参考文献:
- [CGGI20] Chillotti I, Gama N, Georgieva M, et al. TFHE: fast fully homomorphic encryption over the torus[J]. Journal of Cryptology, 2020, 33(1): 34-91.
- [BGGJ20] Boura C, Gama N, Georgieva M, et al. Chimera: Combining ring-lwe-based fully homomorphic encryption schemes[J]. Journal of Mathematical Cryptology, 2020, 14(1): 316-338.
Notation
代数结构:
- 实数环面 T = R / Z = [ 0 , 1 ) \mathbb T = \mathbb R/\mathbb Z = [0,1) T=R/Z=[0,1)
- 整系数多项式环 R = Z [ x ] / ( x N + 1 ) R = \mathbb Z[x]/(x^N+1) R=Z[x]/(xN+1)
- 系数取自整环 A ∈ { Z , R , C } A \in \{\mathbb Z,\mathbb R,\mathbb C\} A∈{Z,R,C},多项式环 R A = R ⊗ Z A = A [ x ] / ( x N + 1 ) R_A = R \otimes_\mathbb Z A=A[x]/(x^N+1) RA=R⊗ZA=A[x]/(xN+1)
- 商环 R q = R / q R = Z q [ x ] / ( x N + 1 ) R_q=R/qR = \mathbb Z_q[x]/(x^N+1) Rq=R/qR=Zq[x]/(xN+1),自然满射 π q : R → R q \pi_q:R \to R_q πq:R→Rq 是同态
- 商群 T R = R R / R Z = T [ x ] / ( x N + 1 ) \mathbb T_R = R_\mathbb R/R_\mathbb Z = \mathbb T[x]/(x^N+1) TR=RR/RZ=T[x]/(xN+1),它是 R R R 左模(但不是环),环 R R R 左作用模 T R \mathbb T_R TR 称为 “外积”
Lipschitz 函数:斜率绝对值不大于 κ \kappa κ,因此被两个一次函数夹逼。
集中分布(concentrated distributions):除了可忽略的测度,概率分布的支撑集是某个半径 1 / 2 1/2 1/2 球体的子集;此时,这个实数环面上的概率分布是良的,存在良定义的期望、标准差。
TLWE
底层的代数结构,
- 秘钥空间: B ⊆ Z N \mathcal B \subseteq \mathbb Z^N B⊆ZN,小范数的整数向量集合
- 明文空间: T \mathbb T T,是 Z \mathbb Z Z 模(不是环,乘法未定义)
- 密文空间: T N × T = T N + 1 \mathbb T^N \times \mathbb T = \mathbb T^{N+1} TN×T=TN+1,是 Z \mathbb Z Z 模(无法被 T \mathbb T T 作用,同态乘法不自然)
- 相位函数: ϕ s : ( a , b ) ↦ b − s t a \phi_s: (a,b) \mapsto b-s^ta ϕs:(a,b)↦b−sta,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l∞ 范数)
不考虑(具有同态性质的)纠错码,
对称密钥:
- 均匀采样 s ← B s \gets \mathcal B s←B,它是整系数的短向量
加密:
- 明文 μ ∈ T \mu \in \mathbb T μ∈T
- 均匀采样 a ← T N a \gets \mathbb T^N a←TN,零中心高斯采样 e ← T e \gets \mathbb T e←T
- 计算 b : = s t a + e ∈ T b := s^ta+e \in \mathbb T b:=sta+e∈T,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e≈0
- 密文 c : = ( a , b ) + ( 0 , μ ) c:=(a,b)+(0,\mu) c:=(a,b)+(0,μ),是长度 N + 1 N+1 N+1 的列向量
解密:
- 密文 ( a , b ′ ) ∈ T N × T (a,b') \in \mathbb T^N \times \mathbb T (a,b′)∈TN×T
- 计算 ϕ s ( a , b ′ ) = e + μ ∈ T \phi_s(a,b') = e+\mu \in \mathbb T ϕs(a,b′)=e+μ∈T
- 带噪明文 μ + e \mu+e μ+e 是一个随机变量,均值是 μ \mu μ
同态运算:
- 根据 Z \mathbb Z Z 模的加法, μ 1 + μ 2 ⟺ c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2⟺c1+c2
- 根据 Z \mathbb Z Z 模的环作用, k ⋅ μ ⟺ k ⋅ c k \cdot \mu \iff k \cdot c k⋅μ⟺k⋅c,其中 k ∈ Z k \in \mathbb Z k∈Z
- 不支持乘法运算,BGV 的密文张量积不自然, μ 1 μ 2 ⟺ s t c 1 ⋅ s t c 2 = s t c 1 ⊗ s t c 2 = ( s ⊗ s ) t ⋅ ( c 1 ⊗ c 2 ) \mu_1\mu_2 \iff s^tc_1 \cdot s^tc_2=s^tc_1 \otimes s^tc_2=(s \otimes s)^t\cdot(c_1 \otimes c_2) μ1μ2⟺stc1⋅stc2=stc1⊗stc2=(s⊗s)t⋅(c1⊗c2)
TRLWE
底层的代数结构,
- 秘钥空间: B ⊆ R \mathcal B \subseteq R B⊆R,小范数的整系数多项式集合
- 明文空间: T R \mathbb T_R TR,是 R R R 模(不是环,乘法未定义)
- 密文空间: T R × T R = T R 2 \mathbb T_R \times \mathbb T_R = \mathbb T_R^2 TR×TR=TR2,是 R R R 模(无法被 T R \mathbb T_R TR 作用,同态乘法不自然)
- 相位函数: ϕ s : ( a , b ) ↦ b − s ⋅ a \phi_s: (a,b) \mapsto b-s\cdot a ϕs:(a,b)↦b−s⋅a,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l∞ 范数)
不考虑(具有同态性质的)纠错码,
对称密钥:
- 均匀采样 s ← B s \gets \mathcal B s←B,它是短的整系数多项式
加密:
- 明文 μ ∈ T R \mu \in \mathbb T_R μ∈TR
- 均匀采样 a ← T R a \gets \mathbb T_R a←TR,零中心高斯采样 e ← T R e \gets \mathbb T_R e←TR
- 计算 b : = s ⋅ a + e ∈ T R b := s\cdot a+e \in \mathbb T_R b:=s⋅a+e∈TR,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e≈0
- 密文 c : = ( a , b ) + ( 0 , μ ) c:=(a,b)+(0,\mu) c:=(a,b)+(0,μ),是长度 2 2 2 的列向量
解密:
- 密文 ( a , b ′ ) ∈ T R × T R (a,b') \in \mathbb T_R \times \mathbb T_R (a,b′)∈TR×TR
- 计算 ϕ s ( a , b ′ ) = e + μ ∈ T R \phi_s(a,b') = e+\mu \in \mathbb T_R ϕs(a,b′)=e+μ∈TR
- 带噪明文 μ + e \mu+e μ+e 是一个随机变量,均值是 μ \mu μ
同态运算:
- 根据 R R R 模的加法, μ 1 + μ 2 ⟺ c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2⟺c1+c2
- 根据 R R R 模的环作用, k ⋅ μ ⟺ k ⋅ c k \cdot \mu \iff k \cdot c k⋅μ⟺k⋅c,其中 k ∈ R k \in R k∈R
- 不支持乘法运算,BFV 的密文多项式乘积不自然, μ 1 μ 2 ⟺ c 1 ( s ) ⋅ c 2 ( s ) = ( c 1 ⋅ c 2 ) ( s ) \mu_1\mu_2\iff c_1(s)\cdot c_2(s)=(c_1\cdot c_2)(s) μ1μ2⟺c1(s)⋅c2(s)=(c1⋅c2)(s)
TGSW
底层的代数结构,
- 秘钥空间: B ⊆ Z N \mathcal B \subseteq \mathbb Z^N B⊆ZN,小范数的整数向量集合
- 明文空间: Z \mathbb Z Z,是整数环(定义了乘法)
- 密文空间: T N × ( N + 1 ) l × T N l = T ( N + 1 ) × ( N + 1 ) l \mathbb T^{N\times (N+1)l} \times \mathbb T^{Nl}=\mathbb T^{(N+1) \times (N+1)l} TN×(N+1)l×TNl=T(N+1)×(N+1)l,是 Z \mathbb Z Z 模(同态乘法自然)
- 相位函数: ϕ s : ( A , b ) ↦ b − s t A \phi_s: (A,b) \mapsto b-s^tA ϕs:(A,b)↦b−stA,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l∞ 范数)
采用 Gadget 纠错码,设置行向量
g
=
[
2
−
1
,
2
−
2
,
⋯
,
2
−
l
]
g=[2^{-1},2^{-2},\cdots,2^{-l}]
g=[2−1,2−2,⋯,2−l],其中
α
=
2
−
l
\alpha=2^{-l}
α=2−l 是实数环面的离散化精度
2
−
l
Z
/
Z
⊆
T
2^{-l}\mathbb Z/\mathbb Z \subseteq \mathbb T
2−lZ/Z⊆T,
G
=
I
N
+
1
⊗
g
=
[
g
g
⋱
g
]
∈
Z
(
N
+
1
)
×
(
N
+
1
)
l
G = I_{N+1} \otimes g = \begin{bmatrix} g&\\ &g&\\ &&\ddots&\\ &&& g \end{bmatrix} \in \mathbb Z^{(N+1) \times (N+1)l}
G=IN+1⊗g=
gg⋱g
∈Z(N+1)×(N+1)l
对应的逆变换 G − 1 G^{-1} G−1 是个随机化程序,满足 ∥ G G − 1 ( C ) − C ∥ ∞ ≤ α / 2 \|GG^{-1}(C)-C\|_\infty \le \alpha/2 ∥GG−1(C)−C∥∞≤α/2,对于任意的 C ∈ T ( N + 1 ) × ( N + 1 ) l C \in \mathbb T^{(N+1) \times (N+1)l} C∈T(N+1)×(N+1)l
对称密钥:
- 均匀采样 s ← B s \gets \mathcal B s←B,它是整系数的短向量
加密:
- 明文 μ ∈ Z \mu \in \mathbb Z μ∈Z,编码为有限精度的环面矩阵 μ G ∈ T ( N + 1 ) × ( N + 1 ) l \mu G \in \mathbb T^{(N+1) \times (N+1)l} μG∈T(N+1)×(N+1)l
- 均匀采样 A ← T N × ( N + 1 ) l A \gets \mathbb T^{N \times (N+1)l} A←TN×(N+1)l,零中心高斯采样 e ← T ( N + 1 ) l e \gets \mathbb T^{(N+1)l} e←T(N+1)l(行向量)
- 计算 b : = s t A + e ∈ T ( N + 1 ) l b := s^tA+e \in \mathbb T^{(N+1)l} b:=stA+e∈T(N+1)l(行向量),满足 ϕ s ( A , b ) = e ≈ 0 \phi_s(A,b)=e \approx 0 ϕs(A,b)=e≈0
- 密文 c : = [ A b ] + μ G c:=\begin{bmatrix}A\\b\end{bmatrix}+\mu G c:=[Ab]+μG,基本是 ( N + 1 ) l (N+1)l (N+1)l 个 TLWE 密文的组合(除了纠错码不同)
解密:
- 密文 [ A ′ b ′ ] ∈ T ( N + 1 ) × ( N + 1 ) l \begin{bmatrix}A'\\b'\end{bmatrix} \in \mathbb T^{(N+1) \times (N+1)l} [A′b′]∈T(N+1)×(N+1)l
- 计算 ϕ s ( A ′ , b ′ ) = e + μ ( − s , 1 ) G ∈ T ( N + 1 ) l \phi_s(A',b') = e+\mu (-s,1)G \in \mathbb T^{(N+1)l} ϕs(A′,b′)=e+μ(−s,1)G∈T(N+1)l(行向量)
- 截取长度 l l l 的尾巴,得到的 e ′ + μ g ∈ T l e'+\mu g \in \mathbb T^l e′+μg∈Tl 是含噪码字,均值 μ g \mu g μg
同态运算:
-
根据 Z \mathbb Z Z 模的加法, μ 1 + μ 2 ⟺ c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2⟺c1+c2
-
根据 Z \mathbb Z Z 模的环作用, k ⋅ μ ⟺ k ⋅ c k \cdot \mu \iff k \cdot c k⋅μ⟺k⋅c,其中 k ∈ Z k \in \mathbb Z k∈Z
-
同态乘法,明文空间 μ 1 ∈ Z \mu_1 \in \mathbb Z μ1∈Z 对于密文空间 G − 1 ( μ 2 G ) ∈ T ( N + 1 ) × ( N + 1 ) l G^{-1}(\mu_2G) \in \mathbb T^{(N+1) \times (N+1)l} G−1(μ2G)∈T(N+1)×(N+1)l 的环作用,
C 1 ⋅ G − 1 ( C 2 ) = ( ( A 1 , b 1 ) + μ 1 G ) ⋅ G − 1 ( ( ( A 2 , b 2 ) + μ 2 G ) ) = ( ( A 1 , b 1 ) ⋅ G − 1 ( C 2 ) + μ 1 C 2 ) + μ 1 μ 2 G \begin{aligned} &\,\, C_1 \cdot G^{-1}(C_2)\\ =&\,\, ((A_1,b_1)+\mu_1 G) \cdot G^{-1}(((A_2,b_2)+\mu_2 G))\\ =&\,\, \left((A_1,b_1) \cdot G^{-1}(C_2) + \mu_1C_2\right) + \mu_1\mu_2G \end{aligned} ==C1⋅G−1(C2)((A1,b1)+μ1G)⋅G−1(((A2,b2)+μ2G))((A1,b1)⋅G−1(C2)+μ1C2)+μ1μ2G它的噪声增长是不平衡的,导出了乘法链的右结合性。
TRGSW
底层的代数结构,
- 秘钥空间: B ⊆ R \mathcal B \subseteq R B⊆R,小范数的整系数多项式集合
- 明文空间: R R R,是整系数多项式环(定义了乘法)
- 密文空间: T R 2 l × T R 2 l = T R 2 × 2 l \mathbb T_R^{2l} \times \mathbb T_R^{2l} = \mathbb T_R^{2 \times 2l} TR2l×TR2l=TR2×2l,是 R R R 模(同态乘法自然)
- 相位函数: ϕ s : ( A , b ) ↦ b − s A \phi_s: (A,b) \mapsto b-sA ϕs:(A,b)↦b−sA,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l∞ 范数)
采用 Gadget 纠错码,设置
g
=
[
2
−
1
,
2
−
2
,
⋯
,
2
−
l
]
g=[2^{-1},2^{-2},\cdots,2^{-l}]
g=[2−1,2−2,⋯,2−l] 是行向量,其中
α
=
2
−
l
\alpha=2^{-l}
α=2−l 是环面的离散化精度
2
−
l
R
Z
/
R
Z
⊆
T
R
2^{-l}R_\mathbb Z /R_\mathbb Z \subseteq \mathbb T_R
2−lRZ/RZ⊆TR,
G
=
g
⊗
I
2
=
[
2
−
1
I
,
2
−
2
I
,
⋯
,
2
−
l
I
]
∈
T
R
2
×
2
l
G = g \otimes I_2 = \begin{bmatrix} 2^{-1}I,2^{-2}I,\cdots,2^{-l}I \end{bmatrix} \in \mathbb T_R^{2 \times 2l}
G=g⊗I2=[2−1I,2−2I,⋯,2−lI]∈TR2×2l
对应的逆变换 G − 1 G^{-1} G−1 是个随机化程序,满足 ∥ G G − 1 ( C ) − C ∥ ∞ ≤ α / 2 \|GG^{-1}(C)-C\|_\infty \le \alpha/2 ∥GG−1(C)−C∥∞≤α/2,对于任意的 C ∈ T R 2 l × 2 C \in \mathbb T_R^{2l \times 2} C∈TR2l×2
对称密钥:
- 均匀采样 s ← B s \gets \mathcal B s←B,它是短的整系数多项式
加密:
- 明文 μ ∈ R \mu \in R μ∈R,编码为有限精度的环面矩阵 μ G ∈ T R 2 × 2 l \mu G \in \mathbb T_R^{2\times 2l} μG∈TR2×2l
- 均匀采样 A ← T R 2 l A \gets \mathbb T_R^{2l} A←TR2l(行向量),零中心高斯采样 e ← T R 2 l e \gets \mathbb T_R^{2l} e←TR2l(行向量)
- 计算 b : = s A + e ∈ T R N l b := sA+e \in \mathbb T_R^{Nl} b:=sA+e∈TRNl(行向量),满足 ϕ s ( A , b ) = e ≈ 0 \phi_s(A,b)=e \approx 0 ϕs(A,b)=e≈0
- 密文 c : = [ A b ] + μ G c:=\begin{bmatrix}A\\b\end{bmatrix}+\mu G c:=[Ab]+μG,基本是 2 l 2l 2l 个 TRLWE 密文的组合(除了纠错码不同)
解密:
- 密文 ( A ′ , b ′ ) ∈ T R 2 l × T R 2 l (A',b') \in \mathbb T_R^{2l} \times \mathbb T_R^{2l} (A′,b′)∈TR2l×TR2l
- 计算 ϕ s ( A ′ , b ′ ) = e + μ ( − s , 1 ) G ∈ T R 2 l \phi_s(A',b') = e+\mu(-s,1)G \in \mathbb T_R^{2l} ϕs(A′,b′)=e+μ(−s,1)G∈TR2l(行向量)
- 截取索引 2 , 4 , ⋯ , 2 l 2,4,\cdots,2l 2,4,⋯,2l 的元素,得到的 e ′ + μ g ∈ T R l e'+\mu g \in \mathbb T_R^l e′+μg∈TRl 是含噪码字,均值 μ g \mu g μg
同态运算:
-
根据 R R R 模的加法, μ 1 + μ 2 ⟺ C 1 + C 2 \mu_1+\mu_2 \iff C_1+C_2 μ1+μ2⟺C1+C2
-
根据 R R R 模的环作用, k ⋅ μ ⟺ k ⋅ C k \cdot \mu \iff k \cdot C k⋅μ⟺k⋅C,其中 k ∈ R k \in R k∈R
-
同态乘法,明文空间 μ 1 ∈ R \mu_1 \in R μ1∈R 对于密文空间 G − 1 ( μ 2 G ) ∈ T R 2 × 2 l G^{-1}(\mu_2G) \in \mathbb T_R^{2 \times 2l} G−1(μ2G)∈TR2×2l 的环作用,
C 1 ⋅ G − 1 ( C 2 ) = ( ( A 1 , b 1 ) + μ 1 G ) ⋅ G − 1 ( ( ( A 2 , b 2 ) + μ 2 G ) ) = ( ( A 1 , b 1 ) ⋅ G − 1 ( C 2 ) + μ 1 C 2 ) + μ 1 μ 2 G \begin{aligned} &\,\, C_1 \cdot G^{-1}(C_2)\\ =&\,\, ((A_1,b_1)+\mu_1 G) \cdot G^{-1}(((A_2,b_2)+\mu_2 G))\\ =&\,\, \left((A_1,b_1) \cdot G^{-1}(C_2) + \mu_1C_2\right) + \mu_1\mu_2G \end{aligned} ==C1⋅G−1(C2)((A1,b1)+μ1G)⋅G−1(((A2,b2)+μ2G))((A1,b1)⋅G−1(C2)+μ1C2)+μ1μ2G它的噪声增长是不平衡的,导出了乘法链的右结合性。
FHE Module Structure
非正式地,全同态模结构是五元元组 ( R , Π R , M , Π M , ⊡ ) (R,\Pi_R,M,\Pi_M,\boxdot) (R,ΠR,M,ΠM,⊡):
-
环 R R R 的加密方案 Π R = ( E n c R , D e c R ) \Pi_R=(Enc_R,Dec_R) ΠR=(EncR,DecR),它的密文空间是 C R \mathcal C_R CR
-
模 M M M 的同态加密方案 Π M = ( E n c M , D e c M ) \Pi_M=(Enc_M,Dec_M) ΠM=(EncM,DecM),它的密文空间是 C M \mathcal C_M CM
-
两个方案的密文之间的运算 ⊡ : C R × C M → C M \boxdot: \mathcal C_R \times \mathcal C_M \to \mathcal C_M ⊡:CR×CM→CM(外积),使得
D e c M ( E n c R ( r ) ⊡ E n c M ( m ) ) = r ⋅ m , ∀ r ∈ R , ∀ m ∈ M Dec_M(Enc_R(r) \boxdot Enc_M(m)) = r \cdot m,\forall r \in R,\forall m \in M DecM(EncR(r)⊡EncM(m))=r⋅m,∀r∈R,∀m∈M
TFHE 就是让 TGSW 和 TLWE、TRGSW 和 TRLWE 组成了全同态模结构,从而实现了 “外积”,
-
元组 ( ( Z , TGSW ) , ( T , TLWE ) ) ((\mathbb Z,\text{TGSW}),(\mathbb T,\text{TLWE})) ((Z,TGSW),(T,TLWE)),组成了环 Z \mathbb Z Z 模 T \mathbb T T 的全同态模结构,外积定义为:
T G S W s ( r ∈ Z ) ⊡ α T L W E s ( m ∈ T ) = ( [ A s A + e ] + r ⋅ G ) ⋅ G α − 1 ( [ a s a + e ′ ] + [ 0 m ] ) = [ A s A + e ] ⋅ G α − 1 ( T L W E s ( m ) ) + r ⋅ T L W E s ( m ) = T L W E s ( r ⋅ m ∈ T ) \begin{aligned} &\,\, TGSW_s(r \in \mathbb Z) \boxdot_\alpha TLWE_s(m \in \mathbb T)\\ =&\,\, \left(\begin{bmatrix} A\\ sA+e \end{bmatrix} + r \cdot G\right) \cdot G_\alpha^{-1}\left(\begin{bmatrix} a\\ sa+e' \end{bmatrix} + \begin{bmatrix} 0\\ m \end{bmatrix}\right)\\ =&\,\, \begin{bmatrix} A\\ sA+e \end{bmatrix} \cdot G_\alpha^{-1}\left(TLWE_s(m)\right) + r \cdot TLWE_s(m)\\ =&\,\, TLWE_s(r \cdot m \in \mathbb T) \end{aligned} ===TGSWs(r∈Z)⊡αTLWEs(m∈T)([AsA+e]+r⋅G)⋅Gα−1([asa+e′]+[0m])[AsA+e]⋅Gα−1(TLWEs(m))+r⋅TLWEs(m)TLWEs(r⋅m∈T) -
元组 ( ( R Z , TRGSW ) , ( T R , TRLWE ) ) ((R_\mathbb Z,\text{TRGSW}),(\mathbb T_R,\text{TRLWE})) ((RZ,TRGSW),(TR,TRLWE)),组成了环 R Z R_\mathbb Z RZ 模 T R \mathbb T_R TR 的全同态模结构,外积定义为:
T R G S W s ( r ∈ R Z ) ⊡ α T R L W E s ( m ∈ T R ) = ( [ A s A + e ] + r ⋅ G ) ⋅ G α − 1 ( [ a s a + e ′ ] + [ 0 m ] ) = [ A s A + e ] ⋅ G α − 1 ( T R L W E s ( m ) ) + r ⋅ T R L W E s ( m ) = T R L W E s ( r ⋅ m ∈ T R ) \begin{aligned} &\,\, TRGSW_s(r \in R_\mathbb Z) \boxdot_\alpha TRLWE_s(m \in \mathbb T_R)\\ =&\,\, \left(\begin{bmatrix} A\\ sA+e \end{bmatrix} + r \cdot G\right) \cdot G_\alpha^{-1}\left(\begin{bmatrix} a\\ sa+e' \end{bmatrix} + \begin{bmatrix} 0\\ m \end{bmatrix}\right)\\ =&\,\, \begin{bmatrix} A\\ sA+e \end{bmatrix} \cdot G_\alpha^{-1}\left(TRLWE_s(m)\right) + r \cdot TRLWE_s(m)\\ =&\,\, TRLWE_s(r \cdot m \in \mathbb T_R) \end{aligned} ===TRGSWs(r∈RZ)⊡αTRLWEs(m∈TR)([AsA+e]+r⋅G)⋅Gα−1([asa+e′]+[0m])[AsA+e]⋅Gα−1(TRLWEs(m))+r⋅TRLWEs(m)TRLWEs(r⋅m∈TR)
1457
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
