Full Domain PBS

参考文献：

1. [CLOT21] Chillotti I, Ligier D, Orfila J B, et al. Improved programmable bootstrapping with larger precision and efficient arithmetic circuits for TFHE[C]//Advances in Cryptology–ASIACRYPT 2021: 27th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, December 6–10, 2021, Proceedings, Part III 27. Springer International Publishing, 2021: 670-699.
2. [LHH+21] Lu W, Huang Z, Hong C, et al. PEGASUS: bridging polynomial and non-polynomial evaluations in homomorphic encryption[C]//2021 IEEE Symposium on Security and Privacy (S&P). IEEE, 2021: 1057-1073.
3. [LMP22] Liu Z, Micciancio D, Polyakov Y. Large-precision homomorphic sign evaluation using FHEW/TFHE bootstrapping[C]//International Conference on the Theory and Application of Cryptology and Information Security. Cham: Springer Nature Switzerland, 2022: 130-160.
4. [KS23] Kluczniak K, Schild L. FDFB: Full Domain Functional Bootstrapping Towards Practical Fully Homomorphic Encryption[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2023: 501-537.
5. 消除 TFHE 的限制：WoP-GenPBS-CSDN博客
6. Large-Precision Sign using PBS-CSDN博客

Review

在原始的 PBS 中，由于二的幂次分圆环是一个反循环卷积环，这导致 LUT 必须是反循环函数。除了单比特的一元运算，多比特的任意函数并不能仅通过反循环函数以及仿射变换来实现。为了计算任意的函数，需要一个 Padding Bit 在 MSB 位置，这不仅导致明文空间缩小，还使得仿射变换之后必须执行 PBS 清理掉 Padding Bit，从而可以继续下一次仿射变换。

[CLOT21] 提出了 WoP-PBS，它使用 BV-like 同态乘法。给定 $m$ 的 LWE 密文（MSB 编码），令 $f$ 是任意函数。

1. 第一个版本：首先利用 Module-Raise 强行提升 $1$ 比特模数，然后对消息 $\beta \Vert m$ 自举获得带符号的函数值 $(-1{)}^{\beta }\cdot f(m)$，其中 $\beta$ 是 $Q$-overflow 的最低比特（随机的）。接着对消息 $\beta \Vert m$ 再次自举获得符号本身 $(-1{)}^{\beta }$，两者做 LWE 同态相乘得到 $f(m)$ 结果。共计 2 次 PBS，但是 LUT 规模扩大一倍。
2. 第二个版本：切分原始消息为 $m=\beta \Vert m^{\prime }$，然后把函数 $f(m)$ 划分为两个子函数 $f(0\Vert m^{\prime })$ 以及 $f(1\Vert m^{\prime })$，它们的 LUT 大小都是原始 LUT 大小的一半，因此可以占用反循环 PBS 的一半空间来实现。接着，再一次 PBS 获得 $\beta$ 的值，使用 LWE 同态乘法来构建 CMux Gate 挑选正确的 $f(\beta \Vert m^{\prime })$ 结果。共计 3 次 PBS，保持 LUT 规模不变。

[LMP22] 提出了 Homomorphic Floor Function，它是通过迭代执行 PBS 算法。给定高精度 $m$ 的 LWE 密文（MSB 编码），提取它的符号。

1. 第一个版本：使用 Module-Down 截取出 $m$ 的一些低位（MSB 编码的 LWE 密文），接着做 PBS 提取出它的 MSB 从原始密文中减掉，再次截取低位就得到了 MSB 为零的 LWE 密文，从而做 PBS 提取出这些比特并从原始密文中减掉，这就消除了 $m$ 最低的一些比特位。共计 2 次 PBS，但是要求噪声的规模小于 $\Delta /4$ 保证正确性。
2. 第二个版本：由于 $[-1,0\Vert 1,0]$ 是反循环函数，使用它可以将 $[0b00,0b01,0b10,0b11]$ 转变为 $[0b11,0b01,0b11,0b11]$，于是容易将第二高的比特清理掉。现在我们在截取后的消息的 MSB 和 LSB 之间构造了一个零的沟壑，我们使用第一个版本的技术来消除这些低位比特。共计 3 次 PBS，噪声的仅需小于 $\Delta /2$ 即可。
3. PBS of Arbitrary Function：也是首先利用 Module-Raise 强行提升 $1$ 比特模数，但是对消息 $\beta \Vert m$ 先自举得到 $\beta$ 并减掉，接着再对 $0\Vert m$ 自举得到 $f(m)$ 的结果。共计 2 次 PBS，但是 LUT 规模扩大一倍。

[KS23] 使用了类似于 [CLOT21] 第二个版本的算法。既不是使用 BV-like 同态乘法（张量积，噪声增长快），也不是使用 [CGGI17] 的 OBDD 自动机（GSW 外积，需要电路自举）。他们首先使用 PBS 提取符号位，然后根据符号位从两个初始 ACC 中选择一个，再对选出的 ACC 执行自举 获得正确结果。共计 2 次 PBS（为了降低噪声，使用了 Decompose，导致 PBS 的次数会更多，且无法批处理），并且保持 LUT 规模不变。

FDFB

Symbol

[KS23] 定义的一些记号：

• 噪声的方差上界 $B$，MLWE 矩阵维度 $n$，分圆环维度 $N$，模数 $q$
• Base $L$，分解长度 $l=\lceil {\log }_{L}q\rceil$，Gadget 向量 $g_{l,L}=[L^{i-1}{]}_{i=1}^L\in {\mathbb{N}}^l$，Gadget 矩阵 $G_{l,L,k}=I_k\otimes g_{l,L}\in {\mathbb{N}}^{kl\times k}$
• GLWE 密文，$GLW{E}_{B,n,N,q}(s,m)=(b=a^{T}s+m+e,a)\in {\mathcal{R}}_{N,q}^{n+1}$
  • LWE 密文，$GLW{E}_{B,n,1,q}(s,m)\in {\mathbb{Z}}_q^{n+1}$
  • RLWE 密文，$GLW{E}_{B,1,N,q}(s,m)\in {\mathcal{R}}_{N,q}^2$
• GGSW 密文，$GGS{W}_{B,n,N,q}(s,m)=A+m{G}_{l,L,n+1}\in {\mathcal{R}}_{N,q}^{(n+1)l\times (n+1)}$
  • GSW 密文，$GGS{W}_{B,n,1,q}(s,m)\in {\mathbb{Z}}_q^{(n+1)l\times (n+1)}$
  • RGSW 密文，$GGS{W}_{B,1,N,q}(s,m)\in {\mathcal{R}}_{N,q}^{2l\times 2}$
• 缩放因子 ${\Delta }_{q,t}=\lfloor q/t\rceil$，舍入函数 $\lfloor a{\rceil }_t^q=\lfloor t/q\cdot ({\Delta }_{q,t}\cdot a)\rceil$

此外 [KS23] 回顾了各种同态运算的噪声增长，略。

ACC Builder

[KS23] 利用 Public 版本的 CMux Gate 构建了一个 ACC Builder：使用控制位 m ∈ { 0 , 1 } m \in \{0,1\} m∈{0,1} 的密文，挑选两个明文多项式 $p_0,p_1\in {\mathcal{R}}_{N,q}$。为了控制噪声增长，他们使用了数字分解技术，用 GLWE 加密控制位的各个 power-of-$L$，通过线性同态来计算出 $(1-m)\cdot p_0+m\cdot p_1\in {\mathcal{R}}_{N,q}$，

它们的正确性以及噪声增长：

假设 KS 的噪声增长很小，那么 $B_{out}$ 的大小主要受 $L^2\cdot {\log }_{L}q$ 影响。需要选取 $L\ll \sqrt{q}$ 才能正确解密，因此分解出的位数 $l\ge 3$，导致需要很多次 PBS 分别求出各个 $ac{c}_i$，并且它们无法批处理。

Full Domain PBS

[KS23] 采用了 GINX/TFHE 自举策略，以及 [MP21] 的私钥分解技术。给定 LWE 私钥 $s\in {\mathbb{Z}}_q^n$，根据它的分布来选择集合 $\vec{u}\in {\mathbb{Z}}^u$，使得 $s_i={\sum }_j{x}_{ij}{u}_j$，其中 ${\vec{x}}_i\in {\mathbb{B}}^u$ 是分量 $s_i$ 的组合系数。盲旋转的时候，使用 $RGSW(x_{ij})$ 作为 BSK，控制 CMux Gate 选择 $ACC$ 或者 $X^{a{u}_j}\cdot ACC$。我们将这个过程记为 $BlindRotate(BSK,ACC,LWE,u)$

[KS23] 的 Full Domain PBS 的具体流程是：

1. 输入 $ct=LWE(m)$ 以及任意函数 $f:{\mathbb{Z}}_t\to {\mathbb{Z}}_Q$
2. 将函数 $f\in {\mathbb{Z}}_Q^t$（函数就是向量）划分为两个子函数 $f_0\Vert f_1$，构造它们的冗余 LUT 多项式 $P_0,P_1$
3. 对密文 $ct$ 做 PBS，计算它的符号位的 LWE 密文，这里生成了 power-of-$L$ 来控制 PubMux 的噪声增长
4. 利用 PubMux 选择性地构造出 $P_0$ 或者 $P_1$ 对应的初始 ACC
5. 再次对密文 $ct$ 做 PBS，计算出 $f(m)$ 的正确结果
6. 密钥切换、模切换，输出合适的 LWE 密文

与 [CLOT21] 的区别是：这里使用 PubMux 来挑选一个 ACC 的初始值（标量乘法，弱线性同态 + 数字分解），而他们则使用 LWE-Mul 来挑选两个 ACC 的最终值（非标量乘法，张量积 + 秘钥切换）。

我们根据任意函数 $f$ 的冗余版本 $F=F_0\Vert F_1\in {\mathbb{Z}}_Q^{2N}$，构造两个反循环 LUT 的多项式。根据 Blind Rotation 的要求，$ACC\cdot X^m$ 的常数项是 $F(m)$，

• 对于区间 $m\in [0,N-1]$ 的子函数 $F_0$，构造多项式 $P_0$，
  1. 对于 $m=0$，需要 $F[0]\cdot X^{-0}=F[0]$，即 $P_0[0]=F[0]$
  2. 对于 $m\in [1,N-1]$，需要 $F[m]\cdot X^{-m}=-F[m]\cdot X^{N-m}$，即 $P_0[N-m]=-F[m]$
• 对于区间 $m\in [N,2N-1]$ 的子函数 $F_1$，构造多项式 $P_1$，
  1. 对于 $m=N$，需要 $F[N]\cdot X^{-N}=-F[N]$，即 $P_1[0]=-F[N]$
  2. 对于 $m\in [N+1,2N-1]$，需要 $F[m]\cdot X^{-m}=F[m]\cdot X^{2N-m}$，即 $P_1[2N-m]=F[m]$

如图所示：

在上述算法中，为了 PubMux 的噪声控制，[KS23] 多次调用 PBS 来生成 power-of-$L$ 的各个 LWE 密文。是否可以减少自举调用次数？

1. 注意到它们都是对同一个密文 $c{t}_N$ 的自举，我们可以使用 Multi-output PBS，先初始化 ACC 为符号函数（取值 $\pm \Delta /2$ 而非 $0,\Delta$），盲旋转结束后使用不同 LUT 的一阶差分来数乘
2. 其实这些 LUT 就是不同缩放因子 $L_{boot}^{i-1}$ 下的符号函数，因此它们的一阶差分就是常数多项式 $L_{boot}^{i-1}/2-(-L_{boot}^{i-1}/2)=L_{boot}^{i-1}$
3. 对比直接把 $L_{boot}^{i-1}\cdot sgnP$ 初始化到 ACC 中，最后乘以 Test Vector 会导致错误的额外增长。因为最大的是 $L_{boot}^{l_{boot}-1}\in [Q/L_{boot},Q)$，导致自举噪声必然会淹没消息。

主要原因是 $f:{\mathbb{Z}}_t\to {\mathbb{Z}}_Q$ 的值域模数是 $Q$，对它做分解需要很大的 powers $L_{boot}^{l_{boot}-1}$，导致最后的 TV 范数太大。可以减小待计算函数的值域范围。因为相位的 LSB 就是噪声而已，把它写入函数值没有意义。可以设置 $f={\Delta }_{Q,t^{\prime }}\cdot f^{\prime }$，其中的 $f^{\prime }:{\mathbb{Z}}_t\to {\mathbb{Z}}_{Q^{\prime }},Q^{\prime }=Q/{\Delta }_{Q,t^{\prime }}$ 范数较低，然后把 ${\Delta }_{Q,t^{\prime }}$ 放在初始化 ACC 的符号函数里面，而低范数的 $f^{\prime }$ 的一阶差分放在 TV 里面。此时的 $f^{\prime }$ 对应的多项式 $p_0,p_1$ 也是低范数的，PubMux 甚至不需要做数字分解就可以支持线性同态。或者限制输入的噪声范围。通过 Mod-Switch 以及 Mod-Up 使得 LWE 密文相位的最低 $\log l_{boot}$ 比特都是零，跳跃式的盲旋转，可以把 $l_{boot}$ 个函数打包到同一个 ACC 中。这要求 $l_{boot}$ 是较小的数，并且模切换 $Q\to Q/l_{boot}$（丢弃最低 $\log l_{boot}$ 比特）引起的 $e_{ms}$ 不会导致解密错误。

Application

受益于 Full Domain，现在 LWE 密文没有 Padding Bit，因此仿射变换基本是免费的（只要噪声不会变的太大）

• 对于乘法运算，利用 $x\cdot y=((x+y)/2{)}^2-((x-y)/2{)}^2$，可以使用两次 FD-PBS 来计算平方，其余的运算都是仿射变换。由于不需要 tensor product，因此噪声增长很小，要求的参数规模不大。
• 对于 Max/Min 运算，可以转化为 $\max (x-y,0)+y$ 以及 $\min (x-y,0)+y$，于是只需要一次 FD-PBS
• 对于同一个 $m$ 上的多个函数，算法中的 $ac{c}_{c,i}$ 计算出的 powers 是可以复用的，只需改变 step 9-15 的运算
• 对于更大的明文模数，可以使用 CRT 技术，但这只适用于一些特殊的函数，它们需要按照 CRT 分裂为子函数

Preformance

参数集：

手写神经网络：

仿射变换：