Better Bootstrapping for Approximate Homomorphic Encryption

Better Bootstrapping for Approximate Homomorphic Encryption

Abstract

本文推广了RNS-CKKS，提出了新的KS算法，减少了在KS算法中使用的临时模的数量。因此，在保证相同安全性的情况下，本文算法可以不依赖Bootstrapping算法实现更深级别的计算。

同时本文提出了一种新的多项式近似算法，可以在密态下评估Sin函数，该评估专门用于CKKS的Bootstrapping算法中。

结合本文推广后的RNS-CKKS和新的Sin函数评估算法，本文实现了第一个在RNS-CKKS上的Bootstrapping算法。

1. 预备知识

1.1 基础论文

---

CKKS

RNS-CKKS

Bootstrapping for CKKS

Improved Bootstrapping for CKKS

Faster Homomorphic Discrete Fourier Transforms and Improved FHE Bootstrapping

---

1.2 Full-RNS-decomposion

给定$a(x)，b(x)\in R$， C = { q 0 , q 1 , . . . , q L } C=\{q_0,q_1,...,q_L\} C={q0​,q1​,...,qL​}，${\hat{q}}_i={\prod }_{j\ne i}{q}_j$，$Q={\prod }_{i=0}^L{q}_i$。
$$\begin{gathered} RNS-Decom{p}_C(a(x))=([a(x)\cdot {\hat{q}}_0^{-1}{]}_{q_0},...,[a(x)\cdot {\hat{q}}_L^{-1}{]}_{q_L})\in R^{L+1} \\ RNS-Powe{r}_C(a(x))=(a(x)\cdot {\hat{q}}_0,a(x)\cdot {\hat{q}}_1,...,a(x)\cdot {\hat{q}}_L)\in R^{L+1} \end{gathered}$$
则有:
$$a(x)\cdot b(x)=<RNS-Decom{p}_C(a(x)),RNS-Powe{r}_C(b(x))>\in R_Q$$

1.3 切比雪夫插值算法

待更新。。。。。。

2.针对RNS-CKKS改进的KS算法

2.1 首先描述RNS-CKKS中的KS算法

---

在RNS-CKKS中，其KS操作并没有使用$decomposion$方法，因此在KS操作时仅需要一个计算公钥即可，即:
$$swk=(b^{\prime },a^{\prime })\in R_{PQ}^2$$
其中:
$$b^{\prime }\leftarrow -a^{\prime }\cdot s_2+P\cdot s_1+e^{\prime }(modPQ)$$
且$P={\prod }_{i=0}^k{p}_i$应该大于$Q={\prod }_{j=0}^{L-1}$以有效减少由KS操作引入的噪声。其中$k$为临时模的数量。

---

2.2 然后描述改进后的KS算法

---

给定 C = { q 0 , q 1 , . . . , q L } C=\{q_0,q_1,...,q_L\} C={q0​,q1​,...,qL​}这和RNS-CKKS中的基链相同。

给定一个整数$dnum>0$，令$\alpha =(L+1)/dnum$。生成一个新的基链:
C ′ = { Q 0 , Q 1 , . . . , Q d n u m − 1 } = [ ∏ i = j α ( j + 1 ) α − 1 q i ] 0 ≤ j < d n u m C'=\{Q_0,Q_1,...,Q_{dnum-1}\}=[\prod_{i=j\alpha}^{(j+1)\alpha-1}q_i]_{0\leq j < dnum} C′={Q0​,Q1​,...,Qdnum−1​}=[i=jα∏(j+1)α−1​qi​]0≤j<dnum​
令${\hat{Q}}_j={\prod }_{i\ne j}{Q}_i$，$P={\prod }_{i=0}^{k-1}{p}_i$，且$|P|\ge Q_j$。

实际上可以看到这里将$C$中的模等间距分为$dnum$组，然后每个小组中的数字相乘得到对应的大的模$Q_j$。

---

$KSGen(s_1,s_2,dnum)$:

注意，这里比RNS-CKKS中的$KSGen(\ast )$算法多了一个参数$dnum$，在这里该参数的含义是，需要生成$dnum$个$swk$。

给定两个秘密多项式$s_1,s_2\in R$，均匀采样$e^{\prime }\leftarrow {\chi }_{err}$。

以RNS的形式均匀采样元素:
$$(a^{\prime (0)},a^{\prime (1)},...,a^{\prime (k+L)})\leftarrow (\prod _{i=0}^{k-1}{R}_{p_i}\times \prod _{j=0}^L{R}_{q_j})$$
输出 { s w k j } 0 ≤ j < d n u m \{swk_j\}_{0\leq j < dnum} {swkj​}0≤j<dnum​，可以看到这里是生成了$dnum$个$swk$。
$$(sw{k}_j^{(0)}=(b_j^{\prime (0)},a^{\prime (0)}),...,sw{k}_j^{(k+L)}=(b_j^{\prime (k+L)},a^{\prime (k+L)}))\leftarrow (\prod _{i=0}^{k-1}{R}_{p_i}\times \prod _{j=0}^L{R}_{q_j})$$
其中每一项满足下述关系:
$$\{\begin{array}{l}{b}_j^{\prime (i)}\leftarrow -a^{\prime (i)}\cdot s_2+e^{\prime }(mod{p}_i),for0\le i<k\\ b_j^{\prime (k+j)}\leftarrow -a^{\prime (k+j)}\cdot s_2+[P{]}_{q_i}\cdot [{\hat{Q}}_j{]}_{q_i}\cdot s_1+e^{\prime }(mod{q}_i),for0\le j<L\end{array}$$

---

现在以RNS组合的形式将这$dnum$个计算公钥展示如下:
$$sw{k}_0=(b^{\prime }\leftarrow -a^{\prime }\cdot s_2+P\cdot {\hat{Q}}_0\cdot s_1+e^{\prime },a^{\prime })\in R_{PQ}^2$$

$$sw{k}_1=(b^{\prime }\leftarrow -a^{\prime }\cdot s_2+P\cdot {\hat{Q}}_1\cdot s_1+e^{\prime },a^{\prime })\in R_{PQ}^2$$

$$...$$

$$sw{k}_{dnum-1}=(b^{\prime }\leftarrow -a^{\prime }\cdot s_2+P\cdot {\hat{Q}}_{dnum-1}\cdot s_1+e^{\prime },a^{\prime })\in R_{PQ}^2$$

可以看到若$dnum=1$，我们则仅有一个计算公钥为:
$$swk=(b^{\prime }\leftarrow -a^{\prime }\cdot s_2+P\cdot s_1+e^{\prime },a^{\prime })\in R_{PQ}^2$$
即RNS-CKKS中的计算公钥形式，也就是说本文的KS算法是对RNS-CKKS中的KS算法的推广。

---

2.3 KS算法应用——密文的重线性化操作

(1)$KeyGen$:

采样$s\leftarrow {\chi }_{key}$，设置密钥$sk=(1,s)$。

设置重线性化密钥${ev{k}_i}_{0\le j<dnum}\leftarrow KSGen(s^2,s)$。

令 C i = { q 0 , q 1 , . . . , q i } C_i=\{q_0,q_1,...,q_i\} Ci​={q0​,q1​,...,qi​}， C j ′ = { q j α , . . . q ( j + 1 ) α − 1 } C_j'=\{q_{j\alpha},...q_{(j+1)\alpha-1}\} Cj′​={qjα​,...q(j+1)α−1​}， D i = ( ∪ 0 ≤ j < i   C j ′ ) ∪ { p 0 , p 1 , . . . , p k − 1 } ) D_i=(\cup_{0\leq j <i}\ C_j')\cup \{p_0,p_1,...,p_{k-1}\}) Di​=(∪0≤j<i​ Cj′​)∪{p0​,p1​,...,pk−1​})。

---

(2)$Mul{t}_{rlk}(ct,c{t}^{\prime })$:

给定两个$l$级别的密文$ct=(c{t}^{(j)}=(c_0^{(j)},c_1^{(j)}{)}_{0\le j\le l}$和$c{t}^{\prime }=(c{t}^{\prime (j)}=(c_0^{\prime (j)},c_1^{\prime (j)}{)}_{0\le j\le l}$。执行如下操作：

1.$For0\le j\le ldo:$（这里和RNS-CKKS的处理步骤相同）
$$\begin{gathered} d_0^{(j)}\leftarrow c_0^{(j)}{c}_0^{\prime (j)}(mod{q}_j) \\ {d}_1^{(j)}\leftarrow c_0^{(j)}{c}_1^{\prime (j)}+c_1^{(j)}{c}_0^{\prime (j)}(mod{q}_j) \\ {d}_2^{(j)}\leftarrow c_1^{(j)}{c}_1^{\prime (j)}(mod{q}_j) \end{gathered}$$
2.$RNS-Decompose$:

原文这里写的很复杂，我简单来用我自己的想法来分析一下:

---

事实上，这里的改进是想结合$Full-RNS-Decomposion$技术。

现在考虑RNS组合的形式(实际上就是CKKS17中的形式)，两个密文$ct=(c_0,c_1)$和$c{t}^{\prime }=(c_0^{\prime },c_1^{\prime })$。

(1) Tensor :
$$(d_0,d_1,d_2)=(c_0{c}_0^{\prime },c_0{c}_1^{\prime }+c_1{c}_0^{\prime },c_1{c}_1^{\prime })$$
此时满足解密结构为:
$$d_0+d_1\cdot s+d_2\cdot s^2=(m_0+e_0)\cdot (m_1+e_1)$$

---

(2) 重线性化:

(2-1)CKKS17版本的重线性化:
$$rlk=-a^{\prime }\cdot s+P\cdot s^2+e(modPQ)$$

$$c_{mult}=(c_{mult,0},c_{mult,1})=(d_0,d_1)+\lfloor P^{-1}\cdot d_2\cdot rlk\rceil (mod{Q}_l)$$

---

(2-2)RNS-CKKS版本的重线性化:

将$rlk$放到RNS域的$D$上，将$(d_0,d_1,d_2)$放到RNS域上的$C_l$上。

首先通过$ModUp(\ast )$算法将$d_2$提升到RNS域的$D_l$上，然后将$d_2$同$rlk$在$D_l$上进行组件级乘法。

随后通过$ModDown(\ast )$算法将$D_l$上的$d_2\cdot rlk$转变到$C_l$上，得到$C_l$上近似的$\lfloor P^{-1}\cdot d_2\cdot rlk\rceil$​。

这里需要注意的一点是，RNS-CKKS中是通过$ModDown(\ast )$算法实现除以辅助模$P$的操作的，与CKKS17有所不同。

---

(2-3)本文改进后的重线性化

实际上发现重线性化的步骤就是对$d_2$进行操作，要得到$\lfloor P^{-1}\cdot d_2\cdot rlk\rceil$。

首先我们生成$dnum$个重线性化密文$rlk$:
$$rl{k}_0=(b^{\prime }\leftarrow -a^{\prime }\cdot s+P\cdot {\hat{Q}}_0\cdot s^2+e^{\prime },a^{\prime })\in R_{PQ}^2$$

$$rl{k}_1=(b^{\prime }\leftarrow -a^{\prime }\cdot s+P\cdot {\hat{Q}}_1\cdot s^2+e^{\prime },a^{\prime })\in R_{PQ}^2$$

$$...$$

$$rl{k}_{dnum-1}=(b^{\prime }\leftarrow -a^{\prime }\cdot s+P\cdot {\hat{Q}}_{dnum-1}\cdot s^2+e^{\prime },a^{\prime })\in R_{PQ}^2$$

可以看这实际上是对
$$RNS-Powe{r}_C(P\cdot s^2)=(P\cdot s^2\cdot {\hat{Q}}_0,P\cdot s^2\cdot {\hat{Q}}_1,...,P\cdot s^2\cdot {\hat{Q}}_{dnum-1})$$
中的每一项的加密，从而得到了$dnum-1$个重线性化密钥。

然后我们对$d_2$进行$RNS-Decomp(\ast )$​处理:
$$RNS-Decom{p}_{C^{\prime }}(d_2)=([d_2\cdot {\hat{Q}}_0^{-1}{]}_{Q_0},...,[d_2\cdot {\hat{Q}}_{dnum-1}^{-1}{]}_{Q_{dnum-1}})$$
很明显可以看出
$$d_2\cdot rlk=<RNS-Decom{p}_{c^{\prime }}(d_2)，[rl{k}_1,rl{k}_2,...,rl{k}_{dnum-1}]>$$
即这里与RNS-CKKS实现了同样的功能，但是结合了Full-RNS-Decomposion技术。

上述步骤仍然是在RNS组合形式下进行分析的，但是实际操作中，肯定是全部都放在RNS域上执行的，实际上也很简单，即对每个重线性化密钥及其对应的$d_2$分两执行RNS域上的操作即可，然后进行相加。

后续的步骤同RNS-CKKS相同，使用$ModDown(\ast )$算法得到$\lfloor P^{-1}\cdot d_2\cdot rlk\rceil$。

---

现在可以简单总结一下改进后的重现性化操作，即:
$$<RNS-Decom{p}_{C^{\prime }}(d_2),En{c}_d(RNS-Powe{r}_{C^{\prime }}(P\cdot s^2))>$$
其中$En{c}_d(\ast )$​表示分别加密。

也就是说通过RNS-Decompision技术将原先单个的$rlk$分解为$dnum$个，将需要重线性化的密文元素$d_2$也分解为$dnum$个。

由于$dnum$是我们自己选择的，故我们可以在复杂性和高效性达到一个平衡。

---

2.4 KS算法应用——密文的旋转操作

密文的旋转操作

给定一个密文$ct=(c_0(X),c_1(X))$，其解密结构满足$<ct,sk>=c_0(X)+c_1(X)\cdot s(X)\approx m(X)$。

现在我们对密文$ct$执行$automophic$操作:
$$c{t}^{\ast }\leftarrow {\kappa }_k(ct)=(c_0(X^{5^k}),c_1(X^{5^k}))$$
很明显，此时我们需要使用$s{k}^{\ast }=(1,s(X^{5^k}))$这个新密钥来解密:
$$<c{t}^{\ast },s{k}^{\ast }>=c_0(X^{5^k})+c_1(X^{5^k})\cdot s(X^{5^k})\approx m(X^{5^k})$$
但是CKKS需要从始至终只使用原始密钥$sk$来解密。

---

因此使用KS旋转操作（即KS算法）

现在使用改进后的KS算法生成支持左旋k位的伽罗瓦计算公钥 { g a l k e y k , j } 0 ≤ j < d n u m \{galkey_{k,j}\}_{0\leq j <dnum} {galkeyk,j​}0≤j<dnum​，这里下标的$j$代表第$j$个$galke{y}_k$，很明显有$dnum$个，即:
$$galke{y}_{k,0}=(b^{\prime }\leftarrow -a^{\prime }\cdot s+e^{\prime }+P\cdot {\hat{Q}}_0\cdot s(X^{5^k}),a^{\prime })\in R_{PQ}^2$$

$$galke{y}_{k,1}=(b^{\prime }\leftarrow -a^{\prime }\cdot s+e^{\prime }+P\cdot {\hat{Q}}_1\cdot s(X^{5^k}),a^{\prime })\in R_{PQ}^2$$

$$...$$

$$galke{y}_{k,dnum-1}=(b^{\prime }\leftarrow -a^{\prime }\cdot s+e^{\prime }+P\cdot {\hat{Q}}_{dnum-1}\cdot s(X^{5^k}),a^{\prime })\in R_{PQ}^2$$

现在将$c_1(X^{5^k})$进行$RNS-Decomp(\ast )$处理:
$$RNS-Decom{p}_{C^{\prime }}(c_1(X^{5^k}))=([c_1(X^{5^k})\cdot {\hat{Q}}_0^{-1}{]}_{Q_0},...,[c_1(X^{5^k})\cdot {\hat{Q}}_{dnum-1}^{-1}{]}_{Q_{dnum-1}})$$
然后计算:
$$c_1(X^{5^k})\cdot rlk=<RNS-Decom{p}_{c^{\prime }}(c_1(X^{5^k}))，[galke{y}_{k,0},galke{y}_{k,1},...,galke{y}_{k,dnum-1}>$$
后续的步骤同RNS-CKKS相同，使用$ModDown(\ast )$算法得到$\lfloor P^{-1}\cdot c_1(X^{5^k})\cdot galke{y}_k\rceil$。

---

现在可以简单总结一下改进后的旋转操作，即:
$$<RNS-Decom{p}_{C^{\prime }}(c_1(X^{5^k})),En{c}_d(RNS-Powe{r}_{C^{\prime }}(P\cdot s(X^{5^k})))>$$
其中$En{c}_d(\ast )$​​表示分别加密。

---

3. 一种更好的同态Sin评估算法

4. RNS-CKKS上的Bootstrapping操作