(BV11b)基于标准LWE假设的加密方案初学

概述

[BV11b] 方案是最早的基于标准LWE假设的加密方案, 该方案基于一个优化版本的LWE公钥加密, 采用类似于多项式插值的方式来实现同态运算。
整篇文章有两个核心重线性化（re-linearization） （解决密文乘法导致长度增长问题）和 维数-模约减（a dimension-modulus reduction）（降低同态解密时的电路深度，使得解密电路深度小于有限次同态加密的电路深度，也就是压缩解密电路）。

重线性化

一个基于LWE难题的一般加密方案如下：
明文 m ∈ { 0 , 1 } m \in \{0,1\} m∈{0,1}，密钥$\mathbf{s}\in {\mathbb{Z}}_q^n$，随即均匀选取向量$\mathbf{a}\in {\mathbb{Z}}_q^n$，一个随机极小噪音$e$
密文$c=(\mathbf{a},b=<\mathbf{a},\mathbf{s}>+2e+m)$。
注意这里没有采用传统的噪音$e$，而是选用了$2e$，是因为在$q$是奇数的情况下，这个操作不会影响安全性，且可以通过模2使得解密更简单。解密就是减掉$\mathbf{a},\mathbf{s}$，然后模$q$再模2。

很容易验证，这个方案是加法同态的，而乘法却很困难，因为密文膨胀得很厉害。

从解密出发，给定一个密文$(\mathbf{a},b)$，定义一个线性解密函数$f_{\mathbf{a},b}:{\mathbb{Z}}_q^n\to {\mathbb{Z}}_q$，如下：
$$f_{\mathbf{a},b}(\mathbf{x})=b-⟨\mathbf{a},\mathbf{x}⟩(\mathrm{m}\mathrm{o}\mathrm{d}q)=b-\sum _{i=1}^n\mathbf{a}[i]\cdot \mathbf{x}[i]\in {\mathbb{Z}}_q$$
其中$\mathbf{x}=(\mathbf{x}[1],\dots ,\mathbf{x}[n])$为自变量（[n]的数字表示第多少位），$(\mathbf{a},b)$为系数，很明显的是，解密操作就是将$\mathbf{s}$带入然后模2即可。

若使用这个函数来描述同态加法：将得到两个密文之和的解密
$$f_{\left(\mathbf{a}+{\mathbf{a}}^{\prime },b+b^{\prime }\right)}(\mathbf{x})=f_{\mathbf{a},b}(\mathbf{x})+f_{\left({\mathbf{a}}^{\prime },b^{\prime }\right)}(\mathbf{x})$$
若使用这个函数来描述同态乘法：将得到两个密文之积的解密
$$\begin{array}{rl}{f}_{(\mathbf{a},b)}& (\mathbf{x})\cdot f_{\left({\mathbf{a}}^{\prime },b^{\prime }\right)}(\mathbf{x})\\ & =\left(b-\sum \mathbf{a}[i]\mathbf{x}[i]\right)\cdot \left(b^{\prime }-\sum {\mathbf{a}}^{\prime }[i]\mathbf{x}[i]\right)\\ & =h_0+\sum h_i\cdot \mathbf{x}[i]+\sum h_{i,j}\cdot \mathbf{x}[i]\mathbf{x}[j]\end{array}$$
用$h_0$表示不含$\mathbf{x}$的项，依次类推，这个数是可以算出来的，但是这里就表示一下意思。（顺便提醒一下这里的$[i][j]$表示的是第一个密文密钥的第$[i]$个元素与第二个密文密钥的第$[j]$个元素相乘，前面第二行没用$[j]$的原因是为了后面合并一下同类项好理解一点，其实密钥都是同一个$\mathbf{s}$。。。）
现在来看看解密，还是老样子，带入密钥再模2就行。但是这里描述多项式的系数个数直接从$O(n)$上升到了近乎$O(n^2)$，也就意味着密文膨胀得很大，假如乘了$L$次，那就膨胀得很恐怖了。

解决办法就是重线性化，它可以将数量还原到以前的级别。

重线性化的核心思想如下，
首先公开在密钥$t$加密下的密钥$s$中的所有比特的线性和二次项的加密，即$s[i]$和$s[i]s[j]$的密文。它们大概长酱紫

$$b_{i,j}=⟨{\mathbf{a}}_{i,j},\mathbf{t}⟩+2e_{i,j}+\mathbf{s}[i]\cdot \mathbf{s}[j]\approx ⟨{\mathbf{a}}_{i,j},\mathbf{t}⟩+\mathbf{s}[i]\cdot \mathbf{s}[j]$$

（$b_{[i]}$的表达式，抹掉$j$就好，然后要注意的是这里${\mathbf{a}}_{i,j}$下面的$i,j$表示的意思是，它对应加密的密钥是$\mathbf{s}[i]\cdot \mathbf{s}[j]$，它实际上还是只有$n$维，不是$n\times n$哦）
然后我们利用这个表达式对上面的同态乘法的解密结果进行表示如下

$$\begin{gathered} Before: \\ {h}_0+\sum h_i\cdot \mathbf{s}[i]+\sum h_{i,j}\cdot \mathbf{s}[i]\mathbf{s}[j] \\ After: \\ {h}_0+\sum h_i\left(b_i-⟨{\mathbf{a}}_i,\mathbf{t}⟩\right)+\sum _{i,j}{h}_{i,j}\cdot \left(b_{i,j}-⟨{\mathbf{a}}_{i,j},\mathbf{t}⟩\right) \end{gathered}$$

这样这就把两个密文解密函数相乘重线性化为了一个仅仅包含未知数$t$的一个函数表达式，这个表达式的使用密钥$t$解密的结果模2后还是以前的明文。

把不含$t$和含$t$的分别合并同类项，就能得到一个二次变一次的线性函数表达式，并且为$O(n)$的数量级。（因为不管是${\mathbf{a}}_i$还是${\mathbf{a}}_{i,j}$，始终来源于$\mathbf{a}\in {\mathbb{Z}}_q^n$，只有$n$维，所以系数个数可以直接通过合并同类项还原回了$O(n)$级别。）

当然这里存在着一个问题，在上面的替换中，我们把$\mathbf{s}[i]\mathbf{s}[j]$替换成了$b_{i,j}-<a_{i,j},t>$，事实上这里是约掉了差值$2e_{i,j}$，而$h_{i,j}$这个值有可能会很大，乘上两倍的误差就会很大，所以这样两个替换值之间就不能画上约等号。

那么秉着遇到什么问题解决什么问题的原则，我们需要将$h_{i,j}$变小，使得两个替换能够近似相等。方法就是采用二进制分解，即，$h_{i,j}={\sum }_{\tau =0}^{\log q}{2}^{\tau }\cdot h_{i,j,\tau }$
这样就可以细化到对每一个比特进行操作，从而将误差化小就可以近似化。

对于每一个$\tau$值，有$(a_{i,j,\tau },b_{i,j,\tau })$
$$\begin{array}{rl}{b}_{i,j,\tau }& =⟨{\mathbf{a}}_{i,j,\tau },\mathbf{t}⟩+2e_{i,j,\tau }+2^{\tau }\mathbf{s}[i]\cdot \mathbf{s}[j]\\ & \approx ⟨{\mathbf{a}}_{i,j,\tau },\mathbf{t}⟩+2^{\tau }\mathbf{s}[i]\cdot \mathbf{s}[j]\end{array}$$
代入表达式也就是
$$\begin{array}{rl}{h}_{i,j}\cdot \mathbf{s}[i]\mathbf{s}[j]& =\sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,j,\tau }{2}^{\tau }\mathbf{s}[i]\mathbf{s}[j]\\ & \approx \sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,j,\tau }\left(b_{i,j,\tau }-⟨{\mathbf{a}}_{i,j,\tau },\mathbf{t}⟩\right)\end{array}$$
这样就不会出现约等号不成立的情况了。

以上就是重线性化的核心内容，如果发布一个密钥“链”的加密（也就是使用下一个密钥对上一个的二次项进行加密），就能大致得到一个密钥链长度的乘法级别。
当然这只是控制了密文的增长，接下来还需要处理计算产生的噪声。

维度-模约减

我们知道，要完成同态解密，那么解密电路深度就必须小于算法本身的同态计算电路深度，也就是同态解密所产生的噪声要比噪声的上限小一点，至少要能满足一次同态计算。

再看看噪声，上面的同态乘法计算的噪声增长是双指数级别的，也就是$L$层（注意是层，不是次）乘法之后噪声将变为$e^{2^L}$（因为电路结构是有点类似完全二叉树甚至满二叉树的），噪声增长极为快，而我们的模数$q$只能达到$2^{n^{ϵ}}$($ϵ$是常数)，要想噪声上限不超过模数$q$，$L$只能选择在$polylog(n)$，而上面基本LWE方案（密钥$\mathbf{s}\in {\mathbb{Z}}_q^n$）的同态解密运算电路深度为$max(n,\log q)$。（可以理解为$n$是密钥的维度，$\log q$是每一位二进制化后的比特数，解密运算也涉及到乘法，而且同态解密之前会先对密钥进行逐比特的加密，再使用加密后的密钥进行解密运算）

显然此时同态运算的电路深度是比同态解密电路小的，也就是该方案无法支持解密电路，所以需要压缩解密电路。

核心思想是采用上述参数为$(n,\log q)$的密文，并将其转换为相同消息的密文，但其参数为$(k,\log p)$，远小于$(n,\log q)$，其中$p=poly(k)$，$n=k^c$,由于$q=2^{n^{ϵ}}$，就可以做$D=n^{ϵ}=k^{c\cdot ϵ}$层同态运算。这里同态运算层数就比同态解密层数大了，相当于包含进去了。

减小维度，在重线性化的时候，$\mathbf{s}$和$\mathbf{t}$是不需要具有相同维度的，所以将$\mathbf{t}$选择为$k$维，以减少了维度。

减小模数，通过简单的近似缩放使得具有较小的模数$p$，通过在模$q$时乘以$p/q$再通过就近取整来将$2^{\tau }\cdot \mathbf{s}[i]\in {\mathbb{Z}}_q$缩放为$Z_p$中的一个元素，舍入误差最大为$1/2$，即，
$$b_{i,\tau }=⟨{\mathbf{a}}_{i,\tau },\mathbf{t}⟩+e+\lfloor \frac{p}{q}\cdot 2^{\tau }\cdot \mathbf{s}[i]\rceil$$
也就是
$$2^{\tau }\cdot \mathbf{s}[i]\approx \frac{q}{p}\cdot \left(b_{i,\tau }-⟨{\mathbf{a}}_{i,\tau },\mathbf{t}⟩\right)$$
该式子可以将$\mathbf{s}$的线性方程切换为$\mathbf{t}$的线性方程进行计算，这时的模数和维数都变小了。

部分同态加密 SH

使用重线性化来缩减密文大小

方案

1. $SH.Setup(1^L,1^k)$:
   明文空间为$GF(2)$，安全参数$k\in \mathbb{N}$，维度$n\in \mathbb{N}$，正整数$m\in \mathbb{N}$，奇模数$q\in \mathbb{N}$，$\chi$是${\mathbb{Z}}_q$上的噪声分布，乘法深度上限$L\in \mathbb{N}$

   维数$n$是$k$的多项式也就是$n=poly(k)$，$m\ge nlogq+2k$是一个$n$的多项式，$q\in [2^{n^{ϵ}},2\cdot 2^{n^{ϵ}}]$为一个次指数（$ϵ\in (0,1)$，是一个常数），$\chi$产生最大幅度为$n$的小样本，$L\approx ϵ\log n$

2. $SH.KenGen(1^k)$:
   选取$L+1$个向量${\mathbf{s}}_0,\dots ,{\mathbf{s}}_{\mathbf{L}}\leftarrow {\mathbb{Z}}_q^n$
   对于所有的$\ell \in [L],0\le i\le j\le n$和 τ ∈ { 0 , ⋯   , ⌊ log ⁡ q ⌋ } \tau\in\{0,\cdots,\lfloor\log q\rfloor\} τ∈{0,⋯,⌊logq⌋}计算
   $${\psi }_{\ell ,i,j,\tau }=\left({\mathbf{a}}_{\ell ,i,j,\tau },b_{\ell ,i,j,\tau }=⟨{\mathbf{a}}_{\ell ,i,j,\tau },\mathbf{s}⟩+2\cdot e_{\ell ,i,j,\tau }+2^{\tau }\cdot {\mathbf{s}}_{\ell -1}\cdot {\mathbf{s}}_{\ell -1}[j]\right)\in {\mathbb{Z}}_q^n\times {\mathbb{Z}}_q$$
   回想一下前面重线性化的定义，上面这一串表示在密钥${\mathbf{s}}_l$对密钥${\mathbf{s}}_{l-1}$的各位组合的加密，根据上面的二进制分解，细化到了比特。

   同时随机均匀选择$\mathbf{A}\leftarrow {\mathbb{Z}}_q^{m\times n}$和$\mathbf{e}\leftarrow {\chi }^m$, 计算$\mathbf{b}=\mathbf{A}{\mathbf{s}}_0+2\mathbf{e}$.
   输出私钥$sk=s_L$, 评估计算密钥集合 e v k = Ψ = { ψ ℓ , i , j , τ } ℓ ∈ [ L ] , 0 ≤ i ≤ j ≤ n , τ ∈ { 0 , ⋯   , ⌊ log ⁡ q ⌋ } evk=\Psi=\{\psi_{\ell,i,j,\tau}\}_{\ell\in[L],0\leq i\leq j\leq n,\tau\in\{0,\cdots,\lfloor\log q\rfloor\}} evk=Ψ={ψℓ,i,j,τ​}ℓ∈[L],0≤i≤j≤n,τ∈{0,⋯,⌊logq⌋}​和公钥$pk=(\mathbf{A},\mathbf{b})$.

3. $SH.En{c}_{pk}(\mu )$:
   选择 r ← { 0 , 1 } m \mathbf{r}\leftarrow \{0,1\}^m r←{0,1}m, 计算$\mathbf{v}={\mathbf{A}}^T\mathbf{r}$和$w:={\mathbf{b}}^T\mathbf{r}+\mu$, 输出密文$c:=((\mathbf{v},w),0)$.

   注意这里最后的$0$代表当前同态(乘法)运算的层数. 同时由于噪声始终是偶数累计的, 因此模2仍然可以消除噪声.

   在做完同态运算后, 我们得到的是第$L$层的密文, 即密文的格式是$c=((\mathbf{v},w),L)$.

4. $SH.De{c}_{sL}(c)$:
   输出$((w-⟨\mathbf{v},{\mathbf{s}}_L⟩)\mathrm{m}\mathrm{o}\mathrm{d}q)\mathrm{m}\mathrm{o}\mathrm{d}2$
   这里注意$\mathbf{v}$连同$w$就构成了最终解密多项式函数的描述, $(w-⟨\mathbf{v},{\mathbf{s}}_L⟩)\mathrm{m}\mathrm{o}\mathrm{d}q$就相当于是求解密多项式在${\mathbf{s}}_L$点的值.

同态计算

$SH.Eva{l}_{evk}(f,c_1,\dots ,c_t)$:
其中要求 f : { 0 , 1 } t → { 0 , 1 } f:\{0,1\}^t \rightarrow \{0,1\} f:{0,1}t→{0,1} 有任意"+"和"x"门。

1. 加法
   加法门密文输入为$c_1,\dots ,c_t$，其中$c_i=(({\mathbf{v}}_i,w_i),\ell )$ ,计算（这里的分层标签$l$，是没有变化的）
   $$c_{\mathrm{a}\mathrm{d}\mathrm{d}}=\left(\left({\mathbf{v}}_{\text{add }},w_{\text{add }}\right),\ell \right):=\left(\left(\sum _i{\mathbf{v}}_i,\sum _i{w}_i\right),\ell \right)$$
   很容易求得，
   $$w_{\text{add }}-⟨{\mathbf{v}}_{\text{add }},{\mathbf{s}}_{\ell }⟩=\sum _i\left(w_i-⟨{\mathbf{v}}_i,{\mathbf{s}}_{\ell }⟩\right)=\sum _i\left({\mu }_i+2e_i\right)=\sum _i{\mu }_i+2\sum _i{e}_i$$
   能看到满足加法同态。

2. 乘法
   对于两个同层的乘法密文$c=((\mathbf{v},w),\ell )$和$c’=((\mathbf{v}’,w’),\ell )$, 象征性表达计算
   $$\varphi (\mathbf{x})=(w-⟨\mathbf{v},\mathbf{x}⟩)(w’-⟨\mathbf{v}’,\mathbf{x}⟩)=\sum _{0\le i\le j\le n}{h}_{i,j}\cdot \mathbf{x}[i]\mathbf{x}[j]$$
   注意$\sum$记号处，$h_i$可以表示为$h_{i,0}$，这样就可以避免冗余。实际上其内容包括常数项$h_0=ww’$, 一次项(系数为$h_{i\ne 0,j=0}$)和二次项(系数为$h_{i\ne 0,j\ne 0}$)。下面的也是同理。

   令$h_{i,j}=\sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,j,\tau }\cdot 2^{\tau }$, 并代入$evk=\Psi$中对应层级+1的元素, （也就是重线性化）
   $$2^{\tau }{s}_l[i]s_l[j]\approx b_{l+1,i,j,\tau }-<a_{l+1,i,j,\tau },s_{l+1}>$$
   根据解密计算$w-<v,s>$，可以设置同态乘法
   v m u l t = ∑ 0 ≤ i ≤ j ≤ n τ ∈ { 0 , ⋯ , ⌊ log ⁡ q ⌋ } h i , j , τ ⋅ a ℓ + 1 , i , j , τ \mathbf v_{mult}=\sum_{\begin{aligned}0\leq i\leq &j\leq n\\ \tau\in\{0,\cdots&,\lfloor\log q\rfloor\}\end{aligned}} h_{i,j,\tau}\cdot \mathbf a_{\ell+1,i,j,\tau} vmult​=0≤i≤τ∈{0,⋯​j≤n,⌊logq⌋}​∑​hi,j,τ​⋅aℓ+1,i,j,τ​
   和
   w m u l t = ∑ 0 ≤ i ≤ j ≤ n τ ∈ { 0 , ⋯ , ⌊ log ⁡ q ⌋ } h i , j , τ ⋅ b ℓ + 1 , i , j , τ w_{mult}=\sum_{\begin{aligned}0\leq i\leq &j\leq n\\ \tau\in\{0,\cdots&,\lfloor\log q\rfloor\}\end{aligned}} h_{i,j,\tau}\cdot b_{\ell+1,i,j,\tau} wmult​=0≤i≤τ∈{0,⋯​j≤n,⌊logq⌋}​∑​hi,j,τ​⋅bℓ+1,i,j,τ​
   最终输出的密文将是$(({\mathbf{v}}_{mult},w_{mult}),\ell +1)$.

计算验证：
KaTeX parse error: Undefined control sequence: \substack at position 114: …t\rangle=\sum_{\̲s̲u̲b̲s̲t̲a̲c̲k̲{0 \leq i \leq …

可自举同态加密方案 BTS

使用维度-模约减方案来降低解密电路的复杂程度

方案

1. $BTS.Setup(1_L,1^k)$:
   参数分为基础SH方案的参数$(n,m,q,\chi ,L)$，和附加用于维度-模约减的参数$(k,p,\hat{\chi })$

2. $BTS.KeyGen(1^k)$:
   调用$\mathsf{S}\mathsf{H}.\mathsf{K}\mathsf{e}\mathsf{y}\mathsf{G}\mathsf{e}\mathsf{n}(1^{\lambda })$得到${\mathbf{s}}_{\mathbf{L}},\Psi ,(\mathbf{A},\mathbf{b})$. 生成短的私钥$\hat{\mathbf{s}}\leftarrow {\mathbb{Z}}_p^k$并计算对应于这个短私钥的计算密钥, 即对于所有的 i ∈ [ n ] , τ ∈ { 0 , ⋯   , ⌊ log ⁡ q ⌋ } i\in[n],\tau\in \{0,\cdots,\lfloor\log q\rfloor\} i∈[n],τ∈{0,⋯,⌊logq⌋}, 生成${\hat{\mathbf{a}}}_{i,\tau }\leftarrow {\mathbb{Z}}_p^k,\hat{e}\leftarrow \hat{\chi }$ 并计算（维度-模约减操作）
   $${\hat{b}}_{i,\tau }:=⟨{\hat{\mathbf{a}}}_{i,\tau },\hat{\mathbf{s}}⟩+{\hat{e}}_{i,\tau }+\lfloor \frac{p}{q}\cdot (2^{\tau }\cdot {\mathbf{s}}_L[i])\rceil \mathrm{m}\mathrm{o}\mathrm{d}p$$
   记${\hat{\psi }}_{i,\tau }:=({\hat{\mathbf{a}}}_{i,\tau },{\hat{b}}_{i,\tau })\in {\mathbb{Z}}_p^k\times {\mathbb{Z}}_p$和 Ψ ^ = { ψ ^ i , τ } i ∈ [ n ] , τ ∈ { 0 , ⋯   , ⌊ log ⁡ q ⌋ } \hat\Psi=\{\hat\psi_{i,\tau}\}_{i\in[n],\tau\in\{0,\cdots,\lfloor\log q\rfloor\}} Ψ^={ψ^​i,τ​}i∈[n],τ∈{0,⋯,⌊logq⌋}​.（小密钥的重线性化操作，计算出小密钥组合的密文集合）

   最终输出公钥$pk=(\mathbf{A},\mathbf{b})$, 私钥$sk=\hat{\mathbf{s}}$, 计算密钥 e v k = { Ψ , Ψ ^ } evk=\{\Psi, \hat \Psi\} evk={Ψ,Ψ^}.

3. $BTS.En{c}_{pk}(\mu )$:
   输出$SH.En{c}_{pk}(\mu )$的计算过程，输出密文$c$。

4. $BTS.De{c}_{\hat{\mathbf{s}}}(\hat{c})$:
   $\hat{c}=(\hat{\mathbf{v}},\hat{w})\in {\mathbb{Z}}_p^k\times {\mathbb{Z}}_p$
   只需要解密同态计算输出的密文，即
   $${\mu }^{\ast }=((\hat{w}-⟨\hat{\mathbf{v}},\hat{\mathbf{s}}⟩)\mathrm{m}\mathrm{o}\mathrm{d}q)\mathrm{m}\mathrm{o}\mathrm{d}2$$

同态计算

第一步是计算$c_f\leftarrow {\mathsf{S}\mathsf{H}.\mathsf{E}\mathsf{v}\mathsf{a}\mathsf{l}}_{\Psi }(f,c_1,\cdots ,c_t)$. 记 c f = ( ( v , w ) , L ) ∈ Z q n × Z q × { L } c_f=((\mathbf v,w), L)\in\mathbb Z^{n}_q\times \mathbb Z_q\times \{L\} cf​=((v,w),L)∈Zqn​×Zq​×{L}

接下来是减少该密文的维度和模数到$k,p$
考虑多项式函数
$$\varphi (\mathbf{x})=\frac{p}{q}\cdot \left(\frac{q+1}{2}\cdot (w-⟨\mathbf{v},\mathbf{x}⟩)\right)\mathrm{m}\mathrm{o}\mathrm{d}p$$
按照之前的方式将其系数整理为$h_0,\cdots ,h_n\in {\mathbb{Z}}_q$的形式, 即
$$\varphi (\mathbf{x})=\sum _{i=0}^n{h}_i\cdot (\frac{p}{q}\cdot \mathbf{x}[i])$$
再将$h_i$按照二进制展开, 得到
$$\varphi (\mathbf{x})=\sum _{i=0}^n\sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,\tau }\cdot (\frac{p}{q}\cdot 2^{\tau }\cdot \mathbf{x}[i])$$
采用$\hat{\Psi }$中的密钥来替换上式中的$\frac{p}{q}\cdot (2^{\tau }\cdot {\mathbf{s}}_L[i])$可以得到一个新的一次多项式函数, 记常数项为$\hat{w}$, 一次项系数向量为$\hat{\mathbf{v}}$则
$$\begin{array}{r}\hat{\mathbf{v}}=2\cdot \sum _{i=0}^n\sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,\tau }\cdot {\hat{\mathbf{a}}}_{i,\tau }\mathrm{m}\mathrm{o}\mathrm{d}p\in {\mathbb{Z}}_p^k\\ \hat{w}=2\cdot \sum _{i=0}^n\sum _{\tau =0}^{\lfloor \log q\rfloor }{h}_{i,\tau }\cdot {\hat{b}}_{i,\tau }\mathrm{m}\mathrm{o}\mathrm{d}q\in {\mathbb{Z}}_q\end{array}$$
最后输出密文$\hat{c}=(\hat{\mathbf{v}},\hat{w})$.
这里$\hat{c}$的长度为$(k+1)\log p$
计算的验证可以参看原文（属实顶不住了）

貌似这个方案是控制密文的膨胀，压缩了一下解密电路的复杂度，但是没有管噪声增长？？？

参考

同态加密（一）-基于标准LWE的高效全同态加密1(Efficient Fully Homomorphic Encryption from (Standard) LWE)

同态加密(2) BV11b方案

Zvika Brakersi and Vinod Vaikuntanathan. Efficient fully homomorphic encryption from (standard) LWE. In FOCS, pages 97-106, 2011.