全同态加密(FHE)：BV方案、密钥切换、模约化、自举

目前，全同态加密FHE，仅仅在格上被构造出来。

编码

• most significant bit encoding

  • Encode：

    输入1比特的消息$u$，计算
    $$b=<s,a>+e+u\cdot \lfloor \frac{q}{2}\rceil \mathrm{m}\mathrm{o}\mathrm{d}q$$
    其中$e$是一个很小的error

    输出
    $$Enc(u)=(a,b)$$

  • Decode：

    输入$c=(a,b)$，计算
    $$t=b-<s,a>\approx u\cdot \lfloor \frac{q}{2}\rceil \mathrm{m}\mathrm{o}\mathrm{d}q$$
    输出
    $$Dec(c)=\{\begin{array}{rlr}0,& & t\approx 0\\ 1,& & t\approx \frac{q}{2}\end{array}$$

• least significant bit encoding

  • Encode：

    输入1比特的消息$u$，计算
    $$b=<s,a>+\bar{u}\mathrm{m}\mathrm{o}\mathrm{d}q$$
    其中$\bar{u}\equiv u\mathrm{m}\mathrm{o}\mathrm{d}2$是一个很小的error

    输出
    $$Enc(u)=(a,b)$$

  • Decode：

    输入$c=(a,b)$，计算
    $$t=b-<s,a>=\bar{u}\mathrm{m}\mathrm{o}\mathrm{d}q$$
    输出
    $$Dec(c)=\{\begin{array}{rlr}0,& & t\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}2\\ 1,& & t\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}2\end{array}$$

• 如果记$\bar{s}=(-s,1)$，那么$Dec(c)=<\bar{s},c>=b-<s,a>$

• 当明文、密文的模数互素时，两种编码方式等价。可以在不知道$s$的情况下从一种编码转换为另一种编码。

BV scheme

• BV方案是一种FHE，它支持同态布尔运算 (模2加法、模2乘法)。由于这两个布尔逻辑是完备的，我们可以搭建起任意电路。

• BV方案使用关于奇数$q$的LWE秘密$s$作为私钥，将LWE采样作为密文$c=(a,b)$

• 使用least significant bit encoding编码方式：$Dec(c)=<\bar{s},c>=\bar{u}\mathrm{m}\mathrm{o}\mathrm{d}q$

• 加法同态：
  $$<\bar{s},c_1+c_2>=<\bar{s},c_1>+<\bar{s},c_2>={\bar{u}}_1+{\bar{u}}_2\mathrm{m}\mathrm{o}\mathrm{d}q$$

• 乘法同态：
  $$<\bar{s}\otimes \bar{s},c_1\otimes c_2>=<\bar{s},c_1>\cdot <\bar{s},c_2>={\bar{u}}_1\cdot {\bar{u}}_2\mathrm{m}\mathrm{o}\mathrm{d}q$$
  其中的$\otimes$是克罗内克积 (Kronecker product)

  对于$c_1,c_2\in Z_q^n$，有
  $$c_1\otimes c_2=(c_{1,i}\cdot c_{2,j}{)}_{i,j}\in Z_q^{n^2}$$

• 随着密文同态乘法的计算，密文的规模迅速增大。每次相乘，因为和$c_i\in Z_q^n$做克罗内克积，其密文的规模扩大$n$倍。

• 同时，噪声规模也在迅速增长。若干次同态乘法后，噪声将会大到淹没原始信息的程度，从而导致解密失败。

Key switching technique

• 通过替换密钥，约简密文的维度。

• 假设$s_{in}$把信息$u$加密为$c_{in}$，令$s_{in},c_{in}\in Z_q^{n_{in}}$
  $$<s_{in},c_{in}>=(s_{in}^{t}G)\cdot G^{-1}(c_{in})\approx u\cdot \lfloor \frac{q}{2}\rceil$$
  其中$G\in Z_q^{n_{in}\times (n_{in}l)}$是工具矩阵 (Gadget Matrix)，编码方式为most significant bit encoding

• 选取$s_{out}\in Z_q^{n_{out}}$，对于方程
  $$s_{out}^{t}K\approx s_{in}^{t}G\mathrm{m}\mathrm{o}\mathrm{d}q$$
  可以求解$K\in Z_q^{n_{out}\times (n_{in}l)}$，它的第$j$列是关于$s_{out}$的LWE采样$(a,s_{out}^{t}a+e+s_{in}^t{G}_j)$

  如果$s_{in}$与$s_{out}$独立，那么$K$是伪随机的。

• 令
  $$c_{out}=K\cdot G^{-1}(c_{in})\in Z_q^{n_{out}}$$
  其中$G^{-1}(c_{in})$是短整数向量。

• 容易验证
  $$<s_{out},c_{out}>=(s_{out}^{t}K)\cdot G^{-1}(c_{in})\approx (s_{in}^{t}G)\cdot G^{-1}(c_{in})=<s_{in},c_{in}>$$
  即$s_{out}$把信息$u$加密为$c_{out}$

Modulus reduction technique

• 将模数$q$除掉$poly(n)$，控制错误比率几乎不变。

• 设置$q=n^{\Theta (d)}$，那么可以支持深度$d$的乘法电路。

• 当从$Z_q$转换到$Z_{q^{\prime }}$时，使用舍入操作$\lfloor c{\rceil }_{q^{\prime }}=\lfloor \frac{q^{\prime }}{q}\cdot c\rceil$

• 那么
  $$\begin{array}{rl}<s,c>& \in e+qZ\\ & \Downarrow \\ <s,\lfloor c{\rceil }_{q^{\prime }}>& \in <s,\frac{q^{\prime }}{q}\cdot c+[-0.5,0.5{]}^n>\\ & \subseteq (\frac{q^{\prime }}{q}\cdot e+\Vert s\Vert \sqrt{n}\cdot [-0.5,0.5])+q^{\prime }Z\end{array}$$

• 由于$s$是短向量，因此在$Z_{q^{\prime }}$上的错误比率维持在$|e|/q$附近。

Bootstrapping

• 目前的FHE都是“leveled”的。即：虽然可以支持同态加法和同态乘法两种运算，且同态加法 (几乎) 可以无限次运算；但是，同态乘法会使得密文中的噪声迅速增长，淹没掉原始的信息，从而无法正确解密。
• 为了获得“unbounded”的FHE，Gentry提出了一种自举算法：将私钥$s{k}_1$用公钥$p{k}_2$加密，将$p{k}_1$下的密文也用公钥$p{k}_2$加密，然后运行解密函数 (同态运算)，得到$p{k}_2$下的密文。
• 只要解密操作没有消耗掉所有的乘法次数，那么就可以继续在密文下对消息进行同态计算了。
• 设置$s{k}_1=s{k}_2=sk,p{k}_1=p{k}_2=pk$，这需要额外的安全要求：循环 (circular) 加密安全，即使用$pk$加密$sk$后得到的$c_{sk}$对于消息$m$的密文$c$的解密没有帮助。
• 这条性质很难证明，但同时目前也没有攻击方案。