基于[Discretized] Torus的全同态加密指引（1）

mutourend

已于 2023-12-20 21:00:01 修改

阅读量1.6k

点赞数 17

分类专栏：基础理论文章标签：同态加密区块链算法

于 2023-12-16 22:01:11 首次发布

本文链接：https://blog.csdn.net/mutourend/article/details/135037914

版权

基础理论专栏收录该内容

145 篇文章 29 订阅

订阅专栏

1. 引言

全同态加密（FHE，Fully Homomorphic Encryption），由Rivest等人于1978年首次提出，可用于对已加密数据做函数运算，仅在2009年由Gentry首次实现突破性解决。经过近十年来的研究，开始出现实用解决方案，并正推进标准化。

本指引是针对实操者的，其：

解释了TFHE的内部工作原理。TFHE为基于torus的全同态加密方案。
描述了基于torus discretized（离散）版本的实现。
解释了可编程bootstrapping的技术细节。
提供了多个例子来展示不同的概念和定义。

全同态加密（FHE）长期以来一直被认为是密码学的圣杯。这个概念是在70年代末设想出来的[RAD78]，但30年后才首次实现[Gen09，Gen10]。如今，公共和私有领域都在接受这种新的安全模式，并积极致力于使FHE更实用、更易于使用。在[Hal17]中可以找到一个关于FHE的优秀描述。

1.1. 何为FHE？

数据加密可保护敏感数据存储或传输。然而，标准加密技术需要对数据进行解密以进行处理。而FHE能够直接对加密数据进行计算。FHE的名字来源于同态的数学概念：一个集合的元素被转换为第二个集合的元元素，同时保持两个集合的元素之间的关系。应用于加密，其意味着对明文（即未加密数据）或密文（即已加密数据）进行操作会产生等效的结果——在对明文进行操作时是透明的，在对密文进行操作时则是加密的。如，已知分别 $c_1,c)2$ 分别为对应明文 $x_1$ 和 $x_2$ 的任意两个密文，存在public运算 $\boxplus$ ，使得 $c_3=c_1 \boxplus c_2$ 是 $x_3＝x_1+x_2$ 的加密。

虽然很容易找到能对密文做加法或乘法运算的密码学系统（如，[RAD78，ElG85，Pai99]），但同时支持密文加法和乘法运算的密码学系统更难找到。同时支持密文加法和乘法运算的加密方案被称为全同态，因为任意程序都可以表示为由加法和乘法组成的电路。更一般地说，FHE方案是一种能够在加密数据上评估任意程序的加密方案。

FHE方案的首个实现是Gentry[Gen09，Gen10]。随后的实现包括以下方案：BFV[Bra12，FV12]，GSW[GSW13]，BGV[BGV12，BGV14]，FHEW[DM15]，CKKS[CKS17]和TFHE[CGGI16，CGGI20]。

1.2 noise处理：bootstrapping trick

大多数全同态加密依赖于hard lattice problems。为此，生成的密文中必须包含一定级别的noise，以确保加密的安全性。

问题在于：

同态计算会增加密文中的噪声级别。

在这里插入图片描述
一旦噪声低于特定阈值，该密文可被解密。当若该噪声增长过多，其超过了数据自身，将使得无法解密。为避免出现无法解密的情况，可对密文应用一种特殊的降噪操作——称为bootstrapping，该概念在[Gen09]中提出，从而有效地将噪声重置到标称水平。

1.3 可编程bootstrapping和functional电路

TFHE加密方案最初是为布尔电路设计的，但它可扩展到支持布尔以外的输入格式，如整数[CJL+20]。值得注意的是，它的自举速度相对较快。此外，在降低噪声的同时，TFHE中的自举之类可被编程为对某单变量函数的免费评估。这被称为可编程自举（PBS，Programmable BootStrapping）。PBS是一种对非线性函数（如神经网络中的activation激活函数）进行同态评估的强大技术[CIP21]。（值得注意的是，常规自举对应于具有identity函数的可编程自举。）

PBS运算不仅能够对单变量函数进行同态评估，而且可以用于计算多变量函数。如， $\max$ 函数 $\max(x,y)$ 可重写为 $\max(x,y)=y+\max(0,x−y)$ 。更一般地说，Kolmogorov的superposition定理[Kol57]指出，任何多变量函数都可表示为单变量函数的线性组合。这产生了functional电路的计算范式，其中加密方案可以是全同态的，只要它实现同态加法和单变量函数。单变量函数可使用可编程自举进行同态评估，而密文的加法则以分级的方式进行评估。

1.4 神经网络应用

在这里插入图片描述

神经网络为functional circuit的特殊应用场景：

其activation函数为非线性单变量函数，
其输入为之前layers的权重输入之和

众所周知，在FHE中计算activation激活函数是困难的，因为与使用可编程自举相比，使用简单的加法和乘法不能精确地表示非线性。

可编程自举和原始TFHE功能可作为Concrete[CJL+20]的一部分提供。Concrete是一个开源FHE框架。如，针对深度为20、50、100的神经网络（分别称为NN-20、NN-50和NN-100），进行了一系列数值实验来评估MNIST数据集[LCB98]的性能；参见[CIP21]。这些网络都包括具有激活函数的稠密层和卷积层；每个隐藏层至少有92个active活动神经元。实验在两种不同类型的机器上进行：一台2.6 GHz 6核Intel®Core™i7处理器的个人电脑，和具有96个vCPU、托管在AWS的3.00 GHz Intel®Xeon®Platinum 8275CL处理器。这两台机器分别称为PC和AWS。选择密码学参数以满足标准的128位安全级别。
在这里插入图片描述
具体运行时长见上表。为参考，还包括了未加密推理的时间。重要的是要注意，对应于独立运行的单个推理的评估的时间；特别是，这些时间不会在一批推理中摊销。AWS实现利用了96个vCPU；特别地，隐藏层中的神经元是并行处理的。

2. 相关定义

2.1 Torus和Torus多项式

TFHE [CGGI20] 中的‘T’ 是指real torus $\mathbb{T}=\mathbb{R}/\mathbb{Z}$ 。总体说来， $\mathbb{T}$ 为 $[0, 1)$ 内实数对 $1$ 取模组成的集合。
$\mathbb{T}$ 内任意2个元素都可求和模 $1$ ， $(\mathbb{T},+)$ 构成一个abelian group。但需注意的是， $\mathbb{T}$ 并不是ring，因并未定义对torus元素的内部乘法 $\times$ 。

Torus $\mathbb{T}$ 并不是ring。
若 $\mathbb{T}$ 为ring，则有 $(a+b)\times c=a\times c+b\times c$ 和 $a\times(b+c)=a\times b+a\times c$ 。其中 $\times$ 和 $+$ 均定义于该torus（即， $\times$ 和 $+$ 分别表示基于实数模 $1$ 的乘法和加法。）

如，以 $a=\frac{2}{5},b=\frac{4}{5},c=\frac{1}{3}$ 为例，基于 $\mathbb{T}$ ，有 $(a+b)\times c=\frac{1}{5}\times \frac{1}{3}=\frac{1}{15}$ 和 $a\times c+b\times c=\frac{2}{15}+\frac{4}{15}=\frac{6}{15}$ ，二者是矛盾的。

该问题源自， $\mathbb{T}$ 中的 $0$ 和 $1$ 是等价元素。

不过，整数与torus元素间的external product $\cdot$ 则定义良好。令 $k\in \mathbb{Z},t\in\mathbb{T}$ ，则：

若 $k\geq 0$ ，可定义 $k\cdot t=t+\cdots +t（共k次）$
若 $k < 0$ ，可定义 $k\cdot t=(-k)\cdot (-t)$ 。

从而，对于 $0,1\in\mathbb{Z}和t\in\mathbb{T}$ ，有 $0\cdot t=0\in\mathbb{T}$ 和 $1\cdot t=t\in\mathbb{T}$ 。数学上， $\mathbb{T}$ 具有 $\mathbb{Z}$ -module结构：

对于任意的 $k,l\in \mathbb{Z}和a,b\in\mathbb{T}$ ，有 $(k+l)\cdot a=k\cdot a+l\cdot a$ 和 $k\cdot (a+b)=k\cdot a+k\cdot b$ 。
进一步，该external product是homogeneous的：对于任意的 $k,l\in\mathbb{Z}和t\in\mathbb{T}$ ，有 $k\cdot (l\cdot t)=(kl)\cdot t$ 。

如对于 $k=2,l=3,a=\frac{2}{5},b=\frac{4}{5}$ ，有：

$(k+l)\cdot a=5\cdot \frac{2}{5}=0$ 和 $k\cdot a+l\cdot a=\frac{4}{5}+\frac{1}{5}=0$
$k\cdot (a+b)=2\cdot \frac{1}{5}=\frac{2}{5}$ 和 $k\cdot a+k\cdot b=\frac{4}{5}+\frac{3}{5}=\frac{2}{5}$ 。
若取 $t=a=\frac{2}{5}$ ，则有 $k\cdot (l\cdot t)=2\cdot \frac{1}{5}=\frac{2}{5}$ 和 $(kl)\cdot t=6\cdot \frac{2}{5}=\frac{2}{5}$ 。

Torus多项式：

基于torus的多项式
以 $\Phi(X)$ 来表示 $M$ -th cyclotomic多项式，即，为唯一的不可约多项式，其整数系数可整除 $X^M-1$ ，但对任意的 $k < M$ 不可整除 $X^k-1$ 。
以 $N$ 来表示该多项式的degree。
出于性能原因，选 $M$ 值为power of 2。此时有 $N = M /2$ ，且 $\Phi(X)=X^N+1$ 。
- 考虑到其多项式rings $\mathbb{R}_N[X]:=\mathbb{R}[X]/(X^N+1)$ 和 $\mathbb{Z}_N[X]:=\mathbb{Z}[X]/(X^N+1)$ ，定义其 $\mathbb{Z}_N[X]$ -modulo为：
  $\mathbb{T}_N[X]:=\mathbb{R}_N[X]/\mathbb{Z}_N[X]=\mathbb{T}[X]/(X^N+1)$
- $\mathbb{T}_N[X]$ 中的元素，可看成是多项式对 $X^N+1$ 求模后的在 $\mathbb{T}$ 内的系数。
- 作为 $\mathbb{Z}_N[X]$ -modulo， $\mathbb{T}_N[X]$ 中的元素可相加，并与 $\mathbb{Z}_N[X]$ 多项式进行external multiply。

如，若 $M = 4$ ，则有 $N = 2$ ，从而有 $\Phi(X)=X^2+1$ ，进而有 $\mathbb{T}_2[X]=\mathbb{T}[X]/(X^2+1)=\{\mathfrak{p}(X)=\{\mathfrak{p}_1X+\mathfrak{p}_0|\mathfrak{p}_0,\mathfrak{p}_1\in\mathbb{T}\}$ 。
如取 $\mathfrak{p}(X)=\frac{2}{5}X+\frac{1}{3}，\mathfrak{q}(X)=\frac{4}{5}X+\frac{1}{2}和\mathfrak{r}(X)=2X+7$ ，则有：

$(\mathfrak{p}+\mathfrak{q})(X)=\frac{1}{5}+\frac{5}{6}$
$(\mathfrak{r}\cdot \mathfrak{p})(X)=\frac{4}{5}X^2+\frac{7}{15}+\frac{1}{3}=-\frac{4}{5}+\frac{7}{15}X+\frac{1}{3}=\frac{7}{15}X+\frac{8}{15}$ 。注意该多项式定义于对 $X^2+1$ 取模，从而有 $X^2\equiv -1$ 。

2.2 Discretized Torus

令 $B$ 为 $\geq 2$ 的整数。任意的 $t\in \mathbb{T}$ torus元素，可表示为radix- $B$ digits组成的无限序列 $(t_1,t_2,\cdots)_B$ ，其中 $t_j\in\{0,\cdots,B-1\}$ ，对应有 $t=\sum_{j=1}^{\infty}t_j\cdot B^{-j}$ 。实际上，torus元素不会以无限多个digits来表示。会将元素膨胀到某有限精度。借助fixed-point方法，对于某 $w\geq 1$ ，torus元素 $t$ 可写成：
$t=\sum_{j=1}^{w}t_j\cdot B^{-j}$ ，其中 $t_j\in\{0,\cdots,B-1\}$ 。

该表示可限定该torus到子集 $B^{-w}\mathbb{Z}/\mathbb{Z}\subset \mathbb{T}$ ，其representatives在 $\{0,\frac{1}{B^w},\frac{2}{B^w},\cdots,\frac{B^w-1}{B^w}\}$ 内。

如，假设 $B = 10$ ，则 $\sqrt{2}\mod 1=0.4142...=4\cdot 10^{-1}+1\cdot 10^{-2}+4\cdot 10^{-3}+2\cdot 10^{-4}+\cdots$ 。若 $w = 3$ 个digits，则 $\sqrt{2}\mod 1\approx \frac{414}{10^3}$ 接近为torus元素 $4\cdot 10^{-1}+1\cdot 10^{-2}+4\cdot 10^{-3}$ 。

Remark 1：
当取 $B = 2$ 时，即对应radix- $2$ 场景，令 $w=\Omega$ ，有 $t=\sum_{j=1}^{\Omega}t_j\cdot 2^{-j}$ 。

参数 $\Omega$ 称为bit precision位精度。
leading bit，即 $t_1$ ，称为sign bit符号位。
- 可将其看成是在 $[0, 1)$ 范围内的无符号实数。
- 或，可将其看成是在 $[-\frac{1}{2},\frac{1}{2})=[-\frac{1}{2},0)\cup[0,\frac{1}{2})$ 范围内的有符号实数。若设置了leading bit，相应的torus元素可被解析为负数，即在 $[-\frac{1}{2},0)$ 范围内的某值。

现代架构中的位精度通常为32位或64位，即 $\Omega=32或64$ 。在32位或64位架构中，torus元素形式可被限定为 $\sum_{j=1}^{\Omega}t_j\cdot 2^{-j}(\mod 1)$ ，其中 $t_i\in\{0,1\}$ 。

本质上，使用有限精度，是将 $\mathbb{T}$ 替换为了submodule：
$\mathbb{T}_q:=q^{-1}\mathbb{Z}/\mathbb{Z}\subset \mathbb{T}$ ，其中 $q=2^{\Omega}$ 。

$\mathbb{T}_q$ 的representatives为分数集合： $\{\frac{i}{q}\mod 1|i\in\mathbb{Z}\}=\{\frac{i}{q}|i\in\mathbb{Z}/q\mathbb{Z}\}=\{0,\frac{1}{q},\cdots,\frac{q-1}{q}\}$ 。该torus的离散化modulo $q$ 可由 $\mathbb{T}_q$ 中的下标 $q$ 表示。submodule $\mathbb{T}_q\subset \mathbb{T}$ 形成了discretized torus。

实际应用中，torus元素并不以分数表示，而是通过identify $\mathbb{T}_q=\frac{1}{q}\mathbb{Z}/\mathbb{Z}$ with $\mathbb{Z}/q\mathbb{Z}$ 的元素模 $q$ 。
更具体来说，已知2个torus元素 $t=\frac{a}{q},u=\frac{b}{q}\in\mathbb{T}_q$ ，若有 $v:=t+u=\frac{c}{q}\in\mathbb{T}_q$ ，则有 $c\equiv a+b(\mod q)$ 。
类似地，对于torus元素 $t=\frac{a}{q}$ 和scalar $k\in\mathbb{Z}$ ，若有 $w:=k\cdot t=\frac{d}{q}\in\mathbb{T}_q$ ，则有 $d\equiv ka(\mod q)$ 。
基于 $\mathbb{T}_q$ 的计算，可完全转换为，仅考虑分子的模 $q$ 运算。

类似地，对于discretized torus $\mathbb{T}_q$ ，可定义：
$\mathbb{T}_{N,q}[X]:=\mathbb{Z}_q[X]/(X^N+1)$

同时定义 $\mathbb{Z}_{N,q}[X]:=\mathbb{Z}_q/(X^N+1)$ ，其中 $\mathbb{Z}_q=\mathbb{Z}/q\mathbb{Z}$ 。将 $\frac{1}{q}$ 看成是 $\mathbb{Z}_{N,q}[X]$ 中的某元素，任意多项式 $\mathfrak{p}\in\mathbb{T}_{N,q}[X]$ 可表示为 $\mathfrak{p}=\bar{\mathfrak{p}}\cdot \frac{1}{q}$ ，其中多项式 $\bar{\mathfrak{p}}\in\mathbb{Z}_{N,q}[X]$ 。 $\mathbb{T}_{N,q}[X]$ 中的加法和外部乘法可分别表示为’ $+$ ‘和’ $\cdot$ ’。

2.3 标记

令 $S$ 为某集合， $a\xleftarrow{\S}S$ 表示 $a$ 为 $S$ 中的均匀采样随机值。若 $\mathcal{D}$ 为概率分布， $a\leftarrow \mathcal{D}$ 则表示根据 $\mathcal{D}$ 来采样获得 $a$ 。对于实数 $x$ ， $\lfloor x \rfloor$ 表示取 $\leq x$ 的最大整数， $\lceil x \rceil$ 表示取 $g e q x$ 的最小整数。 $\lfloor x\rceil$ 表示对 $x$ 四舍五入取整。

$\mathbb{Z}$ 或 $\mathbb{T}$ （分别为 $\mathbb{Z}_q$ 或 $\mathbb{T}_q$ ）中元素以罗马字体表示，多项式以书法字体表示。 $\mathbb{B}$ 为整数子集 ${0,1\}$ ， $N$ 为power of $2$ ， $\mathbb{B}_N[X]$ 为 $\mathbb{Z}_N[X]$ 多项式系数在 $\mathbb{B}$ 的子集。

向量可看成是行矩阵，以粗体表示。

如，向量 $\mathbf{v}=(3,4)\in\mathbb{Z}^2$ 可看成是行矩阵 $(3\ 4)\in\mathbb{Z}^{1\times 2}$ ，且若 $\mathbf{A}=\begin{bmatrix} 1 & 2\\ 0 & 1 \end{bmatrix}$ ，则 $\mathbf{vA}=(3\ 10)=(3,10)$ 。

2.4 复杂度假设

2005年，Regev [Reg05, Reg09]引入了learning with errors problem（LWE）。随后在[SSTX09，LPR10]中提出了对ring结构的推广和扩展。如[CGGI20]中最初所述，TFHE的安全性依赖于基于torus的难题hardness[BLP+13，CS15]：基于torus的LWE假设和GLWE假设[BGV14，LS15]。

本文基于discretized torus，做如下定义：

Definition 1（LWE problem over the discretized torus）：
令 $q,n\in\mathbb{N}$ ， $\mathbf{s}=(s_1,\cdots,s_n)\xleftarrow{\S}\mathbb{B}^n$ 。令 $\hat{X}$ 为基于 $q^{-1}\mathbb{Z}$ 的error distribution。则基于discretized torus的learning with errors（LWE）难题为：
区分如下2个distributions中选中的采样：
$\mathcal{D}_0=\{(\mathbf{a},r)|\mathbf{a}\xleftarrow{\S}\mathbb{T}_q^n,r\xleftarrow{\S}\mathbb{T}_q\}$
$\mathcal{D}_1=\{(\mathbf{a},r)|\mathbf{a}=(a_1,\cdots,a_n)\xleftarrow{\S}\mathbb{T}_q^n,r=\sum_{j=1}^{n}s_j\cdot a_j+e,e\leftarrow \hat{X}\}$
Definition 2（GLWE problem over the discretized torus）：
令 $N,q,k\in\mathbb{N}$ ， $N$ 为power of 2， $\mathbf{s}=(\mathfrak{s}_1,\cdots,\mathfrak{s}_k)\xleftarrow{\S}\mathbb{B}_N[X]^k$ 。同时，令 $\hat{X}$ 为基于 $q^{-1}\mathbb{Z}_N[X]$ 的error distribution，即，多项式 $q^{-1}\mathbb{Z}_N[X]$ 的系数均源自 $\hat{X}$ 。基于discretized torus的general learning with errors（GLWE）难题为：
区分如下2个distributions中选中的采样：
$\mathcal{D}_0=\{(\mathfrak{a},\mathfrak{r})|\mathfrak{a}\xleftarrow{\S}\mathbb{T}_{N,q}[X]^k,\mathfrak{r}\xleftarrow{\S}\mathbb{T}_{N,q}[X]\}$
$\mathcal{D}_1=\{(\mathfrak{a},\mathfrak{r})|\mathfrak{a}=(\mathfrak{a}_1,\cdots,\mathfrak{a}_k)\xleftarrow{\S}\mathbb{T}_{N,q}[X]^k,\mathfrak{r}=\sum_{j=1}^{k}\mathfrak{s}_j\cdot \mathfrak{a}_j+e,e\leftarrow \hat{X}\}$

decisional LWE假设（或decisional GLWE假设）断言，对于某安全参数 $\lambda$ ，解决LWE难题（或GLWE难题）是不可信的，其中 $q:=q(\lambda),n:=n(\lambda),\hat{X}:=\hat{X}(\lambda)$ （或 $N:=N(\lambda), q:=q(\lambda),k=k(\lambda),\hat{X}:=\hat{X}(\lambda)$ ）。

有趣的是，以 $\mathbb{T}_q$ 来标记 $\mathbb{Z}_q=\mathbb{Z}/q\mathbb{Z}$ （或，以 $\mathbb{T}_{N,q}[X]$ 来标记 $\mathbb{Z}_{N,q}[X]$ ），则基于discretized torus的decisional LWE（或decisional GLWE）假设，等价为标准decisional LWE（或decisional GLWE）假设。

在这里插入图片描述
如上表所示，展示了LWE假设和GLWE假设安全示例常用经典密码学参数。根据normal distribution $\mathcal{N}(0,\sigma^2)$ 可推导出error distribution $\hat{X}$ ，normal distribution $\mathcal{N}(0,\sigma^2)$ 以 $0$ 为中心，方差为 $\sigma^2$ ，其中 $\sigma$ 表示标准方差。

推荐使用https://github.com/malb/lattice-estimator/（Python）脚本来找到指定安全级别的准确参数。
对于某等价安全级别，更小的参数 $n$ 值（或 $(N, k)$ 值），应补偿有更大 $\sigma$ 值（即，更不密集的噪声）。

3. TLWE Encryption

3.1 描述

基于discretized torus的LWE假设，是指，对于由 $r=\sum_{j=1}^{n}s_j\cdot a_j+e$ 所构建的某torus元素 $r\in\mathbb{T}_q$ ，与随机torus元素 $r\in\mathbb{T}_q$ ，二者不可区分，即使已知torus向量 $(a_1,\cdots,a_n)\in\mathbb{T}_q$ 。
torus元素 $r=\sum_{j=1}^{n}s_j\cdot a_j+e$ ，可用作一次性pad来隐藏“明文消息” $\mu\in\mathbb{T}_q$ ，从而构成密文 $\mathbf{c}=(a_1,\cdots,a_n,r+\mu)\in\mathbb{T}_q^{n+1}$ ，其中 $\mathbf{s}=(s_1,\cdots,s_n)\in\mathbb{B}^n$ 用作private 加密密钥。选择秘钥 $s$ 为bits向量的原因，是为了实现高效bootstrapping，具体见 Guide to Fully Homomorphic Encryption over the [Discretized] Torus 论文第5章。

仅部分torus用作明文消息输入。该明文空间取自合适的加法子群 $\mathcal{P}\sub\mathbb{T}_q$ ，具体为：
$\mathcal{P}=\{0,\frac{1}{p},\cdots,\frac{p-1}{p}\}$
其中，整数 $p$ 可整除 $q$ ，且 $p\geq 2$ 。只要密文中的噪声不太大，就支持唯一解密。
特别地，基于以上 $\mathcal{P}$ 选择，若 $\mathbf{c}=(a_1,\cdots,a_n,b)$ ，其中 $b=\sum_{j=1}^{n}s_j\cdot a_j+\mu+e$ 为对明文 $\mu\in\mathcal{P}$ 的加密，则明文 $\mu$ 可通过如下2个步骤恢复：

1）计算 $\mu^*=b-\sum_{j=1}^{n}s_j\cdot a_j$ （在 $\mathbb{T}_q$ 中）
2）返回 $\mathcal{P}$ 中最接近的明文。

TWLE加密方案为：
已知discretized torus $\mathbb{T}_q$ ，明文空间为 $\mathbb{T}_q$ 的某加法子群，即 $\mathcal{P}:=p^{-1}\mathbb{Z}/\mathbb{Z}=\mathbb{T}_p\sub \mathbb{T}_q$ ，其中 $p$ 可整除 $q$ 。根据基于 $\mathbb{R}$ 的error distribution $X$ ，可推导出基于 $q^{-1}\mathbb{Z}$ 的discretized distribution $\hat{X}$ ：
noise error $e\leftarrow \hat{X}$ 定义为 $e=\frac{\bar{e}}{q}$ ，其中 $\bar{e}=\text{round}(qe_0)\in\mathbb{Z}$ ， $e_0\leftarrow X$ 。
密文的mask $(a_1,\cdots,a_n)\in\mathbb{T}_q^n$ 源自 $\bar{a}_j\xleftarrow{\S}\mathbb{Z}/q\mathbb{Z}$ ，并令 $a_j=\frac{\bar{a}_j}{q}$ ，其中 $1\leq j\leq n$ 。相应的body $b$ 为 $b=\sum_{j=1}^{n}s_j\cdot a_j+\mu+e$ ，其中 $e\leftarrow \hat{X}$ 。对 $\mu\in\mathcal{P}$ 的TLWE加密结果为向量 $(a_1,\cdots,a_n,b)$ 。

Remark 2：
该私钥加密方案是对称的：

在加密和解密时使用的是相同的秘钥。公钥变种见附录A。

最终，完整的私钥加密方案——TLWE加密方案为：

1） $KeyGen(1^{\lambda})$ ：基于输入安全参数 $\lambda$ ，定义正整数 $n$ ，选择正整数 $p, q$ ，使得 $p ∣ q$ ，并基于 $\mathbb{R}$ 的normal distribution $X=\mathcal{N}(0,\sigma^2)$ 推导出基于 $q^{-1}\mathbb{Z}$ 的discretized error distribution $\hat{X}$ 。随机均匀采样获得向量 $\mathbf{s}=(s_1,\cdots,s_n)\xleftarrow{\S}\mathbb{B}^n$ 。明文空间为 $\mathcal{P}=\mathbb{T}_p\sub\mathbb{T}_q$ 。公共参数为 $pp=\{n,\sigma,p,q\}$ ，私钥为 $sk=\mathbf{s}$ 。
2） $Encrypt_{sk}(\mu)$ ：选择随机向量 $(a_1,\cdots,a_n)\xleftarrow{\S}\mathbb{T}_q$ 和“small” noise $e\leftarrow \hat{X}$ ，对 $\mu\in\mathcal{P}$ 的加密为：
$\mathbf{c}\leftarrow TLWE_{\mathbf{s}}(\mu)=(a_1,\cdots,a_n,b)\in\mathbb{T}_q^{n+1}$
其中：
$\left\{\begin{matrix} \mu^*=\mu+e \\ b=\sum_{j=1}^{n}s_j\cdot a_j+\mu^* \end{matrix}\right.$
3） $Decrypt_{sk}(\mathbf{c})$ ：需使用私钥 $\mathbf{s}=(s_1,\cdots,s_n)\xleftarrow{\S}\mathbb{B}^n$ ，对 $\mathbf{c}=(a_1,\cdots,a_n,b)$ 进行解密，计算 $\mathbb{T}_q$ 内的：
$\mu^*=b-\sum_{j=1}^{n}s_j\cdot a_j$
并返回：
$\mu=\frac{\lfloor p u^* \rceil\mod p}{p}$
，即，以最近的明文 $\mu\in\mathcal{P}$ ，作为 $\mathbf{c}$ 的解密。

为便于标记，对于整数 $k$ 和torus元素 $t\in\mathbb{T}_q\sub\mathbb{T}$ ，将 $\lfloor kt \rceil$ 表示 $k, t$ 乘积最近的整数，看做是某实数。
严格来说，应写成 $\lfloor k\text{ lift}(t)\rceil$ ，其中lift函数会将 $\mathbb{T}$ 元素，lift到， $\mathbb{R}$ ，即，将 $\mathbb{T}$ 元素看成是 $\mathbb{R}$ 元素。

当noise error $e$ 满足 $|e|<\frac{1}{2p}$ 时，很容易验证该解密过程可成功恢复出明文 $\mu$ 。

Proof：
对于明文 $\mu\in \mathcal{P}=\{0,\frac{1}{p},\cdots,\frac{p-1}{p}\}$ ，令 $\mathbf{c}\leftarrow TLWE_{\mathbf{s}}(\mu)=(a_1,\cdots,a_n,b)$ ，其中 $(a_1,\cdots,a_n)\xleftarrow{\S}\mathbb{T}_q^n$ ，且 $b=\sum_{j=1}^{n}s_j\cdot a_j+\mu+e$ ， $e\leftarrow \hat{X}$ 。由于 $\mu\in\mathcal{P}$ ，即存在唯一整数 $m\in[0,p)$ ，使得 $\mu=\frac{m}{p}$ 。应用 $Decrypt_{sk}(\mathbf{c})$ 输出 $\mu=\frac{\lfloor p u^* \rceil\mod p}{p}$ ，其中 $\mu^*:=\mu+e\in\mathbb{T}_q\sub \mathbb{T}$ 。有 $\lfloor p ((u+e) \mod 1)\rceil=\lfloor p (u+e+\delta)\rceil=\lfloor p (u+e)\rceil+\delta p$ ，其中 $\delta\in\mathbb{Z}$ 。
若假设 $|e|<\frac{1}{2p}$ ，同时有 $\lfloor p (u+e) \rceil=\lfloor p (\frac{m}{p}+e) \rceil=\lfloor m+pe \rceil=m+\lfloor pe \rceil=m$ 。
此时，最终有 $\lfloor p u^* \rceil\mod p=\lfloor p (u+e) \rceil\mod p=m$ ，且 $\frac{\lfloor p u^* \rceil\mod p}{p}=\frac{m}{p}=\mu$ 。

举个例子：
在这里插入图片描述

3.2 Encoding/Decoding

加密算法以（discretized）torus元素，或更准确来说，以 $\mathcal{P}$ 中元素为输入。Encoding/Decoding编解码的目的，是为了支持更多的输入形式。

令 $\mathcal{M}$ 为任意有限消息空间，其cardinality $\#\mathcal{M}=p$ ，且 $p=2^v$ 。明文空间 $\mathcal{P}=\mathbb{T}_p\sub\mathbb{T}$ ，且 $q=2^{\Omega}$ 。

编码函数为： $Encode:\mathcal{M}\rightarrow \mathcal{P}$ ，将消息 $m\in\mathcal{M}$ 映射为 $\mu\in\mathcal{P}$ 元素。编码用在加密之前。
解码函数为： $Decode:\mathcal{P}\rightarrow \mathcal{M}$ ，将 $\mu\in\mathcal{P}$ 元素映射为 $m\in\mathcal{M}$ 消息。解码用于解密之后。

接下来将考虑如下消息空间场景：

1）包含bits的消息空间。
即消息空间为 $\mathcal{M}=\{0,1\}$ 。对于某bit $b\in\{0,1\}$ ，定义 $E n co d e (b) = b /2$ 。从而，bit 0被编码为torus元素 $0=\frac{0}{q}\in\mathbb{T}_q$ 。bit 1被编码为torus元素 $\frac{1}{2}=\frac{q/2}{q}\in\mathbb{T}_q$ 。相应的反向操作， $Decode(\mu)=\lfloor 2\mu\rceil\mod 2$ ，且若 $\mu\in\{0,\frac{1}{2}\}$ ，则 $Decode(\mu)\in\{0,1\}$ 。
2）包含整数模 $p$ ，其中 $p$ 可整除 $q$ ，的消息空间。
为只包含bits消息空间的扩展，可将其看成是模 $p = 2$ 的特例情况。
即消息空间为 $\mathcal{M}=\{i\mod p|i\in \mathbb{Z}\}=\mathbb{Z}/p\mathbb{Z}$ 。
令 $\Delta=q/p\in\mathbb{Z}$ ，则相应的编解码分别为：
$Encode(i)=\frac{i\mod p}{p}(=\frac{(i\mod p)\Delta}{q})$ 【该编码显然用于小于 $p$ 的无符号整数，即 $i\in\{0,1,\cdots,p-1\}$ 。也可用于有符号整数，此时，“模 $p$ ” 返回的是 $\{-\frac{p}{2},\cdots,\frac{p}{2}-1\}$ 内的有符号表示。】
$Decode(\mu)=\lfloor p\mu\rceil \mod p$ 。
3）包含固定精度torus元素的消息空间。
令 $p\geq 2$ ，且 $p ∣ q$ ，与整数模 $p$ 情况类似，torus元素格式为 $t=\frac{i}{p}$ ，其中 $i\in\mathbb{Z}/p\mathbb{Z}$ 。这些torus元素构成了固定精度torus元素子集。对于 $x\in\mathbb{T}_p=p^{-1}\mathbb{Z}/\mathbb{Z}$ 和 $\mu\in\mathbb{T}_q$ ，定义：
$E n co d e (x) = x$ 【可用于 $\mathbb{T}_p\cap [0,1)$ 内的无符号（固定精度）数字。也可用于 $\mathbb{T}_p\cap [-\frac{1}{2},\frac{1}{2})$ 内的有符号（固定精度）数字】
$Decode(\mu)=\frac{\lfloor p\mu\rceil\mod p}{p}$

3.3 Implementation Notes

Batching ciphertexts，批量加密：
当有 $m$ 个明文（torus元素）待加密时，若基于不同的秘钥加密，可复用相同的随机值。特别地，对于 $\mu_1,\cdots,\mu_m\in\mathcal{P}$ ，设置 $\mathbf{C}=(a_1,\cdots,a_n,b_1,\cdots,b_m)\in\mathbb{T}_q^{n+m}$ ，其中对于 $1\leq i\leq m$ ，encryption $b_i=\sum_{j=1}^{n}s_{i,j}\cdot a_j+\mu_i+e_i$ ， $(a_1,\cdots,a_n)\xleftarrow{\S}\mathbb{T}_q^n$ ， $s_i=(s_{i,1},\cdots,s_{i,n})\xleftarrow{\S}\mathbb{B}^n$ 和noise error $e_i$ 。
该变种的安全性遵循[BBS03]。由于随机值（即 $a_j$ ）已明确在TLWE密文中给出，很容易验证其满足[BBKS07, Definition 9.3]中的“reproducibility”标准。

密文压缩：
TLWE密文为具有 $n + 1$ 个元素的torus向量。以Table 2中的参数集，若假设torus元素以64位表示，则TLWE密文通常需要 $631\times 64=40384$ 个位（与5KB）来表示。
不同于将密文 $\mathbf{c}$ 表示为 $\mathbf{c}=(a_1,\cdots,a_n,b)$ ，更紧凑的方式，是定义 $\mathbf{c}$ 为 $\mathbf{c}=(\theta,b)$ ，其中 $\theta\xleftarrow{\S}\{0,1\}^{\lambda}$ 为 $\lambda$ -bit string， $\lambda$ 为安全参数。 $\theta$ 值用作密码学安全的伪随机数生成器的seed，来派生出随机向量 $(a_1,\cdots,a_n)$ ：：
$(a_1,\cdots,a_n)\leftarrow PRNG(\theta)$
借助以上参数（对应所需的安全级别为128位），相同的密文仅需要 $128 + 64 = 192$ 位来表示。

key storage密钥存储：
相同的策略可用于存储私钥 $\mathbf{s}$ 。不同于直接存储 $\mathbf{s}$ 为 $n$ -bit string，可仅存储用作密码学安全的伪随机数生成器seed的 $\lambda$ -bt seed。

4. TGLWE Encryption

4.1 TGLWE描述

TLWE加密可扩展到 $\mathbb{T}_{N,q}[X]$ torus 多项式。基于torus $\mathbb{T}_q$ 的运算，可简单替换为，基于多项式模 $X^N+1$ （和模 $q$ ）的运算。
已知2个多项式 $\mathfrak{a,v}\in \mathbb{T}_{N,q}[X]$ ：

$\mathfrak{a+v}$ ：表示 $\mathfrak{a,v}$ 的加法模 $X^N+1,q)$ 运算

已知2个多项式 $\mathfrak{a}\in \mathbb{Z}_{N,q}[X],\mathfrak{v}\in \mathbb{T}_{N,q}[X]$ ：

$\mathfrak{a\cdot v}$ ：表示 $\mathfrak{a,v}$ 的外乘模 $X^N+1,q)$ 运算。【注意，并未定义internal product运算。】

明文空间为多项式子集：
$\mathcal{P}_N[X]:=\mathcal{P}[X]/(X^N+1)=\mathbb{T}_{N,p}[X]\sub\mathbb{T}_{N,q}[X]$
其中：

$\mathcal{P}=\mathbb{T}_p=p^{-1}\mathbb{Z}/\mathbb{Z}$
$p$ 可整除 $q$ 。从而强制， $\mathcal{P}_N[X]$ 为 $\mathbb{T}_{N,q}[X]$ 的加法子群。

最终，完整TGLWE加密方案为：

1） $KeyGen(1^{\lambda})$ ：基于输入安全参数 $\lambda$ ，定义一组整数 $(N, k)$ ，其中 $N$ 为power of 2， $k\geq 1$ ，选择正整数 $p, q$ ，使得 $p ∣ q$ ，并基于 $\mathbb{R}_N[X]$ 的normal distribution $\mathcal{X}=\mathcal{N}(0,\sigma^2)$ 推导出基于 $q^{-1}\mathbb{Z}_N[X]$ 的discretized error distribution $\hat{\mathcal{X}}$ 。随机均匀采样获得向量 $\mathfrak{s}=(\mathfrak{s}_1,\cdots,\mathfrak{s}_k)\xleftarrow{\S}\mathbb{B}_N[X]^k$ 。明文空间为 $\mathcal{P}_N[X]=\mathbb{T}_{N,p}[X]\sub\mathbb{T}_{N,q}[X]$ 。公共参数为 $pp=\{k,N,\sigma,p,q\}$ ，私钥为 $sk=\mathfrak{s}$ 。
2） $Encrypt_{sk}(\mu)$ ：选择随机向量 $(\mathfrak{a}_1,\cdots,\mathfrak{a}_k)\xleftarrow{\S}\mathbb{T}_{N,q}[X]^k$ 和“small” noise $e\leftarrow \hat{\mathcal{X}}$ ，对 $\mathfrak{u}\in\mathcal{P}_N[X]$ 的加密为：
$\mathfrak{c}\leftarrow TGLWE_{\mathfrak{s}}(\mathfrak{u})=(\mathfrak{a}_1,\cdots,\mathfrak{a}_k,\mathfrak{v})\in\mathbb{T}_{N,q}[X]^{k+1}$
其中：
$\left\{\begin{matrix} \mathfrak{u}^*=\mathfrak{u}+e \\ \mathfrak{v}=\sum_{j=1}^{n}\mathfrak{s}_j\cdot \mathfrak{a}_j+\mathfrak{u}^* \end{matrix}\right.$
3） $Decrypt_{sk}(\mathfrak{c})$ ：需使用私钥 $\mathfrak{s}=(\mathfrak{s}_1,\cdots,\mathfrak{s}_n)\xleftarrow{\S}\mathbb{B}^n$ ，对 $\mathfrak{c}=(\mathfrak{a}_1,\cdots,\mathfrak{a}_n,\mathfrak{v})$ 进行解密，计算 $\mathbb{T}_{N,q}[X]$ 内的：
$\mathfrak{u}^*=\mathfrak{v}-\sum_{j=1}^{n}\mathfrak{s}_j\cdot \mathfrak{a}_j$
并返回：
$\mathfrak{u}=\frac{\lfloor p \mathfrak{u}^* \rceil\mod p}{p}$
，即，以最近的明文 $\mathfrak{u}\in\mathcal{P}_N[X]$ ，作为 $\mathfrak{c}$ 的解密。

Remark 4：
由于，当 $N = 1$ 时，有 $\mathbb{T}_{N,q}[X]=\mathbb{T}_q$ ，可看出TLWE加密方案，为TGLWE方案的特例情况，即对应有 $(k, N) = (n, 1)$ 。

TLWE用于对 $\mathbb{T}_q$ 加密，TGLWE用于对 $\mathbb{T}_{N,q}[X]$ 加密。

当用于对单个torus元素 $\mu\in \mathcal{P}$ 进行加密时，应优选TLWE，因其具有更短的密文。
当用于对多个torus元素加密时，TGLWE选项更优，具体见后续章节。
有TLWE和TGLWE这2种方案的主要原因在于，二者都需要实现可编程bootstrapping。

4.2 TGLWE Encoding/Decoding

TGLWE支持对任意多项式 $\mathfrak{u}\in\mathcal{P}_N[X]$ 进行加密。很多应用中，限定 $\mathfrak{u}$ degree为0的多项式，从而可将其看成是 $\mathcal{P}$ 中元素。此时的编解码方法与上一节TLWE的编解码方法一样。

当需对 $N$ 个torus元素 $\mu_0,\cdots,\mu_{N-1}\in\mathcal{P}$ 加密时，可将其表示为多项式 $\mathfrak{u}(X)=\mu_0+\mu_1X+\cdots+\mu_{N-1}X^{N-1}$ 的系数。该优化又名coefficient packing。

4.3 TGLWE实现注意事项

2个多项式的（外）乘是吃力的操作。不过，cyclotomic多项式 $\Phi(X)=X^N+1$ 的特殊结构，使得该计算要更容易点。
比如：
在这里插入图片描述
通常情况下，对于 $\Phi(X)=X^N+1$ ， $\mathfrak{p}\in\mathbb{Z}_{N,q}[X],\mathfrak{q}\in\mathbb{Z}_{N,q}[X]$ ，令 $\mathfrak{p}(X)=p_0+p_1X+\cdots+p_{N-1}X^{N-1}，\mathfrak{q}(X)=q_0+q_1X+\cdots+q_{N-1}X^{N-1}$ ，借助 $X^{N+i}\equiv -X^i(\mod X^N+1)$ 关系，二者的乘积为：
$\mathfrak{p}(X)\cdot \mathfrak{q}(X)=(p_0+p_1X+\cdots+p_{N-1}X^{N-1})\cdot (q_0+q_1X+\cdots+q_{N-1}X^{N-1})\\=p_0\cdot q_0-p_1\cdot q_{N-1}-\cdots -p_{N-1}\cdot q_1 \\ + (p_0\cdot q_1+p_1\cdot q_0-\cdots - p_{N-1}\cdot q_2)X \\+ \cdots \\+(p_0\cdot q_{N-1}+p_1\cdot q_{N-2}+\cdots +p_{N-1}\cdot q_0)X^{N-1}$

这需要 $N^2$ 次外部torus乘法来计算 $p_i,q_j$ ，其中 $0\leq i,j \leq N-1$ 。当 $N$ 值很大时，可选方法是使用fast Fourier transform（FFT）[vzGG13, Chapter 8]，或见[Ber01]中代数描述。

当 $\mathfrak{p}(X)$ 为单项式 $X^j$ 时，其中 $j\in\{0,\cdots, N-1\}$ ，则该乘法公式可简化为：
在这里插入图片描述
或，更简洁表示为：
$X^j\cdot \mathfrak{q}(X)=\sum_{i=0}^{j-1}-q_{i+N-j}X^i+\sum_{i=j}^{N-1}q_{i-j}X^i$
$X^{N+j}\cdot \mathfrak{q}(X)=-X^j\cdot \mathfrak{q}(X)$