Small and Fast Blind Rotation via Automorphisms

参考文献：

1. [Dv21] Ducas L, van Woerden W. NTRU fatigue: how stretched is overstretched?[C]//Advances in Cryptology–ASIACRYPT 2021: 27th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, December 6–10, 2021, Proceedings, Part IV 27. Springer International Publishing, 2021: 3-32.
2. [LMK+23] Lee, Y. et al. (2023). Efficient FHEW Bootstrapping with Small Evaluation Keys, and Applications to Threshold Homomorphic Encryption. In: Hazay, C., Stam, M. (eds) Advances in Cryptology – EUROCRYPT 2023. EUROCRYPT 2023. Lecture Notes in Computer Science, vol 14006. Springer, Cham. https://doi.org/10.1007/978-3-031-30620-4_8
3. [XZD+23] Xiang, B., Zhang, J., Deng, Y., Dai, Y., Feng, D. (2023). Fast Blind Rotation for Bootstrapping FHEs. In: Handschuh, H., Lysyanskaya, A. (eds) Advances in Cryptology – CRYPTO 2023. CRYPTO 2023. Lecture Notes in Computer Science, vol 14084. Springer, Cham. https://doi.org/10.1007/978-3-031-38551-3_1

文章 [LMK+23] 提出了一种新的盲旋转方式，使用自同构 $X\to X^t$ 实现盲旋转，而非 AP/FHEW 或者 GINX/TFHE 的自举方式。文章的目标是使得盲旋转算法支持任意的私钥分布，保持较高的计算速度，同时显著减小自举秘钥的规模。另外，由于 Threshold-FHE 以及 Multi-Key FHE 的分布式秘钥生成的秘钥分布不是二元的，因此本文的自举算法容易扩展到两者。

文章 [XZD+23] 提出了一种特殊形式密文的 NTRU-based GSW-like 加密方案，其秘钥切换过程的效率和同态外积的效率一样。由于 KS 过程很快，且 NTRU 比 RLWE 少一半的环元素，这使得新的盲旋转算法的计算速度很快。

LMK+23

使用环自同构来实现盲旋转的基本思路是：输入 $f(X)$，首先执行 ${\psi }_{1/\alpha }(f)=f(X^{1/\alpha })$，然后计算 $f(X^{1/\alpha })\cdot X^s$，最后执行 ${\psi }_{\alpha }(f(X^{1/\alpha })\cdot X^s)=f(X)\cdot X^{\alpha s}$。通过迭代，可以实现 $f\cdot X^{b-⟨a,s⟩}$ 的计算。

首先定义四种密文：

定义 $RLW{E}^{\prime }$ 的数乘运算 $\odot$，定义 $RLWE$ 和 $RGSW$ 的外积运算 $⊛$，

容易定义 RLWE 密文的密钥切换以及自同构，

New Blind Rotation via Automorphisms

[LMK+23] 使用 ring automorphisms 以及相应的 KS 过程实现盲旋转。而 AP/FHEW 和 GINX/TFHE 都是使用指数上加法（密文外积）实现的。

选取 $N$ 是二的幂次，RLWE 密文的代数结构是 $R={\mathbb{Z}}_Q[X]/({\Phi }_{2N}(X))$，自同构群同构于 Z 2 N ∗ = { 1 , 3 , ⋯   , 2 N − 1 } \mathbb Z_{2N}^* = \{1,3,\cdots,2N-1\} Z2N∗​={1,3,⋯,2N−1}。因此令 $q=2N$，我们假设 LWE 密文的各个系数都是奇数，从而存在对应的自同构。对于 $N\ge 8$，存在同构 ${\mathbb{Z}}_{2N}^{\ast }\cong {\mathbb{Z}}_{N/2}\otimes {\mathbb{Z}}_2$，生成集是 { g , − 1 } \{g,-1\} {g,−1}（可选取 $g=5$），其中 $g^{N/2}=1(\mathrm{mod}2N)$

给定 LWE 密文 $(\alpha ,\beta )\in {\mathbb{Z}}_q^{n+1}$，可以将它写成 ${\alpha }_i=\pm g^{k_i}$ 的形式。我们定义指示函数（符号、指数），
I l + = { i : α i = + g l } ,    I l − = { i : α i = − g l } I_l^+=\{i:\alpha_i=+g^l\},\,\, I_l^-=\{i:\alpha_i=-g^l\} Il+​={i:αi​=+gl},Il−​={i:αi​=−gl}
利用 Horner 法则，以及 $g^{N/2}=1(\mathrm{mod}2N)$ 条件，可以写出：
$$\begin{array}{rl}\sum _i{\alpha }_i{s}_i& =\sum _l\sum _{j\in I_l^{+}}{g}^l{s}_j-\sum _l\sum _{j\in I_l^{-}}{g}^l{s}_j\\ & =(\sum _{j\in I_0^{+}}{s}_j+\cdots +g(\sum _{j\in I_{N/2-1}^{+}}{s}_j-g(\sum _{j\in I_0^{-}}{s}_j+\cdots +g(\sum _{j\in I_{N/2-1}^{-}}{s}_j\left)\right)\left)\right)\end{array}$$
如果初始化 ACC 加密 $f^{\prime }(X)$，设置 $br{k}_i=RGS{W}_z(X^{s_i})$，以及 ${\tau }_g,{\tau }_{-g}$ 对应的密钥切换密钥 $RLW{E}_z^{\prime }({\tau }_j(z))$。迭代的执行外积（指数上的加法）和自同构（指数上的数乘），则 ACC 的变化流程是：
$$\begin{array}{rl}& RGS{W}_z\left(f^{\prime }(X^g)\cdot X^{{\sum }_{j\in I_{N/2-1}^{-}}{\alpha }_i{s}_i}\right)\\ & RGS{W}_z\left(f^{\prime }(X^{g^2})\cdot X^{{\sum }_{j\in I_{N/2-2}^{-}}{\alpha }_i{s}_i+{\sum }_{j\in I_{N/2-1}^{-}}{\alpha }_i{s}_i}\right)\\ & \cdots \\ & RGS{W}_z\left(f^{\prime }(X^{g^{N/2-1}})\cdot X^{{\sum }_{l\ge 1}{\sum }_{j\in I_l^{-}}{g}^l{s}_j}\right)\\ & RGS{W}_z\left(f^{\prime }(X^{-1})\cdot X^{-{\sum }_{l\ge 0}{\sum }_{j\in I_l^{-}}{g}^l{s}_j}\right)\\ & \cdots \\ & RGS{W}_z\left(f^{\prime }(X^{-g^{N/2-1}})\cdot X^{{\sum }_{l\ge 1}{\sum }_{j\in I_l^{+}}{g}^l{s}_j-{\sum }_{l\ge 0}{\sum }_{j\in I_l^{-}}{g}^l{s}_j}\right)\end{array}$$

最后一次外积不需要做自同构，最终获得：
$$RGS{W}_z\left(f^{\prime }(X^{-g^{N/2-1}})\cdot X^{{\sum }_{l\ge 0}{\sum }_{j\in I_l^{+}}{g}^l{s}_j-{\sum }_{l\ge 0}{\sum }_{j\in I_l^{-}}{g}^l{s}_j}\right)=RGS{W}_z\left(f^{\prime }(X^{-g^{N/2-1}})\cdot X^{{\sum }_i{\alpha }_i{s}_i}\right)$$
只要设置 LUT 成为 $f^{\prime }(X)=f(X^{-g})\cdot X^{g^{\beta }}$，就可以获得 $f(X)\cdot X^{\beta +⟨\alpha ,s⟩}$ 的密文，这实现了盲旋转过程。

Reduce the Number of Automorphisms

由于一共只有 $n$ 个 ${\alpha }_i$，因此存在许多的 $I_l^{\pm }$ 是空集（一般地 $N>n$），那么就会出现很多连续的 $g(g(g\cdots ))=g^u$ 自同构运算，它们可以合并起来。当然，这就需要更多的对应 KSK，需要做存储开销的权衡。[LMK+23] 设置了一个 window size，实验确定 $w=10$ 是个较好的值，取更大不会带来更多效率提升。

Dealing with Even Ctxt

为了处理 LWE 密文的偶数系数，[LMK+23] 给出了多种变体。

Memory Efficient

如果遇到偶数 ${\alpha }_i$，我们设置 $w_i={\alpha }_i-1$；奇数就简单设置 $w_i={\alpha }_i$。在盲旋转过程中，简单使用 $\vec{w}$ 执行。最后对其结果再乘上全部的偶数 ${\alpha }_i$ 对应的 $br{k}_i$（将减去的 $1$ 加回来）。算法为：

这个算法需要额外的乘法运算，效率降低。

Computation Efficient

另一种方法是寻找 ${\sum }_i{\alpha }_i{s}_i={\sum }_i{\alpha }_i^{\prime }{s}_i^{\prime }$，使得全部的 ${\alpha }_i^{\prime }$ 都是奇数。我们强制 ${\alpha }_0$ 是奇数；如果不是，那么全部的 ${\alpha }_i+1$，并在 ACC 初值额外 $-{\sum }_i{s}_i$ 做平衡。

设置 ${\alpha }_0^{\prime }={\alpha }_0$ 是奇数，第 $i=0,\cdots ,n-2$ 步运算：

• 如果 ${\alpha }_{i+1}$ 是奇数，那么设置 ${\alpha }_{i+1}^{\prime }={\alpha }_{i+1}$，并简单设置 $s_i^{\prime }=s_i$
• 如果 ${\alpha }_{i+1}$ 是偶数，那么设置 ${\alpha }_{i+1}^{\prime }={\alpha }_{i+1}-{\alpha }_i^{\prime }$，并设置 $s_i^{\prime }=s_i+s_{i+1}$ 补偿平衡
• 最终设置 $s_{n-1}^{\prime }=s_{n-1}$

易知 ${\alpha }_i^{\prime }$ 都是奇数，且它们满足所需的等式。除了 $br{k}_i=RGSW(X^{s_i})$，我们额外准备 $br{k}_i^{\ast }=RGSW(X^{s_i+s_{i+1}})$，算法为：

这个算法的 BK 规模更大。

Case q = N

假如 $q=N$ 已经足够使得解密失败率可忽略，此时可以将 LWE 密文整体放大两倍，于是 $(\alpha ,\beta )(\mathrm{mod}N)\to 2(\alpha ,\beta )(\mathrm{mod}2N)$ 的系数全都是偶数。整体加一成为奇数，在 ACC 初值中把它们减去即可。

在 [XZD+23] 中也是采取了这个约束。

Round-to-Odd

[LMK+23] 最后提出，可以在模切换的时候直接输出奇数的密文。定义 $\lfloor \cdot {\rceil }_{odd}$ 是就近舍入到奇数，如果最靠近零则直接舍入到零。那么
$$(\alpha ,\beta )\in {\mathbb{Z}}_Q^{n+1}\to (\lfloor 2N/Q\cdot \alpha {\rceil }_{odd},\lfloor 2N/Q\cdot \beta {\rceil }_{odd})\in {\mathbb{Z}}_{2N}^{n+1}$$
它的系数就全都是奇数（或者零），自举算法是直接的：

它的模切换舍入噪声等于模切换到 $N$，这比模切换到 $2N$ 偏大。

Implementation

复杂度分析：[LMK+23] 新自举算法的 BK 规模更小，计算复杂度比 TFHE 更好（对于三元或更大的秘密），并且噪声增长也更小（更紧凑的参数集）

效率测试：解密失败率较低，自举秘钥规模显著更小，计算速度仅比二元秘密的 TFHE 略慢

XZD+23

NTRU-Based GSW-Like Encryption

[XZD+23] 提出了支持高效 KS 过程的 NTRU-based FHEW-like 方案。

scalar NTRU ciphertexts：噪声 $g\in R_Q$，私钥 $f\in R_Q$，两者都是短的多项式，且后者是可逆的。消息 $u\in R$，其密文形如
$$NTR{U}_{Q,f,\tau ,\Delta }(u)=\tau \cdot g/f+\Delta \cdot u/f\in R_Q$$
其中的整数 $(\tau ,\Delta )$ 是用于编码的，对于 Regev-like、BGV-like、CKKS-like 的编码方式，参数分别为：

通常的 NTRU 密文形如 $c=t\cdot g/f+m$，上述的密文可以视为加密了 $m=u/f$（存在快速秘钥切换），这是 key-dependent message，因此它需要 KDM security 假设。在 FHE 自举中总是需要循环安全假设，因此安全性降低可忽略。

vector NTRU ciphertexts：类似于 RLWE 扩展到 RGSW 的过程，为了更好地支持同态乘法，我们需要将 NTRU 密文扩展到向量版本，
$$NTR{U}_{Q,f,\tau }^{\prime }(v)=(\tau \cdot g_0/f+B^{0}v,\cdots ,\tau \cdot g_{d-1}/f+B^{d-1}v)\in R_Q^d$$
其中 $g_0,\cdots ,g_{d-1}$ 都是小噪声，它的安全性可归约到一个向量版本的 NTRU 假设。

容易想到数乘运算：给定 $c\in R_Q$，给定 $c^{\prime }=NTR{U}^{\prime }(v)\in R_Q^d$，
$$c\odot c^{\prime }=⟨Deco{m}_B(c),c^{\prime }⟩=\tau \cdot \sum _{i=0}^{d-1}{c}_i{g}_i/f+cv\in R_Q$$
由于 NTRU 密文本身就是单个 $R_Q$ 环元素，容易验证：

1. 同态乘法：输入 $c=NTR{U}_f(u)$，给定 $c^{\prime }=NTR{U}_f^{\prime }(v)$，那么 $c\odot c^{\prime }=NTR{U}_f(uv)$
2. 密钥切换：输入 $c=NTR{U}_{f_1}(u)$，给定 $c^{\prime }=NTR{U}_{f_2}^{\prime }(f_1/f_2)$，那么 $c\odot c^{\prime }=NTR{U}_{f_2}(u)$

两者都只需执行 $d$ 次环元素乘法。

同态自同构运算，就是先对密文（一个环元素）执行自同构映射 ${\psi }_t:a(X)\to a(X^t)$，然后执行 $f(X^t)\to f(X)$ 的秘钥切换。由于前者仅仅是系数的带符号置换，主要的开销就是 KS 过程。

Fast Blind Rotation in the NTRU Setting

遵循 FHEW/TFHE 的盲旋转框架。假设 $q|2N$，令 $Y=X^{2N/q}$ 是阶 $q$ 的单位根，给定 LWE 密文 $(\vec{a},b)\in {\mathbb{Z}}_q^{n+1}$，我们需要计算
$$r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_i{a}_i{s}_i}=r(Y)\cdot Y^{-noised(m)}$$
我们只考虑 Regev-like 编码方式。设置 $r(Y)=\cdot {\sum }_{i=0}^{q-1}[i/\lfloor q/t\rceil {]}_t\cdot Y^{-i}$，那么旋转后的常数项就是 $m\in {\mathbb{Z}}_Q$ 的纠错结果。

[XZD+23] 利用自同构来实现 $Y^{s_i}\to Y^{a_i{s}_i}$ 的计算，因此私钥分布可以是任意的。由于 $N$ 是二的幂次，从而只有 { 1 , 3 , 5 , ⋯   , 2 N − 1 } \{1,3,5,\cdots,2N-1\} {1,3,5,⋯,2N−1} 具有对应的自同构映射，它们都是奇数。然而，$a_i$ 可能是偶数。

[XZD+23] 通过加强约束 $q|N$，然后可以使得指数整体上总是偶数，从而可以将它们都变成奇数，
$$\begin{array}{r}r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_i{a}_i{s}_i}=r(Y)\cdot Y^{-b}\cdot X^{{\sum }_i(2N/q\cdot a_i+1)s_i}\cdot X^{{\sum }_i-s_i}\end{array}$$
简记 $w_i=2N/q\cdot a_i+1$，易知它是奇数。我们令 S = { 2 N i / q + 1 : 1 ≤ i ≤ q − 1 } S=\{2Ni/q+1: 1\le i\le q-1\} S={2Ni/q+1:1≤i≤q−1}，那么 S ∪ { 1 } S \cup \{1\} S∪{1} 就是全部的可能取值。我们需要 $S$ 指示的那些自同构映射，以及对应的 KS 过程。

此外，由于采取了特殊形式的 NTRU 密文，$NTRU(u)=\tau \cdot g/f+\Delta \cdot u/f$，其中 $f$ 是私钥。这导致给定常数 $u$，在没有 $f$ 信息的情况下无法构造出对应的密文，即使噪声 $g=0$ 也不行。但是 ACC 的初值应当加密 $r(Y)\cdot Y^{-b}$，这是自举时确定的常数。[XZD+23] 的方法是在 evaluation key 中添加 $f$ 的信息（而 TFHE/FHEW 的自举秘钥只需要含有 $s$ 的信息）

由于 $w_i=2N/q\cdot a_i+1$ 总是属于 S ∪ { 1 } S \cup \{1\} S∪{1}，因此它们都是模 $2N$ 可逆的，记为 $w_i^{\prime }=[w_i^{-1}{]}_{2N}$。额外地设置 $w_n^{\prime }=1$，它用于清理掉无用数据。

首先，计算初始值 $r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }}$，将它加密到 ACC 中，
$$\begin{array}{rl}{c}_0(X)& =(\Delta \cdot r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }})\odot ev{k}_0\\ & =NTR{U}_{Q,f}\left(r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }}\cdot X^{s_0}\right)\end{array}$$
接着利用自同构 $X\to X^{w_0{w}_1^{\prime }}$，可以计算出
$$c_0^{\prime }(X)=c_0(X^{w_0{w}_1^{\prime }})=NTR{U}_{Q,f(X^{w_0{w}_1^{\prime }})}\left(r(Y^{w_1^{\prime }})\cdot Y^{-b{w}_1^{\prime }}\cdot X^{w_0{w}_1^{\prime }{s}_0}\right)$$
最后利用 KS 过程，获得
$$\begin{array}{rl}{\hat{c}}_0(X)& =c_0^{\prime }(X)\odot ks{k}_{w_0{w}_1^{\prime }}\\ & =NTR{U}_{Q,f}\left(r(Y^{w_1^{\prime }})\cdot Y^{-b{w}_1^{\prime }}\cdot X^{w_0{s}_0\cdot w_1^{\prime }}\right)\end{array}$$
这就计算出了 $w_0{s}_0$ 的部分。接着，对于 $1\le i\le n-1$ 迭代执行：

1. 计算外积（插入 $s_i$）

$$\begin{array}{rl}{c}_i(X)& ={\hat{c}}_{i-1}(X)\odot ev{k}_i\\ & =NTR{U}_{Q,f}\left(r(Y^{w_i^{\prime }})\cdot Y^{-b{w}_i^{\prime }}\cdot X^{({\sum }_{j=0}^{i-1}{w}_j{s}_j)\cdot w_i^{\prime }+s_i}\right)\end{array}$$

2. 计算自同构（内积 $w_i{s}_i$）

$$c_i^{\prime }(X)=c_i(X^{w_i{w}_{i+1}^{\prime }})=NTR{U}_{Q,f(X^{w_i{w}_{i+1}^{\prime }})}\left(r(Y^{w_{i+1}^{\prime }})\cdot Y^{-b{w}_{i+1}^{\prime }}\cdot X^{({\sum }_{j=0}^i{w}_j{s}_j)\cdot w_{i+1}^{\prime }}\right)$$

3. 执行秘钥切换（回到 $f$ 下）

$$\begin{array}{rl}{\hat{c}}_i(X)& =c_i^{\prime }(X)\odot ks{k}_{w_i{w}_{i+1}^{\prime }}\\ & =NTR{U}_{Q,f}\left(r(Y^{w_{i+1}^{\prime }})\cdot Y^{-b{w}_{i+1}^{\prime }}\cdot X^{({\sum }_{j=0}^i{w}_j{s}_j)\cdot w_{i+1}^{\prime }}\right)\end{array}$$

最后的最后，计算并输出
$$\begin{array}{rl}{c}_n& ={\hat{c}}_{n-1}(X)\odot ev{k}_n\\ & =NTR{U}_{Q,f}\left(r(Y^{w_n^{\prime }})\cdot Y^{-b{w}_n^{\prime }}\cdot X^{({\sum }_{j=0}^{n-1}{w}_j{s}_j)\cdot w_n^{\prime }}\cdot X^{-{\sum }_{j=0}^{n-1}{s}_j}\right)\\ & =NTR{U}_{Q,f}\left(r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_{j=0}^{n-1}{a}_j{s}_j}\right)\end{array}$$
易知，这完成了 $r(Y)$ 盲旋转 $⟨a,s⟩-b$ 的任务。完整的盲旋转算法：

解下来的问题是如何从 NTRU 密文，提取出 LWE 密文。给定 $c=NTR{U}_{Q,f}(u)$，其中 $(\tau =1,\Delta =\lfloor Q/t\rceil )$，那么解密为
$$fc=g+\Delta u\in R_Q$$
其中 $g$ 是短的，$u$ 的常数项是 $m$，所以 $⟨f,c^{\prime }⟩=g_0+\Delta m$，其中 $c^{\prime }=(c_0,-c_{N-1},\cdots ,-c)$ 是反序的系数。那么，可构造出 LWE 密文：
$$LW{E}_{Q,f}(m)=((c_0,-c_{N-1},\cdots ,-c),0)\in {\mathbb{Z}}_Q^{n+1}$$
只要 $g_0/Q\ll e/q$，这里 $e$ 是自举前 LWE 密文噪声，那么自举就是有效的。

Bootstrapping

LWE-based

对于 LWE 密文的自举，是容易的。

RLWE-based

对于 RLWE 密文的自举，先提取出 $n$ 个 LWE 密文，然后分别自举，最后利用 [MS18] 的密文堆叠打包的技术回到 RLWE 密文。

Analysis and Comparisons

选取的参数集：NTRU 问题的模数 $Q$ 过度拉伸，会导致有效的子域攻击；[Dv21] 设计了评估器，给出了疲劳点 $Q\approx 0.004\cdot N^{2.484}$。[XZD+23] 给的参数集却是按照 $Q<N^{2.484}$ 来选取的（似乎有安全问题啊）

复杂度分析：[XZD+23] 盲旋转的渐进复杂度最低，

噪声分析：[XZD+23] 盲旋转的噪声增长最小，

实际性能：[XZD+23] 盲旋转的计算效率最好，