使用 FHEW-like 自举 BV-like

参考文献：

1. [CDKS21] Chen H, Dai W, Kim M, et al. Efficient homomorphic conversion between (ring) LWE ciphertexts[C]//International Conference on Applied Cryptography and Network Security. Cham: Springer International Publishing, 2021: 460-479.
2. [KDE+23] Kim A, Deryabin M, Eom J, et al. General bootstrapping approach for RLWE-based homomorphic encryption[J]. IEEE Transactions on Computers, 2023.

[KDE+23] 提出可以使用 FHEW-like 实现 BV-like 的通用自举程序。文章说给出了 C++ 实现，不过没有给代码链接；文章中说性能依旧需要继续改进，没有给出具体的数据。

首先，我们定义一些密文类型：

• $LW{E}_{q,s}(m)=(a,m+e-⟨a,s⟩)\in {\mathbb{Z}}_q^{n+1}$
• $RLW{E}_{Q,s}(m)=(a,m+e-a\cdot s)\in R_Q^2$
• $RLW{E}_{Q,s}^{\prime }(m)=(RLW{E}_{Q,s}(g_0\cdot m),\cdots ,RLW{E}_{Q,s}(g_{d-1}\cdot m))\in R_Q^{2d}$
• $RGS{W}_{Q,s}(m)=(RLW{E}_{Q,s}^{\prime }(s\cdot m),RLW{E}_{Q,s}^{\prime }(m))$

简记无噪声的密文为 $RLW{E}^0(u)$，这里 $u$ 是其（无编码的）相位。

Scaled Modulus Raising

[KDE+23] 首先介绍了一个核心算法，它用于将较小密文模数 $q$ 下的消息，提升到更大的密文模数 $Q$。这需要消除模 $Q$ 下出现的 $q$-overflower，因此明显需要自举程序。

我们设置 $q=2N$，给定相位是 $\Vert u{\Vert }_{\infty }\le c<N/2$ 的密文，记为 $RLW{E}_{2N,s}^0(u)$，

1. Extraction：采取 FHEW 的系数提取过程，获得 $LW{E}_{2N,s}(u_i),i\in [N]$
2. Blind Rotation：使用 FHEW/TFHE 盲旋转过程，初始设置 ACC 加密 $f=-{\sum }_{j=-c}^c\Delta j\cdot X^j$，最终获得 $RLW{E}_{Q,s}(f\cdot X^{u_i}),i\in [N]$，相位的常数项是 $\Delta u_i$，并且 $X^{2c+1},\cdots ,X^{N-2c-2}$ 的系数都是零，将它简记为 $u^{(i)}\in R_Q$
3. Repacking：将这 $N$ 个密文组合成单个密文 $RLW{E}_{Q,s}(\Delta u)$

由于 $c<N/2$，我们选取大于 $2c$ 的最小二的幂次 $n=n_c$，那么就可以将 $N$ 个 RLWE 密文分为若干组 { R L W E ( u i + n k } k ∈ [ N / n ] , i ∈ [ n ] \{RLWE(u^{i+nk}\}_{k\in[N/n]}, i\in[n] {RLWE(ui+nk}k∈[N/n]​,i∈[n]，我们计算：
$$\sum _{k=0}^{N/n-1}RLWE(u^{(i+nk)})\cdot X^{nk}=RLWE\left(u^{(i,n)}:=\sum _{k=0}^{N/n-1}{u}^{(i+nk)}{X}^{nk}\right)$$
因为间隔 $n>2c$ 足够大，因此获得的相位 $u^{(i,n)}$ 的位置 $nk,k\in [N/n]$ 恰好就是 $\Delta u_{i+nk}$ 本身。

接着利用 [CDKS21] 的打包技术，自同构 ${\tau }_{1+2N/n}$ 应用到 $u^{(i,n)}$，它保持位置 $X^{nk}$ 的系数，翻转位置 $X^{nk+n/2}$ 的系数符号；剩余位置的系数被打乱或者变号（我们不关心）。因此，对于 $i\in [n/2]$，计算
$$\begin{array}{rl}RLWE(2\cdot u^{(i,n/2)})& =\left(RLWE(u^{(i,n)})+X^{n/2}\cdot RLWE(u^{(i+n/2,n)})\right)\\ & +{\tau }_{1+2N/n}\left(RLWE(u^{(i,n)})-X^{n/2}\cdot RLWE(u^{(i+n/2,n)})\right)\end{array}$$
这就将 $N/n$ 个密文合并为了 $N/2n$ 个密文。迭代执行对数次，可以最终合并出单个密文 $RLWE(n\cdot \Delta u)$。为了移除额外的因子 $n$，

1. 假如 $Q$ 和 $n$ 互素，那么在 $f$ 中使用 $[n^{-1}{]}_Q\cdot \Delta$ 代替原本的 $\Delta$ 即可
2. 假如 $Q$ 是二的幂次（$n$ 也是），那么使用 $Qn$ 代替原本的 $Q$，最后缩放 $n$ 同时在消息和模数上消除它

打包算法：

Bootstrapping for CKKS

Multiprecision CKKS

使用的密文模数 $q$ 是二的幂次，相位形如
$$ct(s)=m+e+qv\in R$$
令 $q^{\prime }=q/2N$，计算 $c{t}^{\prime }=ct(\mathrm{mod}{q}^{\prime })$，那么
$$c{t}^{\prime }(s)=m+e+q^{\prime }u\in R$$
我们可计算
$$c{t}_{prep}=\left(\frac{a-[a{]}_{q^{\prime }}}{q^{\prime }},\frac{b-[b{]}_{q^{\prime }}}{q^{\prime }}\right)\in R_{2N}^2$$
易知 $c{t}_{prep}(s)=(qv-q^{\prime }u)/q^{\prime }=-u+2Nv$，从而它是 $RLW{E}_{2N,s}^0(-u)$，这就提取出待消除的 $u$ 的密文。上述的计算过程类似于 BFV 的 RS 过程，$ct(\mathrm{mod}q)\to \lfloor ct/q^{\prime }\rceil (\mathrm{mod}2N)$，但是 CKKS 中的 $m+e\ll q^{\prime }$，最后剩下的消息仅仅是舍入噪声 $u$，这恰好是我们想要消除的那部分。

现在，利用 Scaled Modulus Raising 过程（自举），可以获得 $c{t}_{sm}=RLW{E}_{Q,s}(-q^{\prime }u)$，将密文模数提高到 $Q$ 从而可以作差。注意到我们是对密文 $RLW{E}_{2N,s}^0(-u)$ 自举，而非 $RLW{E}_{q,s}(m)$。假设使用重量 $h$ 的三元秘密 $s$，那么 $u=\lfloor (as+b)/q^{\prime }\rceil$ 的范数很小 $\Vert u{\Vert }_{\infty }\le (h+1)/2$（中心化取模，在平均情况下会更小），因此只需要较小的参数 $N$ 来足够编码 LUT。即使 $m$ 本身的精度很高，也只是通过模数 $Q$ 的安全性限制来影响 $N$，并不会出现关于 LUT 精度的指数级减速。

继续计算 $c{t}_{boot}=c{t}_{sm}+c{t}^{\prime }(\mathrm{mod}Q)$，它满足
$$c{t}_{boot}(s)=-q^{\prime }u+e_{sm}+m+e+q^{\prime }u=m+(e+e_{sm})$$
自举算法为：

对于稀疏打包的密文（这里指相位落在子环内），假设 $ct(s)=m(Y)+q\cdot v(X)$，其中 $Y=X^{N/n}$ 是子环的本原单位根。

利用自同构 $X\to X-X^{n+1}+X^{2n+1}-\cdots -X^{N-n+1}$ 的性质，它将 $(N/n)\mid k$ 的那些项 $X^k$ 的系数翻倍 $N/n$ 因子，其余的项的系数都被消除。因此，我们可以使用同态自同构的加和，将 $Y$ 子环以外的系数全都消除，获得 $c{t}^{\prime }(s)=m(Y)+q\cdot v^{\prime }(Y)$

现在，我们只需对这些稀疏的系数执行 Scaled Modulus 过程即可。

RNS-CKKS

使用的密文模数 $q$ 是素数的乘积，相位形如
$$ct(s)=m+e+qv\in R$$
由于 2N 不在 RNS-CKKS 的模数链上，除以 $q^{\prime }=q/2N$ 是没法计算的。因此我们首先计算 $c{t}^{\prime }=2N\cdot ct(\mathrm{mod}q)$，
$$c{t}^{\prime }(s)=2N\cdot (m+e)+qu\in R$$
于是将 Multiprecision CKKS 对应过程的密文和模数都乘以 $2N$ 因子做出模拟，得到
$$c{t}_{prep}=\left(\frac{2Na-[2Na{]}_q}{q},\frac{2Nb-[2Nb{]}_q}{q}\right)\in R_{2N}^2$$
它的相位是 $-u(\mathrm{mod}2N)$，利用 Scaled Modulus Raising 过程获得 $c{t}_{sm}=RLW{E}_{Qp,s}(-qu)$，其中的 $p$ 是 auxiliary prime 用于控制噪声

计算 $c{t}^{\prime \prime }=c{t}_{sm}+c{t}^{\prime }(\mathrm{mod}Qp)$，满足
$$c{t}^{\prime \prime }(s)=-qu+e_{sm}+2N\cdot (m+e)+qu=2Nm+(2Ne+e_{sm})$$
最后将它乘以 $p/2N$ 接着缩放 $p$ 因子，获得
$$c{t}_{boot}(s)=m+(e+e_{sm}/2N+e_{rs})(\mathrm{mod}Q)$$
完整的自举程序为

Bootstrapping for BGV

Multiprecision BGV

模数是二的幂次。与 CKKS 的自举步骤基本一样，

RNS-BGV

模数是素数乘积。与 CKKS 的自举步骤基本一样，

Bootstrapping for BFV

Multiprecision BFV

BFV 的自举略有不同，它并不是消除 overflow 去提升模数，而是需要降低噪声。

模数 $Q$ 是二的幂次，密文相位是
$$ct(s)=e+\frac{Q}{t}m\in R_Q$$
首先计算 $c{t}^{\prime }=t\cdot ct(\mathrm{mod}Q)$，
$$c{t}^{\prime }(s)=te+Qv\in R$$
令 $Q^{\prime }=Q/2N$，接着计算 $c{t}^{\prime \prime }=c{t}^{\prime }(\mathrm{mod}{Q}^{\prime })$，
$$c{t}^{\prime \prime }(s)=te+Q^{\prime }u\in R$$
于是可以计算
$$c{t}_{prep}=\frac{c{t}^{\prime }-c{t}^{\prime \prime }}{Q^{\prime }}\in R_{2N}^2$$
它的相位是 $-u+2Nv$，利用 Scaled Modulus Raising 过程获得 $c{t}_{sm}=RLW{E}_{Qt,s}(Q^{\prime }u)$

然后计算 $c{t}^{\prime \prime \prime }=c{t}_{sm}+t\cdot ct-c{t}^{\prime \prime }(\mathrm{mod}Qt)$，
$$c{t}^{\prime \prime \prime }(s)=(Q^{\prime }u+e_{sm})+(te+Qm)-(te+Q^{\prime }u)=Qm+e_{sm}$$
最后缩放 $t$ 因子，获得 $c{t}_{boot}=RLW{E}_{Q,s}(m)$

完整的自举算法为：

RNS-BFV

模数是素数乘积。就是上述自举算法的变体，

Compact Representation of Blind Rotation Keys

[KDE+23] 还给出了压缩 BK 的方法。

采取三元秘密，原本的 BK 形如：$RGS{W}_s(s_i^{+})$ 以及 $RGS{W}_s(s_i^{-})$，其中的 $s_i^{+}=[s_i=1]$ 和 $s_i^{-}=[s_i=-1]$ 作为 CMux 控制位。

Reconstruction

为了减少通信开销，[KDE+23] 仅生成 $RLW{E}_s^{\prime }(s^{\pm })$ 和 $RLW{E}_s^{\prime }(s^2)$ 两个密文，其中
$$s^{\pm }(X)=\sum _{i=0}^{N-1}{s}_i^{\pm }{X}^i$$
利用自同构的保持/翻转各个位置系数的符号的特点，我们可以根据 $RLW{E}_s^{\prime }(s^{\pm })$ 恢复出全部的 $RLW{E}_s^{\prime }(s_i^{\pm })$。算法为：

消除因子 $N$ 是容易的。接着，利用计算出的各个分量 $RLW{E}_s(g_j{s}_i^{\pm })=(a_{ij},b_{ij})$，可以计算出：
$$RLW{E}_s(a_{ij}\cdot s^2+b_{ij}\cdot s)=RLW{E}_s(g_j{s}_i^{\pm }\cdot s)$$
它们组成了 $RLW{E}_s^{\prime }(s_i^{\pm }s)$，于是我们就得到了
$$RGS{W}_s(s_i^{\pm })=(RLW{E}_s^{\prime }(s_i^{\pm }),RLW{E}_s^{\prime }(s_i^{\pm }s))$$

On the Fly

为了减少内存开销，[KDE+23] 还提出了动态重构 BK 的方法，用完就立即丢弃。

这儿也是利用了自同构，消除常数项以外的其他系数。我们首先乘以 $X^{-i}$，从而提取任意位置的 $s_i^{\pm }$ 的密文。算法为：

[KDE+23] 提出了一种新的盲旋转过程，它不需要重构出 $RLW{E}_s^{\prime }(s_i^{\pm }\cdot s)$，而是直接根据 $RLW{E}_s^{\prime }(s_i^{\pm })$ 和 $RLW{E}_s^{\prime }(s^2)$ 来计算：给定 $ACC=RLW{E}_s(f)=(a,b)$，给定密文 $LW{E}_s(u)=(\alpha ,\beta )$，先计算
$$a\cdot RLW{E}_s^{\prime }(X^{{\alpha }_i{s}_i})=RLW{E}_s^{\prime }(a\cdot X^{{\alpha }_i{s}_i})=(a^{\prime },b^{\prime })$$
然后计算
$$a^{\prime }\cdot RLW{E}_s^{\prime }(s^2)+(b^{\prime },0)=RLW{E}_s(a^{\prime }{s}^2+b^{\prime }s)=RLW{E}_s(as\cdot X^{{\alpha }_i{s}_i})$$
最后计算出
$$RLW{E}_s(as\cdot X^{{\alpha }_i{s}_i})+RLW{E}_s(b\cdot X^{{\alpha }_i{s}_i})=RLW{E}_s(f\cdot X^{{\alpha }_i{s}_i})$$
对于每个 $i$ 都这么计算，最终可以获得 $RLW{E}_s(f\cdot X^u)$

此外，特别是对于三元秘密，根据 [MP21] 选取 U = { − 1 , + 1 } U = \{-1,+1\} U={−1,+1}，此时可以将关于 $U$ 的内循环崩溃为一次运算。这使得 ACC 的外积运算减少一半，从而三元秘密的盲旋转速度加倍。不过，这种技巧仅用于三元的，无法推广到其他私钥分布。