NTT(Number Theoretic Transforms)（二）

提示：Kyber中的NTT(Number Theoretic Transforms)

---

前言

接上一章内容NTT(Number Theoretic Transforms)（一），本章继续以Kyber为例介绍NTT的快速计算方法。

四、NTT的递归

上一章描述了FFT和一种情形的NTT的递归计算思路，然而这种方式对于不存在$2n$次本原单位根的情形并不适用，于是接下来介绍具有一般性的NTT递归计算方式。
通过中国剩余定理对多项式环的分解可以看出，NTT与FFT的具有相似的层分解方式，即将多项式系数按奇次项系数和偶次项系数进行划分，逐层向下分解。但不同之处在于，FFT是利用单位根在最底层的幂次进行约减计算，然后往上递归。而NTT却是将$f(x)$从上往下进行模约减，最终得到的模数便是NTT变换后的结果。
对于初始层，$f(x)\equiv f_0+f_{1}x+\cdots +f_{(}n-1)x^{(}n-1)mod{x}^n+1$，以${\mathbb{Z}}_q$中只存在$n$次本原单位根为例，Kyber即为该种情形。
到了第二层，$f(x)$要分别模至${\mathbb{Z}}_q/(x^{n/2}-{\zeta }^{n/4})$和${\mathbb{Z}}_q/(x^{n/2}+{\zeta }^{n/4})$中，于是左边的左子节点多项式便是将次数大于$n/2$的高次项中的$x^{n/2}$替换为${\zeta }^{n/4}$。即：$$\begin{gathered} L_0(x)=f_0+f_{1}x+\cdots +f_{n/2}\cdot {\zeta }^{n/4}+f_{n/2+1}\cdot {\zeta }^{n/4}x+\cdots +f_{n-1}\cdot {\zeta }^{n/4}\cdot x^{n/2-1} \\ =(f_0+f_{n/2}\cdot {\zeta }^{n/4})+(f_1+f_{n/2+1}\cdot {\zeta }^{n/4})x+\cdots +(f_{n/2-1}+f_{n-1}\cdot {\zeta }^{n/4})x^{n/2-1}. \end{gathered}$$ 同理右子节点模$(x^{n/2}+{\zeta }^{n/4})$为:$$(f_0-f_{n/2}\cdot {\zeta }^{n/4})+(f_1-f_{n/2+1}\cdot {\zeta }^{n/4})x+\cdots +(f_{n/2-1}-f_{n-1}\cdot {\zeta }^{n/4})x^{n/2-1}$$
到了第三层，两边分别往下模$x^{n/4}-{\zeta }^{n/8}$、$x^{n/4}+{\zeta }^{n/8}$和$x^{n/4}+{\zeta }^{3n/8}$和$x^{n/4}-{\zeta }^{3n/8}$。
依次往下，直到最后一层，即为NTT的变换系数。若存在$2n$次本原单位根则过程略有不同，首先第二层变为${\mathbb{Z}}_q/(x^{n/2}-{\zeta }_{2n}^{n/2})$和${\mathbb{Z}}_q/(x^{n/2}+{\zeta }_{2n}^{n/2})$，最后一层即为${\mathbb{Z}}_q/(x-{\zeta }_{2n}^{2br(i)+1})$。
由此可以看出NTT的计算为自上而下的递归计算，首先计算第二层的$f_k^{\prime }=f_k+f_{k+n/2}\cdot {\zeta }^{n/4}$，$f_{k+n/2}^{\prime }=f_k-f_{k+n/2}\cdot {\zeta }^{n/4}$，其中$0\le k<n/2$。然后分别计算第二层左子节点到第三层的归约，即第三层左边的左右两个子节点为：$f_k^{\prime \prime }=f_k^{\prime }+f_{k+n/4}^{\prime }\cdot {\zeta }^{n/8}$，$f_{k+n/4}^{\prime \prime }=f_k^{\prime }-f_{k+n/4}^{\prime }\cdot {\zeta }^{n/8}$；右边的左右两个子节点为：$f_{k+n/2}^{\prime \prime }=f_{k+n/2}^{\prime }+f_{k+3n/4}^{\prime }\cdot {\zeta }^{3n/8}$，$f_{k+3n/4}^{\prime \prime }=f_{k+n/2}^{\prime }-f_{k+3n/4}^{\prime }\cdot {\zeta }^{3n/8}$其中$0\le k<n/4$。以此递归往下。
同样以7次多项式为例，即模多项式为$x^8+1$，$f(x)=f_0+f_{1}x+f_2{x}^2+\cdots +f_7{x}^7$，模数$q$满足$8|(q-1)$。此次不存在16次本原单位根，即$16\nmid (q-1)$。
第二层左子节点为模${\mathbb{Z}}_q/(x^4-{\zeta }^2)$：$$(f_0+f_4\cdot {\zeta }^2),(f_1+f_5\cdot {\zeta }^2),(f_2+f_6\cdot {\zeta }^2),(f_3+f_7\cdot {\zeta }^2)$$ 右子节点为模${\mathbb{Z}}_q/(x^4+{\zeta }^2)={\mathbb{Z}}_q/(x^4-{\zeta }^6)$：$$(f_0-f_4\cdot {\zeta }^2),(f_1-f_5\cdot {\zeta }^2),(f_2-f_6\cdot {\zeta }^2),(f_3-f_7\cdot {\zeta }^2)$$ 第三层左左子节点则为模${\mathbb{Z}}_q/(x^2-\zeta )$：
$$(f_0^{\prime }+f_2^{\prime }\cdot \zeta ),(f_1^{\prime }+f_3^{\prime }\cdot \zeta )$$ 左右子节点则为模${\mathbb{Z}}_q/(x^2+\zeta )={\mathbb{Z}}_q/(x^2-{\zeta }^5)$： $$(f_0^{\prime }-f_2^{\prime }\cdot \zeta )=(f_0^{\prime }+f_2^{\prime }\cdot {\zeta }^5),(f_1^{\prime }-f_3^{\prime }\cdot \zeta )=(f_1^{\prime }+f_3^{\prime }\cdot {\zeta }^5)$$ 右左子节点则为模${\mathbb{Z}}_q/(x^2-{\zeta }^3)$：$$(f_4^{\prime }+f_6^{\prime }\cdot {\zeta }^3),(f_5^{\prime }+f_7^{\prime }\cdot {\zeta }^3)$$ 右右子节点则为模${\mathbb{Z}}_q/(x^2+{\zeta }^3)={\mathbb{Z}}_q/(x^2-{\zeta }^7)$：$$(f_4^{\prime }-f_6^{\prime }\cdot \zeta )=(f_4^{\prime }+f_6^{\prime }\cdot {\zeta }^5),(f_1^{\prime }-f_3^{\prime }\cdot \zeta )=(f_5^{\prime }+f_7^{\prime }\cdot {\zeta }^5)$$ 其中$f_k^{\prime }=f_k+f_{k+4}\cdot {\zeta }^2$，$f_{k+4}^{\prime }=f_k-f_{k+4}\cdot {\zeta }^2$，其中$0\le k<4$。

五、蝶形结构

由上述计算过程便可看出FFT中的蝶形结构，还是以7次多项式为例，类似地，当存在2n次即16次本原单位根时，NNT可进行和FFT一样的计算思想。

总体计算情况如下所示。

其中$\phi ={\zeta }_{16}$，$\omega ={\phi }^2$，类似NTT逆变换也同样具有蝶形结构：

通过第四章NTT的递归计算可以看出，一般情形的NTT同样具有蝶形结构。注意到第一层中约减本原单位根的幂为${\zeta }^{n/4}$，第二层为${\zeta }^{n/8}$，${\zeta }^{3n/8}$，通过找规律发现顺序依次为${\zeta }^{b{r}_{\log n-1}(1)}$, ${\zeta }^{b{r}_{\log n-1}(2)}$，${\zeta }^{b{r}_{\log n-1}(3)}$，${\zeta }^{b{r}_{\log n-1}(5)}$ ，$\cdots$。此时NTT蝶形变换为：
其中$0\le k<\frac{n}{2^{j-1}}$ ，$j$为NTT变换的层级，$r$为从0开始的前$2^{j-2}$个偶数。根据此规律可以写出如下伪代码。

六、伪代码

首先是正序下的NTT变换，即伪代码中层数$j$从1到$\log n-1$。

Input：模数q,项数n=2^l，多项式系数(f_0,f_1,⋯,f_(n-1))，n次本原单位根ζ。
Output：NTT变换后系数F=(F_0,F_1,⋯,F_(n-1) )
1: for j from 1 to log⁡n-1 do
2:     m←2^j；r←0
3:    for i from 0 to n-1 by 2n/m do
4:        for k from 0 to n/m-1 do
5:            t←f_(k+i+n/m)∙ζ^(br(m/2+r)) mod q;
6:            u←f_(k+i);
7:            f_(k+i)←u+t mod q;
8:            f_(k+i+n/m)←u-t mod q；
9:        end for
10:       r←r+1
11:   end for
12: end for
13: (F_0,F_1,⋯,F_(n-1)) = (f_0,f_1,⋯,f_(n-1))
14: return F=(F_0,F_1,⋯,F_(n-1))

相应NTT逆伪代码为：

Input：模数q,项数n=2^l，NTT系数(F_0,F_1,⋯,F_(n-1))，n次本原单位根ζ。
Output：NTT逆变换后系数(f_0,f_1,⋯,f_(n-1) )
1: for j from log⁡n-1 to 1 do
2:     m←2^j；r←0
3:    for i from 0 to n-1 by 2n/m do
4:        for k from 0 to n/m-1 do
5:            t←(F_(k+i)+F_(k+i+n/m))/2 mod q;
6:            u←(F_(k+i)-F_(k+i+n/m))/2 mod q;
7:            F_(k+i)←t;
8:            F_(k+i+2n/m)←u∙ζ^(-br(m/2+r) )  mod q
9:        end for
10:       r←r+1
11:   end for
12: end for
13: (f_0,f_1,⋯,f_(n-1)) = (F_0,F_1,⋯,F_(n-1))
14: return f=(f_0,f_1,⋯,f_(n-1))

其次，$j$还可以从$\log n-1$到1。

Input：模数q,项数n=2^l，多项式系数(f_0,f_1,⋯,f_(n-1))，n次本原单位根ζ。
Output：NTT变换后系数F=(F_0,F_1,⋯,F_(n-1))
1: for j from log⁡n-1 to 1 do
2:     m←2^j；r←0
3:    for i from 0 to n-1 by 2m do
4:        for k from 0 to m-1 do
5:            t←f_(k+i+m)∙ζ^(br(br(m/2)+r))  mod q;
6:            u←f_(k+i);
7:            f_(k+i)←u+t mod q;
8:            f_(k+i+m)←u-t mod q；
9:        end for
10:       r←r+1
11:   end for
12: end for
13: (F_0,F_1,⋯,F_(n-1)) = (f_0,f_1,⋯,f_(n-1))
14: return F=(F_0,F_1,⋯,F_(n-1))

此时NTT逆变换如下所示：

Input：模数q,项数n=2^l，NTT系数((F_0,F_1,⋯,F_(n-1))，n次本原单位根ζ。
Output：NTT逆变换后系数(f_0,f_1,⋯,f_(n-1))
1: for j from 1 to log⁡n-1do
2:     m←2^j；r←0
3:    for i from 0 to n-1 by 2m do
4:        for k from 0 to m-1 do
5:            t←(f ̂_(k+i)+f ̂_(k+i+m))/2 mod q;
6:            u←(f ̂_(k+i)-f ̂_(k+i+m))/2 mod q;
7:            f ̂_(k+i)←t;
8:            f ̂_(k+i+m/2)←u∙ζ^(-br(br(m/2)+r))  mod q;
9:        end for
10:       r←r+1
11:   end for
12: end for
13: (f_0,f_1,⋯,f_(n-1)) = (F_0,F_1,⋯,F_(n-1))
14: return f=(f_0,f_1,⋯,f_(n-1))