多密钥TFHE学习笔记1-MKTFHE的整体流程

MK-TFHE 的整体流程图

MK-TFHE的整体流程从用户与服务器的角度看大致如下所示：

1. 首先生成公共参数 CRS，将参数发送给每个参与方以及服务器（如果CRS生成不在服务器）
   
2. 每个参与方独立地生成自己的密钥并加密消息，发送至服务器
   
3. 服务器进行同台评估过程，将结果返回给参与方
   
4. （在联合解密中）所有参与计算的参与方共同解密密文，得到结果
   

TFHE 的多密钥变体的关键步骤

首先做一些约定：

• 除非特殊说明，否则算法以 2 为底数。
• 向量使用加粗的字体表示，矩阵使用加粗大写的字体表示。
• 内积使用 $<\cdot ,\cdot >$ 表示。
• 对于实数 $r$ ，使用 $\lfloor r\rceil$ 表示取整（取距离 $r$ 最近的整数，相等时向上舍入）。
• 使用 $x\leftarrow D$ 表示从分布 $D$ 中取样 (sample) $x$ 。
• 对于有限集合 $S$ ，使用 $U(S)$ 表示集合 $S$ 上的均匀分布。
• 使用 $D_{\alpha }$ 表示方差为 ${\alpha }^2$ 的高斯分布。
• 使用 $\lambda$ 表示安全参数。
• 所有已知的对该密码方案的攻击需要 $\Omega (2^{\lambda })$ 比特的操作。
• 对于正整数 $k$ ，使用 $[k]$ 表示其索引集合 { 1 , 2 , . . . , k } \{1, 2, ... ,k\} { 1,2,...,k} 。

以下为多密钥 TFHE (MKTFHE) 的重要步骤：

1. 设置 - MKHE.Setup( $1^{\lambda }$ )

1. 调用 LWE.Setup ( $1^{\lambda }$ ) 来生成 LWE 的参数 $p{p}^{LWE}=(n,\chi ,\alpha ,B^{\prime },d^{\prime })$ 。其中 $n$ 为 LWE 的维度， $\chi$ 为 LWE 密钥的分布， $\alpha$ 为错误率，$B^{\prime }$ 为分解基， $d^{\prime }$ 为密钥转换 gadget 向量的维度。密钥转换 gadget 向量： $g^{\prime }=(B^{\prime -1},...,B^{\prime -d^{\prime }})$ 。
2. 调用 RLWE.Setup ( $1^{\lambda }$ ) 来生成 RLWE 的参数 $p{p}^{RLWE}=(N,\psi ,\beta ,B,d,a\text{a}a)$ 。其中 $N$ 为 RLWE 的维度（2的幂）， $\psi$ 为 RLWE 密钥在 $R$ 上的分布，并且错误率为 $\alpha$ ，$B\ge 2$ 是整数基，分解维度为 $d$ ， gadget 向量为 $g=(B^{-1},...,B^{-d})$ 。 $a\text{a}a$ 为分布 $T^d$ 上的均匀分布的采样。
3. 返回生成的公共参数 $p{p}^{MKHE}=(p{p}^{LWE},p{p}^{RLWE})$ 。

*假设 MKHE 的算法都默认将 $p{p}^{MKHE}$ 作为输入。公共参数为 CRS ，可以理解为是所有人都知道的信息。

2. 密钥生成 - MKHE.KeyGen()

1. 生成 LWE 密钥 $s_i\leftarrow LWE.KeyGen()$ 。这一步仅为从分布 $\chi$ 中采样密钥。
2. 运行 $(z_i,{b\text{b}b}_i)\leftarrow RLWE.KeyGen()$ 并且设置公钥为 $P{K}_i={b\text{b}b}_i$ 。从分布 $\psi$ 中采样 $z$ ，设 $z\text{z}z=(1,z)$ 。从 $D_{\alpha }^d$ 中取一个误差向量 $e\text{e}e$ ，计算公钥 $b\text{b}b=-z\cdot a\text{a}a+e\text{e}e$ (mod 1) 。对于 $z_i=z_{1,0}+z_{i,1}X+...+z_{i,N-1}{X}^{N-1}$ ，记 z i ∗ = ( z i , 0 , − z i , N − 1 , . . . , − z i , 1 ) ∈ Z N