格密码初学笔记

@格密码学习笔记 从初学到脱发

在学习格之前，也需要一些数论基础知识（还没更新到）

首先，我们为什么需要使用（学习）格密码？

格密码	一般密码
可证明安全	并非都可证明
安全基于最糟糕问题	安全基于平均情况的困难
困难性基于格困难问题	困难性基于整数分解，离散对数等
（暂时）不会被量子算法所破解	已存在有效算法
计算开销少	模指数，离散对数等计算开销大

注：

1. 并非所有的现代密码都属于严格可证明安全
2. 例如RSA等基于整数分解的问题，我们都知道n=pq是大素数就行，但是p，q的选择是一个很复杂的问题，因为其中一些素数组合对分解而言存在问题，这也是为什么我们会看到有些文中出现了安全素数这一概念，而随着数学家的深入研究，安全素数也并非绝对安全。可能我们所选取的整数分解中存在10%的漏洞，所以我们所采用的安全规约实际上是规约到平均难度上的。而格密码采用的是基于最糟糕情况的困难，也就是说，破解了一个问题，就能破解整个系统。这对于密码设计来说，我们能够更清楚的了解系统的安全性。
3. 格困难问题研究时间向较于整数分解等出现时间短，其破解有限算法并不多。

格的基础知识

定义1: 格（Lattice） 给定$n$个线性无关向量$b_1,b_2,\dots ,b_n\in {\mathbb{R}}^m$,由该组向量产生的格被定义为,

L ( 1 , b 2 , … , b n ) = { ∑ x i b i ∣ x i ∈ Z } \mathcal{L}(_1,b_2,\dots, b_n)=\{\sum x_ib_i|x_i\in\mathbb{Z}\} L(1​,b2​,…,bn​)={∑xi​bi​∣xi​∈Z}

我们通常将向量组$b_1,b_2,\dots ,b_n$称为格的一组基，空间维数m为格的维，基向量个数n称为格的秩，同一个格可以有多组不同的基，但基的维数相同。当m=n时格是满秩的，一般只讨论满秩的格。

定义2: 格空间（Span） 格$\mathcal{L}(B)$中基向量的所有线性组合（linear combinations）所形成的集合，就叫做这组基向量所构成的空间（SPAN），
s p a n ( L ( B ) ) = s p a n ( B ) = { B y ∣ y ∈ R n } . span(\mathcal{L}(B))=span(B)= \{ By|y\in\mathbb{R}^n \}. span(L(B))=span(B)={By∣y∈Rn}.
定义3： 格基础区域(Fundamental Parallelepiped).对于任意格基$B$,定义
P ( B ) = { B x ∣ x ∈ R n , ∀ i : 0 ≤ x i < 1 } \mathcal{P}(B)=\{Bx|x\in\mathbb{R}^n,\forall i:0\le x_i \lt 1\} P(B)={Bx∣x∈Rn,∀i:0≤xi​<1}

注意：由向量生成的基础区域不应该包含除原点外的任何顶点

引理1： 设$\Lambda$为秩为$n$的格，设$b_1,b_2,\dots ,b_n\in \Lambda$为$n$个线性无关的格向量。其中，$b_1,b_2,\dots ,b_n$表示为$\Lambda$的基，当且仅当$\mathcal{P}(b_1,b_2,\dots ,b_n)\bigcap \Lambda =0$.

• $\Lambda$是所有整数线性组合的集合。
• 而$\mathcal{P}(b_1,b_2,\dots ,b_n)$被定义为$b_1,b_2,\dots ,b_n$线性组合的集合，其系数取值在$[0,1)$中。

所以，这两个集合的交集是{0}。

定义4： 幺模矩阵(unimodular matrix). 假设矩阵$U\in {\mathbb{Z}}^{n\times n}$，且$|U|=\pm 1$，则称$U$为幺模矩阵。例如矩阵
$$\left(\begin{array}{cc}1& 1\\ 1& 0\end{array}\right)$$

引理2 如果$U$是幺模矩阵，则$U^{-1}$也是幺模矩阵。

引理3 若两个格基$B_1,B_2\in {\mathbb{R}}^{n\times n}$ 等价，当且仅当 $B_2=B_{1}U$,其中$U$表示某个特定幺模矩阵。

这一步我们可以换个思路来理解，将幺模矩阵理解为一种的初等行变换的形式，而这样的变换不会改变行列式的特征值。
因此 我们可以得到：

引理4 两个格基$b_i,b_j$等价时，当且仅当一个可以通过以下操作得到另一个格基：

1. $b_i\leftarrow b_i+k{b}_j$,其中$k\in \mathbb{Z}$
2. $b_i⟺b_j$
3. $b_i\leftarrow -b_j$

定义5 行列式（Determinant）. 设$\Lambda =\mathcal{L}(B)$为秩$n$的格。定义$\Lambda$的行列式为$det(\Lambda )$，作为$\mathcal{P}(B)$的$n$维度体积。$det(\Lambda ):=\sqrt{det(B^{T}B)}$。在$\Lambda$是满格的情况下，$B$是方阵,则有$det(\Lambda )=|det(B)|$。

行列式代表了多面体的体积，也代表了格点的密度。

定义6 连续极小 （Successive Minima），令${\lambda }_1(\mathcal{L})$表示为格$\mathcal{L}$中（${\ell }_2$）长度的最短的非零向量集合。

定义7： 施密特正交化（Schmidt orthogonalization）是求欧氏空间正交基的一种方法。从欧氏空间任意线性无关的向量组α1，α2，……，αm出发，求得正交向量组β1，β2，……，βm，使由α1，α2，……，αm与向量组β1，β2，……，βm等价，再将正交向量组中每个向量经过单位化，就得到一个标准正交向量组，这种方法称为施密特正交化。

这种方法输出了一个正交向量的集合。且经过施密特正交基可以生成一个基本区域（fundamental region
）

引理1： 由$(v_1,\dots ,v_n)$所组成的格的行列式为$\prod ||\widetilde{v_i}||$.
引理2： ${\lambda }_1$ 的下界为$min||\widetilde{v_i}||$

Blichfeld’s Theorem： 对于任意一个格$\mathcal{L}$和体积大于$det(\mathcal{L})$集合$S$，存在$z_1,z_2\in S,z_1\ne z_2$ 则$z_1-z_2\in \mathcal{L}$

这个比较好理解，若图中袋鼠的体积大于基本区域，那么我们按照格向量平移后，他会存在与相邻两个图像的交点，这两个交点的差便是我们的平移向量。

Minkowsi’s Theorem: 对任意的格$\mathcal{L}$和关于原点对称的凸集合$S$,且$S$的体积大于$2^{n}det(\mathcal{L})$，$S$中一定存在一个格点。

我们先将这个多边形缩小$2^n$倍（每个维度缩小2倍，即仍然满足小多边形$S^{\prime }$的体积大于$det(\mathcal{L})$），我们从Blichfeld’s Theorem可得 $S^{\prime }$中一定存在$z_1-z_2$为格向量，当我们把$z_1$和$z_2$放大2倍后，可知$2z_1,2z_2$在大集合$S$里面，取$2z_1-2z_2$向量的平均值一定也在$S$中，所以红点一定是格点。

推论： 对任意的格$\mathcal{L}$，${\lambda }_1(\mathcal{L})\le \sqrt{n}\cdot det(\mathcal{L}{)}^{\frac{1}{n}}$

从上面可以看出格的定义和向量空间类似，但通过基生成向量时要求整数系数。这一点使得格在几何上由离散且呈周期性结构的点构成，这大概也是“格”这个名字的由来。具备直观感受的格的维度是2或者3，即可对应生活中可感知的几何空间，但在密码学中为了达到足够安全性，格的维度一般在1000左右。

格上困难问题

最短向量问题 SVP

最短向量问题即，给定格的一个基，在格中找到一个非零向量，其长度在所有非零格向量上最短。

这里的长度我们用欧几里德范数表示，也可以称作${\ell }_2$范数，定义为$\Vert x{\Vert }_2=\sqrt{\sum x_i^2}$。通常，我们会直接用$\Vert x\Vert$表示${\ell }_2$范数。但是，有一些情况，我们也会使用到其他的范数，如${\ell }_1$范数（$\Vert x{\Vert }_1=\sum |x_i|$）和${\ell }_{\infty }$范数（ ∥ x ∥ ∞ = m a x { ∣ x i ∣ } \|x\|_\infin = max\{ |x_i|\} ∥x∥∞​=max{∣xi​∣}）。

• 最短向量问题（Shortest Vector Problem，SVP）： 给定格基$B\in {\mathbb{Z}}^{m\times n}$ ，找一个非零向量$v$，满足$\forall u\in \mathcal{L}(\mathcal{B})$，都有$\Vert v\Vert \le \Vert u\Vert$。
• $\gamma -$近似最短问题（SVP-$\gamma$）： 给定格基$B\in {\mathbb{Z}}^{m\times n}$ ，找一个非零向量$v$，满足$\forall u\in \mathcal{L}(\mathcal{B})$，都有$\Vert v\Vert \le \gamma \Vert u\Vert$。
• $GapSV{P}_{\gamma }$:给定格基后，判定${\lambda }_1$是否小于1或大于$\gamma$
• $SIV{P}_{\gamma }$(最短独立向量问题):给定矩阵$B$，找出$n$个$\mathcal{L}(B)$中长度小于等于$\gamma {\lambda }_n(\mathcal{L}(B))$线性无关的向量
• 逐次最小长度问题（Successive Minima Problem，SMP）

以上这些概念，都源于刚说的空间内放置球体的问题。确定球的最大格堆积密度（堆积半径下体积/容积）等价于求格的最短向量（SVP）长度，确定球的最小格覆盖密度（覆盖密度下体积/容积）则等价于求到格点的最近距离（CVP）。

最近向量问题 CVP

给定一个格基和一个目标向量，找到离目标点最近的格点。

• $CV{P}_{\gamma }$：给定格$B$和点$v$，找出里点$v$最近的一个格点，且距离小于系数$\gamma$倍
• Decisional CVP：假设格基$B\in {\mathbb{Z}}^{m\times n}$,目标向量为$t\in {\mathbb{Z}}^m$，有理数$r\in \mathbb{Q}$,判断$dist(t,\mathcal{L}(B))$是否正确。
• Optimization CVP:给定一个格基$B\in {\mathbb{Z}}^{m\times n}$和目标向量$t\in {\mathbb{Z}}^m$，找到$dist(t,\mathcal{L}(B))$。
• Search CVP：给定格基$B\in {\mathbb{Z}}^{m\times n}$和目标向量$t\in {\mathbb{Z}}^m$,使得$||Bx-t||$最小。

注：对于任意近似影子$\gamma$而言，SVP问题不比CVP问题难。也就是说，如果你能够解决CVP问题，那么你也能在近似因子等于10的条件下解决SVP问题。

BDD困难问题

BDD（Bounded Distance Decoding）：给出一个点$v$已经是与格点很近（$length<{\lambda }_1(\mathcal{L}(B)$/2）的点，找出最近的格点(这个格点只有一个解)

LWE困难问题

照着知乎大佬Steven Yue的博客定义：LWE的search版本定义如下：

我也不知道这篇我看懂没得，我就在里面再消化。
若我们已知一个矩阵$Ax=b$，我们可以利用高斯消元的过程，很快的进行求解对吧。那如果我们加入噪音呢？即给出$\hat{b}=Ax+e$。其中$e$暂时理解为普通噪音，那么是否能够通过$\hat{b}$和矩阵$A$求得未知向量$x$。因为噪音的缘故，再利用高斯消元法可能导致最终的结果相差甚远，所以我们能做的也就只有通过暴力破解，不断的代入我们猜测的$\hat{x}$然后减去$\hat{b}$（$Ax+e-A\hat{x}$）看得到的值是否足够小。

ps.如果我们把这里的$A$看做格基，$\hat{b}$看做目标向量，而$e$是一个极小值，求格点$x$。给定格基和目标向量，求距离目标最近的格点。还是有点像CVP问题哈。

当然，上面是Search版本。作为公钥密码而言，一般会利用Decisional版本。Search和Decisional版本的区别是什么呢？个人理解而言，search版本我们是search
到$x$这一个值，即求解。而Decisional版本类似密文不可区分性？也就是说，给定了一个LWE实例$As+e$,我们区分这个是随机产生的还是由矩阵$A$产生的。

经典算法

Regev算法

• $KeyGen(1^{\lambda })$:通过安全参数$\lambda$确定$n$，然后依次算出$m,q,B$（因为$m,q,B$的生成通常关于一个$Poly(n)$）。然后随机算去LWE问题所需的举证$A\leftarrow {\mathbb{Z}}_q^{m\times n},s\leftarrow {\mathbb{Z}}_q^n,e\leftarrow x_B^m$，并计算误差乘积$b=As+e$。此外，这里的$B$必须满足$mB<q/4$。最后，程序输出私钥$sk=s$,公钥$pk=(A,B)$。
• E n c ( p k , x ∈ { 0 , 1 } ) Enc(pk,x\in\{0,1\}) Enc(pk,x∈{0,1}):注意到，Regev算法只针对了一个比特位。首先，我们随机选取一个nonce向量$r\leftarrow {\mathbb{Z}}_2^m$（即由0-1比特构成的m*1的向量），然后计算出密文的第一部分$c_0\leftarrow r^{T}A$。随后计算出密文第二部分$c_1\leftarrow r^{T}b+\lfloor q/2\rfloor x$。最后输出密文$c=(c_0,c_1)$。
• $Dec(sk,c)$：在解密阶段，我们只需要计算$\hat{x}=c_1-c_{0}s=r^{T}e+\lfloor q/2\rfloor \cdot x$。由于$r$的取值是由0-1比特构成的m*1的向量,而$e$的取值范围是$x_B^m$。所以$r^{T}e<mB<q/4$。当$|\hat{x}|<q/4$时，$x=0$，反之，$x=1$;

则此处的安全证明可以归结到$As+e$和$v$不可区分的DLWE困难问题上。

GSW加密

GSW 方案整体思想：近似特征向量技术

我们回顾一下线性代数中特征向量与特征值特性：
设$C$是$n$阶方阵，如果存在数$\mu$和非零$n$维向量$x$，使得$$Cx=\mu x$$，则称$\mu$是$A$的一个特征值。非零$n$维向量$x$称为矩阵$C$的属于特征值$m$的特征向量。

若我们将$C$看做密文，$x$看做私钥，$\mu$看做明文。实际上，上述的等式还满足乘法同态和加法同态，这就可以当做一个完美的全同态的方式。但是，这完全脱离了加密，因为$\mu$完全可以通过在$C$上使用高斯消元的方法获得。

与Regev加密相同，我们在该加密中添加入噪声。形成以下形式：$$Cx=\mu x+emodq$$

我们再来测试其同态特性：
加法同态：
$$(C_1+C_2)x=C_{1}x+C_{2}x=({\mu }_1+{\mu }_2)x+e_1+e_2$$
这里虽然出现了$e_1+e_2$，但是因为噪音很小 可以忽略掉。
乘法同态：
$$C_1{C}_2\cdot x=C_1(C_2\cdot x)=C_1({\mu }_{2}x+e)={\mu }_1{\mu }_{2}x+{\mu }_2{e}_1+C_1{e}_2$$
但是这里的乘法就出现问题了。
因为${\mu }_2\in Z_q$，而$C$的大小可能会在计算过程中变得很大。所以作者提出了一种 Flatten ciphertext技术。
其本质就是将密文的“体量” 在乘法进行扩张，降低噪音对单bit的影响。 这句话是我的个人理解，合不合理还需要大佬论证。 ^~^

在介绍方案前，我们先定义一些符号与函数

• $a\in Z_q^k$
• $l=\lfloor lo{g}_{2}q\rfloor +1$
• $N=k\cdot l$
  函数：
• $BitDecomp(a)=(a_{1,0},\dots ,a_{1,l-1},\dots ,a_{k,0},\dots ,a_{k,l-1})$,其中$a_{i,j}$是$a_i$二进制的低位开始的第$j$位。
• $BitDecom{p}^{-1}(b)=({\sum }_j{2}^j{b}_{1,j}modq,\dots ,{\sum }_j{2}^j{b}_{k,j}modq)$,实际上是将$BitDecomp$的扩张的二进制缩回正常的10进制。
• $Flatten(b)=BitDecomp(BitDecom{p}^{-1}(b))$ 这里是精髓部分，因为二进制向量每个bit位在进行操作后会被放大，我们将其恢复成十进制在重新转换成扩张的二进制。说白了就是你的操作虽然是在二进制向量下的，但是因为向量不会自己进位，所以需要有这一步骤。
• $Powersof2(s)=(s_1,2s_1,\dots ,2^{l-1},\dots ,s_k,2s_k,\dots ,2^{l-1}{s}_k)modq$，这里的函数其实就是对应函数$BitDecomp$保证其乘法操作在10进制下的正确性。

对上面函数左用比较模糊？看看下面：

• 对于 $\forall a,s\in Z_q^k$​，有
  $$BitDecomp(a)\cdot Powersof2(s)=(a\cdot s)$$
• 对于 $\forall a ∈ Z_q^N $以及$ s ∈ Z_q^k$​，有
  $$a\cdot Powersof2(s)=BitDecom{p}^{-1}(a)\cdot s$$

那我们就开始方案部分：

• $Setup(1^n,1^L):$ 选择一个模数$q$，其中$|q|=\kappa (\lambda ,L)$比特，格基的维度$n=n(\lambda ,L)$,以及适用于针对已知攻击至少达到$2^{\lambda }$的LWE噪音分布$\chi =\chi (\lambda ,L)$，此外，选择参数$m=m(\lambda ,L)=O(nlogq)$。公共参数$params=(n,q,\chi ,m)$，令$l=\lfloor logq\rfloor +1$，$N=(n+1)\cdot l$
• $SKGen(params):$取$\vec{t}\leftarrow Z_q^n$。输出 $sk=\vec{s}\leftarrow (1,-t_1,\leftarrow ,-t_n)\in Z_q^{n+1}$，令$\vec{v}=Powersof2(\vec{s})$。
• $PKGen(params,sk):$均匀的生成一个矩阵$B\leftarrow Z_q^{m\times n}$和一个噪音向量$\vec{e}\leftarrow {\chi }^m$。令$\vec{b}=B\cdot \vec{t}+\vec{e}$。令公钥$pk=A=[\vec{b}|B]$。 (注意：Av=e)
• $Enc(params,pk,\mu ):$ 这里的消息$\mu \in Z_q$，并均匀生成一个矩阵 R ∈ { 0 , 1 } N × m R\in\{0,1\}^{N \times m} R∈{0,1}N×m，并输出C：$$C=Flatten(\mu \cdot I_N+BitDecomp(R\cdot A))\in Z_q^{N\times N}$$
• $Dec((params,sk,C):$计算$x_i\leftarrow <C_i,\vec{v}>$。输出${\mu }^{\prime }=\lfloor x_i/v_i\rceil$

BFV加密方案

预备知识

多项式环

在数论基础知识中简单介绍了环的概念，这里我们应用的是多项式环的概念。首先，我们先回顾环的概念。
环： 设R是一个非空集合，在$R$上定义了加法和乘法两种代数运算，分别记为“+”和“·”。如果$R$具有如下性质：

1. $R$对于加法是一个交换群。
   a.$R$关于加法封闭，即任意元素$a,b\in R$,有$a\cdot b\in R$
   b.$R$关于加法结合律成立。即对于$R$中任意元素 $a+(b+c)=(a+b)+c$。
   c.$R$存在单位元。即$R$中存在一个元素$e$对$R$中任意元素$a$满足$a+e=a$
   d.$R$中存在逆元。对$R$中任意元素$a$,$R$存中都存在一个元素$b$使得$a+b=e$。
   f.$R$关于加法满足交换律，$a+b=b+a$。
2. $R$对于乘法封闭。
3. 乘法满足结合律。即对于即对于$R$中任意元素 $a\cdot (b\cdot c)=(a\cdot b)\cdot c$。
4. 分配律成立，即对于$R$中任意元素 有$a\cdot (b+c)=a\cdot b+a\cdot c$。
   则称$(R,+,\cdot )$为一个环。

我们再来对比多项式环：

多项式环： 设$R$是一个有单位元$1$的交换环，$x$是$R$上的一个未定元，$a_0,a_1,\dots ,a_n\in R$, 则称$f(x)=a_0+a_{1}x+\cdots +a_n{x}^n$是环$R$上$x$的一个多项式。其中，$a_i{x}^i$被称为$f(x)$的$i$次项，$a_i$被称为$i$次项系数，若$a_n\ne 0$，则称$f(x)$的次数为$n$，记作$deg(f(x))=n$.

感谢以下大佬的学习笔记 让我能看懂理解与消化，有疑惑的地方也可以看以下大佬的笔记
跳转链接: 小北极星笔记. 知乎-六三. 刘巍然-学酥的夏令营视频 Steven Yue学习笔记