数论变换Number Theoretic Transform(NTT）

数论变换是用来干什么的？

数论变换是用来快速高效地计算系数为$Z_q$多项式环乘法运算结果的一个算法。

多项式定义

$f(x)={\sum }_{i=0}^n{a}_i{x}^i$

1. 多项式的根：$f(x_0)=0$, $x_0$为多项式的根
2. 若$a_n\ne 0,deg(f)=n$

多项式乘法

$f(x)={\sum }_{i=0}^n{a}_i{x}^i$ $g(x)={\sum }_{j=0}^n{a}_j{y}^j$
$f(x)\cdot g(x)={\sum }_{i=0}^{n+m}{C}_t{x}^t$
其中$C_t={\sum }_{i+j=t}{a}_i{b}_j$
并且满足$deg(f)>=deg(g),f(x)\ne 0$
多项式$f$和$g$的乘积$h$称为$f$和$g$的折叠卷积

群的定义

带有二元运算的集合G（以下默认集合非空）
满足以下条件：
1、结合律
2、存在零元
3、有可逆元

Abel群

在以上定义的基础上还满足交换律
$a+b=b+a$

环的定义

对集合$R$，现在有两种运算，$+$和$\cdot$，满足
1、在$+$（加法）下成Abel群
2、$a\cdot (b\cdot c)=(a\cdot b)\cdot c$（结合律）
3、$(a+b)\cdot c=ac+bc$（分配率）
则称集合$R$为环

多项式环、多项式商环

多项式环就是多项式系数在环上。多项式商环就是多项式环模了一个多项式

多项式商环下的乘法

现在存在一个多项式环${\mathbb{Z}}_q[x]/(x^n+1),n=2^m$（$n$是2的某次幂），$q$是素数，并且满足$2n|(q-1)$
其中$f,g$都是是属于多项式环的，需要计算多项式环$f,g$的乘积：
$$\begin{gathered} f,g\in {\mathbb{Z}}_q/(x^n+1) \\ h=f\cdot g\in {\mathbb{Z}}_q/(x^n+1) \\ f=(f_0,f_1,f_2,...,f_{n-1}) \\ g=(g_0,g_1,g_2,...,g_{n-1}) \end{gathered}$$
1、令$\bar{h}=f\cdot g\in {\mathbb{Z}}_q[x]$（也就是传统多项式乘法）
$\bar{h}=(\overline{h_0},\overline{h_1},\overline{h_2},...,\overline{h_{n-1}},\overline{h_n},...,\overline{h_{2n-2}})$
2、$h=\bar{h}mod(x^n+1)$ 令$x^n=-1$
则可以得到：
$$h=(\overline{h_0}-\overline{h_n},\overline{h_1}-\overline{h_{n+1}},...,\overline{h_{n+2}}-\overline{h_{2n-2}},\overline{h_{n-1}})$$
具体推导过程如下：

根据上文提到的多项式乘法结果，我们可以把其中的$\bar{h}$做一个替换，可以得到如下结果

称$h$是$f$和$g$的负折叠卷积。

傅里叶变换

• 连续：$F(\omega )=\mathcal{F}[f(t)]={\int }_{-\infty }^{\infty }f(t)e^{-iwt}dt$
  $f(t)={\mathcal{F}}^{-1}[F(w)]=\frac{1}{2\pi }{\int }_{-\infty }^{\infty }F(w)e^{-iwt}dw$

• 离散DFT（作用在复数域$\mathbb{C}$上）
  $(x_0,x_1,...x_{n-1})<=>(x_0,x_1,...,x_{N-1})\in \mathbb{C}$
  $$\begin{gathered} x_j=\sum _{k=0}^{n-1}{x}_k{w}^{kj}j=0,1,\dots ,n-1 \\ {x}_k=\sum _{j=0}^{n-1}{x}_j{w}^{-kj}k=0,1,\dots ,N-1 \end{gathered}$$
  其中$w=e^{-\frac{2\pi i}{N}}$,N次单位根，$X^N=1$称为N长DFT
  记$\vec{x}=(x_0,....,x_{N-1}),\vec{X}=(X_0,X_1,....,X_{n-1})$
  $\vec{X}=DFT(\vec{x}),\vec{x}=DF{T}^{-1}(\vec{X})$
  离散傅里叶变换的两条性质：
  1、$\vec{X}=DF{T}^{-1}(DFT(\vec{x}))$
  2、循环卷积性质
  $$\begin{gathered} \vec{x}=(x_0,x_1,...,x_{N-1}) \\ \vec{y}=(y_0,y_1,...,y_{N-1}) \end{gathered}$$
  实在码不动公式了所以看图吧
  

数论变换NTT（有限域上的离散傅里叶变换）

$$\begin{gathered} \tilde{f}=(\widetilde{f_0},\widetilde{f_1},\widetilde{f_2},...,\widetilde{f_{N-1}})\stackrel{transform}{\iff }\hat{f}=(\widehat{f_0},\widehat{f_1},...,\widehat{f_{N-1}}）(\widetilde{f_i},\widehat{f_i}\in {\mathbb{Z}}_q) \\ \{\begin{array}{l}\widehat{f_j}=\sum _{i=0}^{N-1}\widetilde{f_i}{r}^{ij},j=0,1,...,N-1\\ \widetilde{f_i}=\frac{1}{N}\sum _{j=0}^{N-1}\widehat{f_j}{r}^{ij},i=0,1,...,N-1\end{array} \\ \{\begin{array}{l}\hat{f}=NTT(\tilde{f})\\ \tilde{f}=NT{T}^{-1}(\hat{f})\end{array} \end{gathered}$$
其中$r$是${\mathbb{Z}}_q$中的$N$阶本原单位根，并称此变换为$N$长$NTT$。$r$是$N$阶本原单位根，$w$是$2N$阶本原单位根，因此$r=w^2$

N阶本原单位根
$r\in {\mathbb{Z}}_q,r^N\equiv 1modq,r^k\not\equiv modq,0<k<N$（小于$N$的非零幂模$q$不为1）

1. $\tilde{f}=NT{T}^{-1}(NTT(\tilde{f}))$
2. 如果$\tilde{h}$是$\tilde{f}$和$\tilde{g}$的循环卷积，则
   $$NTT(\tilde{f})\circ NTT(\tilde{g})=NTT(\tilde{h})$$

如何利用N长NTT计算多项式乘法$h=f\cdot g\in {\mathbb{Z}}_q[x]/(x^n+1)$?

现在我们已经有：（懒得打公式+1）

负折叠卷积下的NTT和循环卷积下的NTT

上面的推导过程是为了验证这样的一个结论：

就是对多项式$f$负折叠卷积下的NTT等于对多项式$f$做一个点乘向量$(1,w,w^2,w^3,...,w^{n-1})$得到的结果折叠卷积下的NTT（逆NTT则是点乘向量$(1,w^{-1},w^{-2},..,w^{-(n-1)})$）

用公式表示则如下：
$$\begin{gathered} \hat{f}=\widehat{NTT}(f)=NTT((1,w,w^2,w^3,...,w^{n-1})\circ f) \\ f=\widehat{NT{T}^{-1}}(\hat{f})=(1,w^{-1},...,w^{-(n-1)})\circ NT{T}^{-1}(\hat{f}) \end{gathered}$$
令$\tilde{f}=(1,w,...,w^{n-1})\circ f,\widetilde{f_i}=w^i{f}_i$.
则由数论变换NTT可得：
$\widehat{f_j}=\sum _{i=0}^{n-1}{r}^{ij}\cdot \widetilde{f_i}=\sum _{i=0}^{n-1}(w^2{)}^{ij}{w}^i{f}_i=\sum _{i=0}^{n-1}(w{)}^{(2j+1)\cdot i}{f}_i=f(w^{2j+1})$
以上$\widehat{NTT}$就是负折叠卷积下的数论变换，$NTT$算子就是循环卷积下的数论变换（也是我们上文提到的）。我们已知循环卷积下的数论变换，要求负折叠卷积下的数论变换，可以用如上的方式求得。

还有一种方法求负折叠卷积下的数论变换是通过FFT-Trick的方式计算，在本博主另外一篇博文中可以看到FFT-trick及Culey-Tukey蝴蝶变换原理及实现。