【NTT(Number Theoretic Transforms)（一）】

提示：Kyber中的NTT(Number Theoretic Transforms)

NTT(Number Theoretic Transforms)（一）

前言

数论变换（number-theoretic transform, NTT）是离散傅里叶变换（DFT）在数论基础上的实现；快速数论变换（fast number-theoretic transform, FNTT）是 快速傅里叶变换（FFT）在数论基础上的实现。针对具有代数结构的格密码算法，其中的多项式乘法为主要的核心算子，目前多数具有代数结构的格密码算法均通过NTT进行多项式乘法加速。本文以NIST公布的标准算法Kyber为例，以此介绍NTT算法的实现原理。

一、中国剩余定理（CRT）

Kyber中的多项式乘法均取自多项式环$R_q={\mathbb{Z}}_q/(x^n+1)$，其中第三轮的Kyber中$q=3329=2^8+1$，$n=256$。由于$256||(q-1)$，所以有限域${\mathbb{Z}}_q$中存在256次本原单位根，但不存在512次本原单位根，因此$(x^n+1)modq$可分解为128个二次多项式。令$\zeta =17$为该256次本原单位根，因此$\zeta ,{\zeta }^3,{\zeta }^5,\cdots ,{\zeta }^{255}$便为${\mathbb{Z}}_q$中所有的256次单位根，固有如下式子：
$$x^n+1=(x^2-\zeta )(x^2-{\zeta }^3)\cdots (x^2-{\zeta }^{255})modq$$于是由中国剩余定理有：$${\mathbb{Z}}_q/(x^{256}+1)={\mathbb{Z}}_q/\prod _{i=0}^{127}(x^2-{\zeta }^{2i+1})\cong {\mathbb{Z}}_q/(x^2-\zeta )⨂\cdots ⨂Z_q/(x^2-{\zeta }^{255})$$ 具体的分解过程可通过平方差公式得到更详细的分解过程，首先${\mathbb{Z}}_q/(x^{256}+1)$，由于${\zeta }^{256}=1$，所以${\zeta }^{128}=-1$，于是有${\mathbb{Z}}_q/(x^{256}+1)={\mathbb{Z}}_q/(x^{256}-{\zeta }^{128})$，由平方差公式便有
$${\mathbb{Z}}_q/(x^{256}-{\zeta }^{128})\cong {\mathbb{Z}}_q/(x^2-{\zeta }^{64})\otimes {\mathbb{Z}}_q/(x^2-{\zeta }^{192})$$其中${\mathbb{Z}}_q/(x^2-{\zeta }^{192})$是由$x^2+{\zeta }^{64}=x^2-{\zeta }^{128}\cdot {\zeta }^{64}$得来。由此继续向下利用平方差公式进行分解，直到最后的
$${\mathbb{Z}}_q/(x^2-{\zeta }^{2brv(0)+1})\otimes {\mathbb{Z}}_q/(x^2-{\zeta }^{2brv(1)+1})\otimes \cdots \otimes {\mathbb{Z}}_q/(x^2-{\zeta }^{2brv(127)+1})$$ 便不可再分。其中$brv(i)$表示为$i$的$\log n-1$位二进制表示比特翻转，即Kyber文档中的$b{r}_7(i)$。比特翻转的顺序结果是由于每次对第二个加的式子使用平方差公式时均需要乘上${\zeta }^{128}$使其变成满足平方差公式的形式。详见下图（图片来源于知乎）。
故Kyber中多项式可表示为：
$$(fmod(x^2-\zeta ),fmod(x^2-{\zeta }^{2brv(1)+1}),\cdots ,fmod(x^2-{\zeta }^{2brv(127)+1}))$$
所以f(x)的NTT表示为：
$$NTT(f)=\hat{f}(x)={\hat{f}}_0+{\hat{f}}_{1}x+\cdots +{\hat{f}}_{255}{x}^{255}$$
其中：
$${\hat{f}}_{2i}=\sum _{j=0}^{127}{f}_{2j}\cdot {\zeta }^{(2brv(i)+1)j};$$ $${\hat{f}}_{2i+1}=\sum _{j=0}^{127}{f}_{2j+1}\cdot {\zeta }^{(2brv(i)+1)j}.$$也可表示为：
$$NTT(f)=\hat{f}(x)=({\hat{f}}_0+{\hat{f}}_{1}x,{\hat{f}}_2+{\hat{f}}_{3}x,\cdots ,{\hat{f}}_{254}+{\hat{f}}_{255}x).$$
于是$h(x)=f(x)\cdot g(x)$利用NTT计算便为：
$$\hat{h}(x)=\hat{f}(x)\cdot \hat{g}(x)=({\hat{h}}_0+{\hat{h}}_{1}x,{\hat{h}}_2+{\hat{h}}_{3}x,\cdots ,{\hat{h}}_{254}+{\hat{h}}_{255}x).$$其中：
$${\hat{h}}_{2i}+{\hat{h}}_{2i+1}x=({\hat{f}}_{2i}+{\hat{f}}_{2i+1}x)\cdot ({\hat{g}}_{2i}+{\hat{g}}_{2i+1}x)mod{x}^2-{\zeta }^{2i+1}$$故
$${\hat{h}}_{2i}={\hat{f}}_{2i}\cdot {\hat{g}}_{2i}+{\hat{f}}_{2i+1}\cdot {\hat{g}}_{2i+1}\cdot {\zeta }^{2i+1};$$ $${\hat{h}}_{2i+1}={\hat{f}}_{2i}\cdot {\hat{g}}_{2i+1}+{\hat{f}}_{2i+1}\cdot {\hat{g}}_{2i}.$$那么如何快速的计算${\hat{f}}_{2i}$和${\hat{f}}_{2i+1}$以及其逆变换呢？这可以从快速傅里叶变换（FFT）中得到启发。

二、离散傅里叶变换（DFT）

$n-1$次多项式有两种表述方式，一种便是由$n$个系数直接写出，另一种便是利用插值多项式原理，$n$个不同变量的函数值唯一决定了一个多项式。即$f(x)$可以表示为$f_0+f_{1}x+\cdots +f_{n-1}{x}^{n-1}$，也可表述为满足$n$个函数值对$(x_0,f(x_0)),\cdots ,(x_{n-1},f(x_{n-1}))$的$n-1$多项式，其中$x_i\ne x_j$, i ≠ j i\neq j