BFV同态 - 基础知识

符号说明

$R=Z[x]/f(x)$为多项式环，一般取$f=x^d+1$，$d$ 取值为2的指数次幂

$||\mathbf{a}||$为多项式 $a=a_0+a_1\cdot x+...+a_{d-1}\cdot x^{d-1}$ 的无穷范式，即$max(|a_i|)$

δ R = m a x { ∣ ∣ a ⋅ b ∣ ∣ / ( ∣ ∣ a ∣ ∣ ⋅ ∣ ∣ b ∣ ∣ ) : a , b ∈ R } \delta_R=max\{||a\cdot b||/(||a||\cdot ||b||): a,b\in R\} δR​=max{∣∣a⋅b∣∣/(∣∣a∣∣⋅∣∣b∣∣):a,b∈R} 是多项式环$R$的扩张因子(expansion factor)

$Z_q=(-q/2,q/2]$ 是一个整数集合

$R_q$ 是$R$中的多项式集合，系数在$Z_q$中

$[a{]}_q$ 是$Z_q$中的整数，满足$[a{]}_q=a\mathrm{mod}q$

$r_q(a)$ 表示a除q的余数

$\lfloor x\rceil$是最接近$x$的整数，$\lfloor x\rfloor$为向下取整，$\lceil x\rceil$为向上取整

$|n|$ 为$n$的二进制表示，$n(i)$ 为$|n|$的第$i$位。$size(n)=\lceil {\log }_2(n+0.5)\rceil$为二进制表示的位数

定义$R$上的概率分布$\chi =D_{Z,\sigma }^d$，其中$D_{Z,\sigma }$为离散高斯分布。即$x\leftarrow \chi$表示从$R$中取样一个多项式，且系数满足 $D_{Z,\sigma }$分布。对于$D_{Z,\sigma }$分布，采样到 $|x|>10\cdot \sigma$ 的概率小于$2^{-64}$

安全基础

概率分布$U(R_q^2)$：均匀随机从$R_q$中采样 $(a_0,a_1)$
概率分布$A_{s,\chi }^{(q)}$：给定随机的 $s\in R_q$，随机采样 $a\in R_q$ 和噪音 $e\leftarrow \chi$ 得到$(a,[a\cdot s+e{]}_q)$
Decision-RLWE问题：很难区分这两种分布

支持的计算

• 加密、解密
• 密文加、密文乘
• 常数加、常数乘
• 重线性化

关键参数

$N$：多项式的次数，一般用2的指数次幂
$t$：明文模
$q$：密文模；实际应用中，$q$比$t$大很多

明文空间

明文空间为 $R_t=Z_t[x]/(x^N+1)$， $order(R_t)=t^N$ 为$R_t$中不同元素的个数。
即：明文是一个$N-1$次多项式，多项式的系数属于 $Z_t$

密文空间

密文空间为 $R_q\times R_q$ 其中$R_q=Z_q[x]/(x^N+1)$， $order(R_q)=q^N$ 为$R_q$中不同元素的个数。
即：密文是两个$N-1$次多项式，多项式的系数属于$Z_q$

加密噪声

密文包含噪声，密文乘法是主要的噪音来源。噪音超过一个阈值时，密文将无法解密。

噪声的增长严重依赖于 $t$ 的大小，$t$ 要尽量小。不过$t$小意味着$N$需要足够大才能够表示指定的明文。

密文模 $q$ 越大，噪声阈值越大，但也更不安全。

参考文献

https://eprint.iacr.org/2012/144.pdf