了多项式环上，那就支持FFT来加速运算的操作，效率得到了进一步的提高。而且还利用了多项式环的性质，将循环群中元素直接映射到多项式环上：$i\to X^i$，其中$i$​​是模$q$的原根。​​

另外，这篇文章还使用了binary value的私钥（也就是只有0，1），来减少key switching过程中的噪声。之前有文章证明过$s$是0，1值的时候安全性与普通的LWE问题困难度一致。

LWE对称加密

加密形式

先引入一个随机取整函数$\chi :\mathbb{R}\to \mathbb{Z}$。这个函数将一个实数映射为一个整数，满足$\chi (x+n)=\chi (x)+n$。将$\chi (x)-x$称为rounding error。注意到如果$x\in Z$，那么$\chi (x)=x+\chi (0)$，$\chi (0)$是一个固定的噪声分布。

记一个密文为
$${\mathrm{LWE}}_{\mathbf{s}}^{t/q}(m)=(\mathbf{a},\chi (\mathbf{a}\cdot \mathbf{s}+mq/t)\mathrm{mod}q)\in {\mathbb{Z}}_q^{n+1}$$
可以通过如下方式解密：
$$m^{\prime }=\lfloor t(b-\mathbf{a}\cdot \mathbf{s})/q\rceil \mathrm{mod}t\in {\mathbb{Z}}_t$$
要求error bound为$q/2t$时才能正确解密，原因是：
$$\lfloor t(b-\mathbf{a}\cdot \mathbf{s})/q\rceil \mathrm{mod}t=\lfloor \frac{t}{q}\cdot (\frac{q}{t}m+e)\rceil =\lfloor m+\frac{t}{q}e\rceil =m\mathrm{mod}t$$
这里就要求$|\frac{t}{q}e|<\frac{1}{2}$，因此$|e|<q/2t$​，记一个bound为$q/2t$的密文为${\mathsf{LWE}}_{\mathbf{s}}^{t/q}(m,q/2t)$。

模数替换

可以将LWE密文从一个模数Q转换到另外一个模数$q$，使用一个随机取整函数$[\cdot {]}_{Q:q}:{\mathbb{Z}}_Q\to {\mathbb{Z}}_q$。
[ x ] Q : q = ⌊ q x / Q ⌋ + B , B ∈ { 0 , 1 } [x]_{Q:q} = \lfloor qx/Q \rfloor + B,B\in \{0,1\} [x]Q:q​=⌊qx/Q⌋+B,B∈{0,1}
$B$是一个随机数， P r { B = 1 } = ( q x / Q ) − ⌊ q x / Q ⌋ Pr\{B=1\} = (qx/Q)-\lfloor qx/Q \rfloor Pr{B=1}=(qx/Q)−⌊qx/Q⌋，也就是$qx/Q$的小数部分越大，$B$越可能是1。

定义ModSwitch：
$$\mathrm{ModSwitch}(\mathbf{a},b)=[(\mathbf{a},b){]}_{Q:q}=(([a_1{]}_{Q:q},...,[a_n{]}_{Q:q}),[b{]}_{Q:q})$$

密钥替换

密钥替换允许将${\mathsf{LWE}}_{\mathbf{z}}^{t/q}$​​变为${\mathsf{LWE}}_{\mathbf{s}}^{t/q}$​​，其中$\mathbf{z}\in {\mathbb{Z}}_q^N$​​，$\mathbf{s}\in {\mathbb{Z}}_q^n$​​。

记$B_{\mathsf{ks}}$​是一个分解基数，记$d_{\mathsf{ks}}=\lceil {\log }_{B_{\mathsf{ks}}}q\rceil$。$a_i={\sum }_j{a}_{i,j}{B}_{\mathsf{ks}}^j,j=0,...,d_{\mathsf{ks}}-1$。

对于 i = 1 , . . . , N , a i , j ∈ { 0 , . . . , B k s } , j = 0 , . . . , d k s − 1 i = 1,...,N,a_{i,j}\in\{0,...,B_{\mathsf{ks}}\},j=0,...,d_{\mathsf{ks}}-1 i=1,...,N,ai,j​∈{0,...,Bks​},j=0,...,dks​−1​。记${\mathbf{k}}_{i,j,a_{i,j}}={\mathsf{LWE}}_{\mathbf{s}}^{q/q}(a_{i,j}{z}_i{B}_{\mathsf{ks}}^j)$​。

记 K = { k i , j , a i , j } \mathfrak{K}=\{\mathbf{k}_{i,j,a_{i,j}}\} K={ki,j,ai,j​​}，密文$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{z}}^{t/q}(m)$，
$$\mathsf{KeySwitch}((\mathbf{a},b),\mathfrak{K})=(0,b)-\sum _{i,j}{\mathbf{k}}_{i,j,a_{i,j}}$$
正确性：

记$({\mathbf{a}}^{\prime },b^{\prime })={\sum }_{i,j}{\mathbf{k}}_{i,j,a_{i,j}}$，则$b^{\prime }-{\mathbf{a}}^{\prime }s=\mathbf{a}\cdot \mathbf{z}$

因此${\mathsf{ctxt}}^{\prime }=\mathsf{KeySwitch}((\mathbf{a},b)=(-{\mathbf{a}}^{\prime },b-b^{\prime })$

$\mathsf{Dec}(\mathsf{ctx}{\mathsf{t}}^{\prime })=t/q\lfloor b-(b^{\prime }-{\mathbf{a}}^{\prime }s)\rceil =m+t/q(\mathbf{z}\cdot \mathbf{a}+e-\mathbf{a}\cdot \mathbf{z})=m$​​​

其中，将$a_i$分解的目的是为了降低$\mathsf{KeySwitch}$过程中添加的噪声。

本文的FHE：高层结构

主要目的是为了做如下事情：给定$c_i\in {\mathsf{LWE}}_{\mathbf{s}}^{t/q}(m_i,E),i=0,1$​​​​，计算$c\in {\mathsf{LWE}}_{\mathbf{s}}^{t/q}(m,E)$​​​​，其中$m=1-m_0\cdot m_1=m_0\bar{\wedge }{m}_1$​​​​。

一种新的同态NAND门

主要思想是将输入密文变为有一点点不同的形式：$c_i\in {\mathsf{LWE}}_{\mathbf{s}}^{4/q}(m_i,q/16)$，这里明文模数$t=4$，噪声bound为$E=q/16$。（标准的LWE密文$t=2$,$E=q/4$）
$${\mathsf{HomNAND}:\mathsf{LWE}}_{\mathbf{s}}^{4/q}(m_0,q/16)\times {\mathsf{LWE}}_{\mathbf{s}}^{4/q}(m_1,q/16)\to {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m_0\bar{\wedge }{m}_1,q/4)$$
可以通过如下方式构造：
$$(\mathbf{a},b)=\mathsf{HomNAND}\left(\left({\mathbf{a}}_0,b_0\right),\left({\mathbf{a}}_1,b_1\right)\right)=\left(-{\mathbf{a}}_0-{\mathbf{a}}_1,\frac{5q}{8}-b_0-b_1\right)$$
要证明：$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(1-m_0{m}_1,q/4)$​。即证明${\mathsf{Dec}}_{\mathbf{s}}^{2/q}(\mathbf{a},b)\approx 1-m_0{m}_1$，且error bound为$q/4$。

考虑：
$$\begin{array}{rl}b-\mathbf{a}\cdot \mathbf{s}-(1-m_0{m}_1)\frac{q}{2}& =\frac{5q}{8}-b_0-b_1+{\mathbf{a}}_0\cdot \mathbf{s}+{\mathbf{a}}_1\cdot \mathbf{s}-\frac{q}{2}+\frac{q}{2}\cdot m_0{m}_1\\ & =\frac{q}{8}-\frac{q}{4}{m}_0-e_0-\frac{q}{4}{m}_1-e_1+\frac{q}{2}{m}_0{m}_1\\ & =\frac{q}{4}(\frac{1}{2}-m_0^2+2m_0{m}_1-m_1^2)-(e_0+e_1)\\ & =\frac{q}{4}(\frac{1}{2}-(m_0-m_1{)}^2)-(e_0+e_1)\\ & =\pm \frac{q}{8}-(e_0+e_1)\end{array}$$
所以$b-\mathbf{a}\cdot \mathbf{s}=\frac{q}{2}\cdot (1-m_0{m}_1)+e,e=\pm \frac{q}{8}-(e_0+e_1)$
$$|e|=|\pm \frac{q}{8}-(e_0+e_1)|<\frac{q}{8}+\frac{q}{16}+\frac{q}{16}=\frac{q}{4}$$
因此，$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(1-m_0{m}_1,q/4)$​。

通过同态累加器进行噪声刷新

思想（通过ACC进行Refresh）

对于执行完$\mathsf{ctxt}=\mathsf{HomNAND}(\cdot )\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m,q/4)$​的密文来说，要将其重新返回到${\mathsf{LWE}}_{\mathbf{s}}^{4/q}(m,q/16)$​​中，以便作为下一个NAND门的输入。因此要执行一个Refresh操作。
$$\mathsf{Refresh}:{\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m,q/4)\to {\mathsf{LWE}}_{\mathbf{s}}^{4/q}(m,q/16)$$
在之前的FHE中，Refresh是通过Gentry提出的Bootstrapping来做到的，对于一个LWE密文$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m)$。我们的目的是得到一个新的密文$E(m)$，其中$E(\cdot )$是一种满足同态性质的加密方案，其实在实践中就是$\mathsf{LWE}$加密本身，但这里为了便于理解，写为$E$。为了从一个$(\mathbf{a},b)$中得到$E(m)$，需要在$(\mathbf{a},b)$上同态地执行解密操作，具体来说，我们使用$E$加密$\mathbf{s}$得到$E(\mathbf{s})$，然后计算
$$\lfloor 2/q(b-\mathbf{a}\cdot E(\mathbf{s}))\rceil \mathrm{mod}2\approx E(m)$$
那如果$E$就是一个LWE加密的话，就得到了$E(m)\in \mathsf{LWE}(m)$，且这个密文的噪声经过了刷新。

这里涉及到两个问题

1. 首先，要在密文上做向量的内积$\mathbf{a}\cdot E(\mathbf{s})\to E(\mathbf{a}\cdot \mathbf{s})$​，这点不难，只要对$\mathbf{s}$​向量每个元素进行分别加密：$E(\mathbf{s})=(E(s_1),...,E(s_n))$。那么就可以得到$b-\mathbf{a}\cdot E(\mathbf{s})=E(b-\mathbf{a}\cdot \mathbf{s})=E(\frac{q}{2}\cdot m)$。
2. 下一个问题是，如何在密文上做rounding操作。这里采用了一个密文上的提取最高位的操作来得到一个$\mathsf{LWE}(m)$​​，考虑$m=0,E(0),m=1,E(q/2)$​​，采用最高位提取$\mathsf{ctxt}=\mathsf{msbExtract}(E(\frac{q}{2}m))$​​，则若$m=0,\mathsf{ctxt}\in \mathsf{LWE}(0)$，若$m=1,\mathsf{ctxt}\in \mathsf{LWE}(1)$。

定义（同态累加器）

**定义（同态累加器）**同态累加器由一个四元组构成$(E,\mathsf{Init},\mathsf{Incr},\mathsf{msbExtract})$​​，四个算法都需要模数$t,q$​​，$E$​​以及$\mathsf{msbExtract}$​​需要一些与$\mathbf{s}$​​相关的密钥材料。为了书写简单，这里记$\mathsf{ACC}\leftarrow v\iff \mathsf{ACC}\leftarrow \mathsf{Init}(v)$​，$\mathsf{ACC}\stackrel{+}{\leftarrow }E(v)\iff \mathsf{ACC}\leftarrow \mathsf{Incr}(\mathsf{ACC},E(v))$​。​

对于一系列的数$v_0,v_1,...,v_{\ell }\in {\mathbb{Z}}_q$，在进行如下操作后：
$$\mathsf{ACC}\leftarrow v_0,\mathsf{ACC}\stackrel{+}{\leftarrow }E(v_i),i=1,...,l$$
称这样的$\mathsf{ACC}$​是一个$v$​的$\ell -encryption$​，其中$v={\sum }_{i=0}^{\ell }{v}_i\mathrm{mod}q$​​。

我们称一个同态累加器是$\mathcal{E}-correct$​的，当且仅当​​对于任意$v$的一个$\ell -encryption$，$\mathbf{c}\leftarrow \mathsf{msbExtract}(\mathsf{ACC})$有很大概率得到$\mathbf{c}\in {\mathsf{LWE}}_{\mathbf{s}}^{t/q}(v,\mathcal{E}(\ell ))$。

算法（Refresh）

在这里Refresh算法中使用到了累加器的参数为$t=4$​​​​，$\mathcal{E}(\ell )\le q/16$​​​​​​。用到了一个分解系数$B_r$​​​​，这里的$r$​​​​下标指Refresh。刷新过程的输入为一个密文$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m,q/4)$​​​​，以及一个密钥材料$K_{i,j}=E(s_i{B}_r^j\mathrm{mod}q)$​​​，在实际使用中，我们采用$K_{i,a_{i,j},j}=a_{i,j}E(s_i{B}_r^j\mathrm{mod}q)=E(a_{i,j}{s}_i{B}_r^j\mathrm{mod}q)$​​​​。因为采用了标量乘法，所以要多$a_i$​​​进行分解$-a_i={\sum }_j{a}_{i,j}{B}_r^j$​​​，来降低$K_{i,a_{i,j},j}$​​​​的噪音。其中 a i , j ∈ { 0 , . . . , B r − 1 } a_{i,j}\in\{0,...,B_r-1\} ai,j​∈{0,...,Br​−1}​​, $j=0,...,d_r-1$​​, $d_r=\lceil {\log }_{B_r}q\rceil$​​​​, $i=1,...,n$​。

---

Algorithm ${\mathsf{Refresh}}_{\mathcal{K}}(\mathbf{a},b)$​​​, for K = { K i , j } i ≤ n , j ≤ d r \mathcal{K}=\{K_{i,j}\}_{i\le n,j \le d_r} K={Ki,j​}i≤n,j≤dr​​​​​​

---

$\mathsf{ACC}\leftarrow b+(q/4)$

for $i=1,...,n$​​​ do

​ 计算$-a_i={\sum }_j{B}_r^j\cdot a_{i,j}(\mathrm{mod}q)$​，$K_{i,a_{i,j},j}=a_{i,j}E(s_i{B}_r^j)=E(a_{i,j}{s}_i{B}_r^j)$​

​ for $j=0,...,d_r-1$ do $\mathsf{ACC}\stackrel{+}{\leftarrow }{K}_{i,a_{i,j},j}$

end for

输出$\mathsf{msbExtract}(\mathsf{ACC})$

---

Theorem： 如果$(E,\mathsf{Init},\mathsf{Incr},\mathsf{msbExtract})$​是一个正确的同态累加器，那么$\mathsf{Refresh}$​算法，在输入任意密文$(\mathbf{a},b)\in {\mathsf{LWE}}_{\mathbf{s}}^{2/q}(m,q/4)$​，​以及有效的刷新密钥 K = { K i , j = E ( s i B r j ) } i , j \mathcal{K}=\{K_{i,j}=E(s_iB_r^j)\}_{i,j} K={Ki,j​=E(si​Brj​)}i,j​的情况下，会输出一个密文${\mathsf{Refresh}}_{\mathcal{K}}(\mathbf{c})\in {\mathsf{LWE}}_{\mathbf{s}}^{t/q}(m,\mathcal{E}(nd))$。

Proof. 刷新操作首先初始化累加器为$b+q/4$，然后进行了$nd$次的加法$K_{i,a_{i,j},j}=E(a_{i,j}{s}_i{B}_r^j)$。所以最后的结果是一个噪声为$\mathcal{E}(nd)$的LWE密文，累加器中的内容值$v$为：

$$v-\frac{q}{4}=b+\sum _{i,j}{a}_{i,j}{s}_i{B}_r^j=b+\sum _i{s}_i\sum _j{B}_r^j{a}_{i,j}=b+(-\sum _i{a}_i{s}_i)=\frac{q}{2}m+e$$
$v=\frac{q}{2}m+e+\frac{q}{4}$​​​​，这里的$e$​​​是输入密文$(\mathbf{a},b)$​​​的噪声。根据假设$\left|e\right|<q/4$​​，所以有$0<e+\frac{q}{4}<\frac{q}{2}$​​。所以当$m=0$​​时，$0<v<q/2$​​，$v$的最高位为0，当$m=1$时，$q/2<v<q$，$v$的最高位为1。因为在实际应用中$q$是$power-of-two$，所以$v$的最高位为$m$，那么$\mathsf{msbExtract}(\mathsf{ACC})$能得到${\mathsf{LWE}}_{\mathbf{s}}^{q/t}(m)$​​。

由RGSW构造同态累加器

在构造同态累加器时，我们使用的参数为$t=4$, $q=2^k$, $E$是一个${\mathbb{Z}}_q$​内的加密方案。这里的构造采用了Alperin-Sheriff⁵的思想。但是与他们不同的是，这篇文章直接将${\mathbb{Z}}_q$当做$\mathcal{R}$的原根构成的乘法子环。

这个方案里面取一个模数$Q$，多项式环的阶$N=2^K$，满足$q|2N$，为了方便理解，这篇笔记里采用$q=2N$，一个分解系数$B_g$（这里$g$指gadget）。这里假设$Q=B_g^{d_g}$，其中$B_g$是$power-of-three$。令$\mathcal{R}=\mathbb{Z}[X]/(X^N+1)$，${\mathcal{R}}_Q=(\mathcal{R}/Q\mathcal{R})$，以及一个额外的参数$u$，这里$u$是取一个${\mathbb{Z}}_q$内接近$Q/2t$的可逆的数，因为$Q$是3的幂次，所以$\lfloor Q/2t\rfloor$,$\lceil Q/2t\rceil$中必有一个可逆，所以$|u-Q/2t|<1$。

消息$m$被加密为原根$X^m\in \mathcal{R}$的形式，原根构成一个循环群 G = ⟨ X ⟩ = { 1 , X , . . . , X N − 1 , − 1 , − X , . . . , − X N − 1 } \mathcal{G}=\langle X \rangle = \{1,X,...,X^{N-1},-1,-X,...,-X^{N-1}\} G=⟨X⟩={1,X,...,XN−1,−1,−X,...,−XN−1}​。当$q=2N$时，${\mathbb{Z}}_q\simeq ⟨X⟩$。

基于RGSW的累加器的构造

---

$-E_z(m)$：输入为消息$m$，密钥$z\in \mathcal{R}$​，

​ 选取$\mathbf{a}\in {\mathcal{R}}_Q^{2d_g}$是一个随机分布，$\mathbf{e}\in {\mathcal{R}}^{2d_g}\simeq {\mathbb{Z}}^{2d_{g}N}$是一个满足参数为$\varsigma$的次高斯分布。输出
$$E_z(m)=[\mathbf{a},\mathbf{a}\cdot z+\mathbf{e}]+u{X}^m\mathbf{G}\in {\mathcal{R}}_Q^{2d_g\times 2}$$
​ 其中$\mathbf{G}=(\mathbf{I},B_g\mathbf{I},...,B_g^{d_g-1}\mathbf{I})\in {\mathcal{R}}^{2d_g\times 2}$。

$-\mathsf{Init}(\mathsf{ACC}\leftarrow v)$：输入为$v\in {\mathbb{Z}}_q$，

​ 直接设定$\mathsf{ACC}:=u{X}^v\cdot \mathbf{G}\in {\mathcal{R}}_Q^{2d_g\times 2}$。

$-\mathsf{Incr}(\mathsf{ACC}\stackrel{+}{\leftarrow }\mathbf{C})$，输入为当前的$\mathsf{ACC}\in {\mathcal{R}}_Q^{2d_g\times 2}$​，以及一个密文$\mathbf{C}\in {\mathcal{R}}_Q^{2d_g\times 2}$，首先计算$u^{-1}\mathsf{ACC}$的分解为$u^{-1}\mathsf{ACC}={\sum }_{i=1}^{d_g}{B}_g^{i-1}{\mathbf{D}}_i$（其中每个${\mathbf{D}}_i\in {\mathcal{R}}^{2d_g\times 2}$，每项的系数在 { 1 − B g 2 , . . . , B g − 1 2 } \{\frac{1-B_g}{2},...,\frac{B_g-1}{2}\} {21−Bg​​,...,2Bg​−1​}之内）。并更新累加器的值：
$$\mathsf{ACC}:=[{\mathbf{D}}_1,...,{\mathbf{D}}_{d_g}]\cdot \mathbf{C}$$
$-\mathsf{msbExtract}$:输入为一个$\mathsf{KeySwitch}$​​​密钥$\mathfrak{K}$​​​，一个测试向量$\mathbf{t}=-{\sum }_{i=0}^{N-1}\overrightarrow{X^i}$​​​，其实$\mathbf{t}=(-1,-1,...,-1)\in {\mathbb{Z}}^N$​​。最后提取的正确性在于：$\mathbf{t}\cdot \overrightarrow{X^v}$​的值：如果$0\le v<N$，那么$\mathbf{t}\cdot \overrightarrow{X^v}=-1$，如果$N\le v<2N$，那么$\mathbf{t}\cdot \overrightarrow{X^v}=1$​。具体算法如下：

两个符号：$\overrightarrow{\cdot }:a=a_0+a_{1}x+...+a_{N-1}{x}^{N-1}\in \mathcal{R}$, $\overrightarrow{a}=(a_0,...,a_{N-1})\in {\mathbb{Z}}^N$。

$\stackrel{\Rightarrow }{\cdot }:a=a_0+a_{1}x+...+a_{N-1}{x}^{N-1}\in \mathcal{R}$，$\stackrel{\Rightarrow }{a}\in {\mathbb{Z}}^{N\times N}$是一个负循环矩阵，$\stackrel{\Rightarrow }{a}$的第一列为$\overrightarrow{a}$。​
$$\stackrel{\Rightarrow }{a}=\left[\begin{array}{ccccc}{a}_0& -a_{N-1}& \cdots & -a_2& -a_1\\ a_1& a_0& -a_{N-1}& & -a_2\\ ⋮& a_1& a_0& \ddots & ⋮\\ a_{N-2}& & \ddots & \ddots & -a_{N-1}\\ a_{N-1}& a_{N-2}& \cdots & a_1& a_0\end{array}\right]$$

原文这里switching key有点错误，纠正一下

算法 ${\mathsf{msbExtract}}_{\mathfrak{K}}(\mathsf{ACC})$, for K = { k i , j , w } i ≤ N , j ≤ d k s , w ≤ B k s \mathfrak{K}=\{\mathbf{k}_{i,j,w}\}_{i\le N,j\le d_{ks},w\le B_{ks}} K={ki,j,w​}i≤N,j≤dks​,w≤Bks​​。

需要一个switching key K = { k i , j , w } i , j , w \mathfrak{K}=\{\mathbf{k}_{i,j,w}\}_{i,j,w} K={ki,j,w​}i,j,w​​是将密钥$\mathbf{z}$替换为密钥$\mathbf{s}$的：${\mathbf{k}}_{i,j,w}\leftarrow {\mathsf{LWE}}_{\mathbf{s}}^{q/q}(w\cdot z_i\cdot B_{ks}^j)$。$\mathsf{ACC}$是$v$的一个$\ell$-encryption。
1: $\left[{\mathbf{a}}^t,{\mathbf{b}}^t\right]\leftarrow ([{\overrightarrow{0}}^t,{\mathbf{t}}^t,{\overrightarrow{0}}^t,\dots ,{\overrightarrow{0}}^t]\cdot \stackrel{\Rightarrow }{\mathrm{ACC}})\in {\mathbb{Z}}_Q^{2N}//\stackrel{\Rightarrow }{\mathrm{ACC}}\in {\mathbb{Z}}^{2N{d}_{\mathrm{g}}\times 2N}$​​​​​​​​​
2: $\mathbf{c}\leftarrow \left(\mathbf{a},b_0+u\right)\in {\mathrm{LWE}}_{\overrightarrow{z}}^{t/Q}(\mathrm{msb}(v))$​​​​​​​​
3: ${\mathbf{c}}^{\prime }\leftarrow \mathsf{KeySwitch}(\mathbf{c},\mathfrak{K})\in {\mathsf{LWE}}_{\mathbf{s}}^{t/Q}(\mathrm{msb}(v))$​​​​​
4: ${\mathbf{c}}^{\prime \prime }\leftarrow \mathsf{ModSwitch}\left({\mathbf{c}}^{\prime }\right)\in {\mathsf{LWE}}_{\mathbf{s}}^{t/q}(\mathrm{msb}(v))$​​​​​
5: Return ${\mathbf{c}}^{\prime }$​​​​​​​​​.

---

正确性

噪声分析的部分就略过了，主要看一下流程的正确性。

首先理解一下$E_z(m)$​的结构：$E_z(m)=[\mathbf{a},\mathbf{a}\cdot z+\mathbf{e}]+u{X}^m\mathbf{G}\in {\mathcal{R}}_Q^{2d_g\times 2}$​,$\mathbf{G}=(\mathbf{I},B_g\mathbf{I},...,B_g^{d_g-1}\mathbf{I})\in {\mathcal{R}}^{2d_g\times 2}$​
$$\mathbf{I}=\left[\begin{array}{cc}1& 0\\ 0& 1\end{array}\right],\mathbf{G}=\left[\begin{array}{cc}1& 0\\ 0& 1\\ B_g& 0\\ 0& B_g\\ ⋮& ⋮\\ B_g^{d_g-1}& 0\\ 0& B_g^{d_g-1}\end{array}\right],u{X}^m\mathbf{G}=\left[\begin{array}{cc}u{X}^m& 0\\ 0& u{X}^m\\ B_{g}u{X}^m& 0\\ 0& B_{g}u{X}^m\\ ⋮& ⋮\\ B_g^{d_g-1}u{X}^m& 0\\ 0& B_g^{d_g-1}u{X}^m\end{array}\right]$$

$$[\mathbf{a},\mathbf{a}\cdot z+\mathbf{e}]=\left[\begin{array}{cc}{a}_0& a_{0}z+e_0\\ a_1& a_{1}z+e_1\\ a_2& a_{2}z+e_2\\ a_3& a_{3}z+e_3\\ ⋮& ⋮\\ a_{2d_g-2}& a_{2d_g-2}z+e_{2d_g-2}\\ a_{2d_g-1}& a_{2d_g-1}z+e_{2d_g-1}\end{array}\right],E_z(m)=\left[\begin{array}{cc}{a}_0+u{X}^m& a_{0}z+e_0\\ a_1& a_{1}z+e_1+u{X}^m\\ a_2+B_{g}u{X}^m& a_{2}z+e_2\\ a_3& a_{3}z+e_3+B_{g}u{X}^m\\ ⋮& ⋮\\ a_{2d_g-2}+B_g^{d_g-1}u{X}^m& a_{2d_g-2}z+e_{2d_g-2}\\ a_{2d_g-1}& a_{2d_g-1}z+e_{2d_g-1}+B_g^{d_g-1}u{X}^m\end{array}\right]$$

可以看出，$E_z(m)$​​​中的第二行，其实是$(a_1,a_{1}z+e_1+u{X}^m)\approx {\mathsf{RLWE}}_z^{t/Q}(\frac{1}{2}{X}^m)$​​​，因为​​

$u\approx Q/2t$​, ${\mathsf{RLWE}}_z^{t/q}(m)=(a,az+e+Q/tm)\approx (a,az+e+2um)$​。

ACC的正确性没有给出证明，而是直接作为一个结果。

根据Fact 9，可以直接得到最后$\mathsf{ACC}=[\mathbf{a},\mathbf{a}z+\mathbf{e}]+u{X}^v\mathbf{G}$​​​。这里$v=\frac{q}{2}m+e+\frac{q}{4}$​​​。$m=\mathsf{msb}(v)$​​，这个性质是在之前**算法(Refresh)**中证明过。

Extract正确性

在$\mathsf{msbExtract}$​算法中，我们计算了$\left[{\mathbf{a}}^t,{\mathbf{b}}^t\right]\leftarrow ([{\overrightarrow{0}}^t,{\mathbf{t}}^t,{\overrightarrow{0}}^t,\dots ,{\overrightarrow{0}}^t]\cdot \stackrel{\Rightarrow }{\mathrm{ACC}})\in {\mathbb{Z}}_Q^{2N}$​，其实这里就是求了${\mathbf{t}}^t$​和$\mathsf{ACC}$​中第二行的乘积，令$a,b^{\prime }$​为ACC中第二行的值，满足$\overrightarrow{b^{\prime }}=\stackrel{\Rightarrow }{a}\cdot \overrightarrow{z}+u\cdot \overrightarrow{X^v}+\overrightarrow{e}$​。$b_0$为$b^{\prime }$的第一项，则$[{\mathbf{a}}^t,b_0]\leftarrow {\mathbf{t}}^t\cdot \left[\stackrel{\Rightarrow }{a},\overrightarrow{b^{\prime }}\right]$​。

观察到$m=\mathsf{msb}(v)$，当$m=0$, $0\le v<N$, ${\mathbf{t}}^t\cdot \overrightarrow{X^v}=-1$，$m=1,N\le v<2N$, ${\mathbf{t}}^t\cdot \overrightarrow{X^v}=1$。因此${\mathbf{t}}^t\cdot \overrightarrow{X^v}=-(-1{)}^{\mathsf{msb}(v)}$。观察到$1-(-1{)}^x=2x$，所以$u(1+{\mathbf{t}}^t\cdot \overrightarrow{X^v})=2u\mathsf{msb}(v)$。

所以
$$\mathbf{c}=(\mathbf{a},b_0+u)=(\mathbf{a},\mathbf{a}\cdot \overrightarrow{z}+\mathbf{t}\cdot \mathbf{e}+u{\mathbf{t}}^t\cdot \overrightarrow{X^v}+u)=(\mathbf{a},\mathbf{a}\cdot \overrightarrow{z}+\mathbf{t}\cdot \mathbf{e}+2u\mathsf{msb}(v))$$
又因为$u=\lfloor Q/2t\rceil$​：
$$\mathbf{c}=(\mathbf{a},\mathbf{a}\cdot \overrightarrow{z}+\mathbf{t}\cdot \mathbf{e}+\lfloor Q/t\rceil \mathsf{msb}(v))\in {\mathsf{LWE}}_{\overrightarrow{z}}^{t/Q}(\mathsf{msb}(v))={\mathsf{LWE}}_{\overrightarrow{z}}^{t/Q}(m)$$

噪声的刷新可以粗略的理解一下，因为是通过提取msb的方式来取得m，所以新的密文与之前的噪声大小就无关了，所以refresh就相当于进行了bootstrapping。

方案总览

总结

FHEW刷新密文的思想，主要是考虑$\frac{q}{2}m+e+\frac{q}{4}$这样一个式子，其中$q=2N$​​是2的幂次，$|e|<\frac{q}{4}$，因此$msb(v)=m$​，将这个$v$编码到多项式的次数上$X^v\in \mathcal{R}$，当$m=0$，$0\le v<N$，$X^v$的系数是正的，当$m=1$，$N\le v<2N$，$X^v$的系数是负的。通过这样的一个性质，结合GSW的技术，可以在密文上提取出$v$​的最高位。相当于做了一次密文刷新。

小尾巴

本人正在入门密码学，欢迎各位同学或老师加我微信交流：shenghua-adije

---

1. Centrum Wiskunde and Informatica, Amsterdam, Netherlands; leo.ducas@cwi.nl ↩︎

2. University of California, San Diego, California, USA; daniele@cse.ucsd.edu ↩︎

3. 也不知道这里的bootstrapping是指对bit-wise密文还是word-wise密文。之后看一看 ↩︎

4. 所谓仿射变换，就是向量经过一次线性变换加一次平移变换，用公式可以表示为：$\vec{q}=A\vec{p}+\vec{b}$​ ↩︎

5. Alperin-Sheriff J., Peikert C. (2014) Faster Bootstrapping with Polynomial Error. In: Garay J.A., Gennaro R. (eds) Advances in Cryptology – CRYPTO 2014. CRYPTO 2014. Lecture Notes in Computer Science, vol 8616. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-44371-2_17 ↩︎ ↩︎ ↩︎ ↩︎