Simple ThFHE with poly ratio via Rényi Divergence

参考文献：

1. [Renyi61] Rényi A. On measures of entropy and information[C]//Proceedings of the fourth Berkeley symposium on mathematical statistics and probability, volume 1: contributions to the theory of statistics. University of California Press, 1961, 4: 547-562.
2. [CDI05] Cramer R, Damgård I, Ishai Y. Share conversion, pseudorandom secret-sharing and applications to secure computation[C]//Theory of Cryptography: Second Theory of Cryptography Conference, TCC 2005, Cambridge, MA, USA, February 10-12, 2005. Proceedings 2. Springer Berlin Heidelberg, 2005: 342-362.
3. [EH14] Van Erven T, Harremos P. Rényi divergence and Kullback-Leibler divergence[J]. IEEE Transactions on Information Theory, 2014, 60(7): 3797-3820.
4. [BGG+18] Boneh D, Gennaro R, Goldfeder S, et al. Threshold cryptosystems from threshold fully homomorphic encryption[C]//Advances in Cryptology–CRYPTO 2018: 38th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 19–23, 2018, Proceedings, Part I 38. Springer International Publishing, 2018: 565-596.
5. [BDG+19] Brakerski Z, Döttling N, Garg S, et al. Leveraging linear decryption: Rate-1 fully-homomorphic encryption and time-lock puzzles[C]//Theory of Cryptography Conference. Cham: Springer International Publishing, 2019: 407-437.
6. [BS23] Boudgoust K, Scholl P. Simple Threshold (Fully Homomorphic) Encryption from LWE with Polynomial Modulus[C]. ASIACRYPT (1) 2023: 371-404.
7. LSSS & MSP
8. Linear Decryption
9. FHE Circuit Privacy
10. Universal Thresholdizer
11. Renyi Entropy & Renyi Divergence

[BS23] 在安全定义中使用 Rényi Divergence 替换了原本的 statistical distance，给出了多项式模数的简单 ThFHE 方案。由于 Renyi 散度不兼容 IND-CPA 安全性，他们首先构造了 OW-CPA ThFHE，然后再转化为 IND-CPA ThFHE。

Distance by Rényi Divergence

Renyi Entropy

[Renyi61] 引入一个 order 参数 $\alpha \in (0,1)\cup (1,\infty )$，推广了 Shannon entropy。[EH14] 汇总了分散在不同文献中的 Renyi entropy 的一些重要性质。

给定某集合 $\mathcal{X}$，它的 $\sigma$-代数（$\sigma$-algebra）是幂集 $2^{\mathcal{X}}$ 的一个子集，满足：可数个集合在交/并/补运算下的封闭性。可测空间（ measurable space）形如 $(\mathcal{X},\mathcal{F})$，其中 $\mathcal{X}$ 是一个集合，$\mathcal{F}\subseteq 2^{\mathcal{X}}$ 是一个 $\sigma$-代数，元素 $A\in \mathcal{F}$ 被称为事件（event）。

对于可测空间 $(\mathcal{X},\mathcal{F})$ 上的任意离散分布 $P$，用 $Supp(P)$ 表示它的支撑（也就是 $P(x)>0$ 的那些点 $x\in \mathcal{X}$），Renyi entropy 定义为：
$$H_{\alpha }(P)=\frac{1}{1-\alpha }\log \left(\sum _{x\in Supp(P)}P(x{)}^{\alpha }\right)$$
其中 $\alpha \in (0,1)\cup (1,\infty )$ 被称为 simple orders。额外地，我们给出三个 extended orders 及其对应的定义，

• 如果 $\alpha \downarrow 0$，定义 $H_0(P)=\log |Supp(P)|$（Hartley-entropy）
• 如果 $\alpha \uparrow 1$，定义 $H_1(P)=-{\sum }_{x\in Supp(P)}P(x)\log P(x)$（Shannon-entropy）
• 如果 $\alpha \uparrow \infty$，定义 $H_{\infty }(P)=-\log \left({\max }_{x\in Supp(P)}P(x)\right)$（Min-entropy）

这就补全了 $\alpha \in [0,\infty )$ 上的 Renyi entry 的定义。特别地，还有两个 special orders 对应的 Renyi entropy，

• 如果 $\alpha =1/2$，那么 $H_{1/2}(P)=\log {\left({\sum }_{x\in Supp(P)}P(x{)}^{1/2}\right)}^2$
• 如果 $\alpha =2$，那么 $H_2(P)=-\log \left({\sum }_{x\in Supp(P)}P(x{)}^2\right)$（Collision-entropy）

对于连续可微的分布，可以定义 differential Rényi entropy，
$$h_{\alpha }(P)=\frac{1}{1-\alpha }\log \left(\int P(x{)}^{\alpha }\mathrm{d}x\right)$$

Renyi Divergence

类似于 Shannon entropy 以及 Kullback-Leibler divergence 的关系，我们可以从 Renyi entropy 给出对应的 Renyi divergence，去描述两个分布之间的距离。

对于可测空间 $(\mathcal{X},\mathcal{F})$ 上的任意两个离散分布 $P,Q$，它们满足 $Supp(P)\subseteq Supp(Q)$，我们定义：
$$D_{\alpha }(P\Vert Q)=\frac{1}{\alpha -1}\log \left(\sum _{x\in Supp(P)}P(x{)}^{\alpha }Q(x{)}^{1-\alpha }\right),\alpha \in (0,1)\cup (1,\infty )$$
假设 $P$ 是有限支撑的，那么
$$H_{\alpha }(P)=H_{\alpha }(\mathcal{U}(Supp(P)))-D_{\alpha }(P\Vert \mathcal{U}(Supp(P)))$$
其中 $\mathcal{U}(Supp(P))$ 是均匀分布，并且有 $H_{\alpha }(\mathcal{U}(Supp(P)))=\log |Supp(P)|$

对于三个 extended orders，

• 定义 $D_0(P\Vert Q)=\log \left({\sum }_{x\in Supp(P)}Q(x)\right)$
• 定义 $D_1(P\Vert Q)={\sum }_{x\in Supp(P)}P(x)\log \frac{P(x)}{Q(x)}$（KL divergence）
• 定义 $D_{\infty }(P\Vert Q)=\log \left({\sup }_{x\in Supp(P)}\frac{P(x)}{Q(x)}\right)$（worst-case regret）

对于两个 special orders，

• 定义 squared Hellinger distance 为 $He{l}^2(P,Q)={\sum }_{x\in Supp(P)\subseteq Supp(Q)}{\left(P(x{)}^{1/2}-Q(x{)}^{1/2}\right)}^2$，那么有 $D_{1/2}(P\Vert Q)=-2\log \left(1-\frac{He{l}^2(P,Q)}{2}\right)$
• 定义 ${\chi }^2$-divergence 为 ${\chi }^2(P,Q)={\sum }_{x\in Supp(P)}\frac{(P(x)-Q(x){)}^2}{Q(x)}$，那么有 $D_2(P\Vert Q)=\log \left(1+{\chi }^2(P,Q)\right)$

它的连续可微形式，定义为：
$$D_{\alpha }(P\Vert Q)=\frac{1}{\alpha -1}\log \left(\int P(x{)}^{\alpha }Q(x{)}^{1-\alpha }\mathrm{d}x\right)$$

Important Properties

Renyi 散度的两个参数 $P,Q$ 是分布本身；给定它们，Renyi 散度是个确定的值。

Renyi 散度关于 $\alpha$ 的单调性：

Renyi 散度关于 $\alpha$ 的连续性：

下面考虑在固定 $\alpha$ 的 Renyi 散度的性质。假设 $P$ 是可测空间 $(\mathcal{X},\mathcal{F})$ 上的测度（measure），使用 $P{|}_{\mathcal{G}}$ 表示限制在 sub-$\sigma$-algebra $\mathcal{G}\subseteq \mathcal{F}$ 上面（视为边际分布）。如果两个测度 $P,Q$ 满足 $\forall A\in \mathcal{F},Q(A)=0\Rightarrow P(A)=0$（换句话说 $Supp(P)\subseteq Supp(Q)$），我们称 $P$ 是关于 $Q$ 绝对连续的（absolutely continuous），记为 $P\ll Q$。如果两个测度 $P,Q$ 满足 $\exists A\in \mathcal{F},P(A)=0\wedge Q(\mathcal{X}\backslash A)=0$，我们称 $P$ 和 $Q$ 是相互奇异的（mutually singular），记为 $P\perp Q$。假设对于某个 common $\sigma$-finite measure $\mu$，两个概率测度 $P,Q\ll \mu$ ，令 $p,q$ 是相关的密度函数，Renyi 散度中的积分写作 $\int p(x{)}^{\alpha }q(x{)}^{1-\alpha }\mathrm{d}\mu (x)$。

Renyi 散度的非负性：

Renyi 散度的数据处理不等式：

Renyi 散度的良好近似：

Renyi 散度在固定的较小 $\alpha$ 下的凸性，

对于更大的 $\alpha >1$，Renyi 散度对于第一参数不再是凸的，如图所示

但是 Renyi 散度对于第二参数总是凸的，

对于弱化的 “拟凸性”，Renyi 散度总是满足的，

定义分布的混合，以及分布的凸集，

那么 Renyi 散度满足推广的三角不等式，

Renyi 散度的反对称性，

在较小 $\alpha$ 下，Renyi 散度的一致连续性（只要 $x,y$ 足够接近，那么 $f(x),f(y)$ 也就足够接近），

固定第一参数，Renyi 散度对于第二参数的连续性，

Others

[BS23] 使用 $D_{\alpha }$ 的一个变形（它的指数函数），
$$R{D}_{\alpha }(P,Q)={\left(\sum _{x\in Supp(P)}\frac{P(x{)}^{\alpha }}{Q(x{)}^{\alpha -1}}\right)}^{\frac{1}{\alpha -1}},\alpha >1$$
它具有如下的性质：

那么，某个分布及其偏移的 Renyi 散度为：

Goldreich-Levin Extractor

使用 $sdist(X,Y)={\max }_T|\mathrm{Pr}[T(X)=1]-\mathrm{Pr}[T(Y)=1]|$ 表示两个分布的统计距离（statistical distance），其中 $T$ 是任意电路。使用 $cdis{t}_s(X,Y)$ 表示在任意的规模 $s$ 电路下的计算距离（computational distance）。概率保护（probability preservation property）说的是 $X(E)\le Y(E)+sdist(X,Y),\forall E\in \mathcal{F}$，计算距离同理。

定义 “不可预测熵”，

假设 OWF/OWP 存在，那么就可以构造出携带 hard-core 的 OWF/OWP。[BS23] 将多个 Goldreich-Levin Hard-core 的构造级联起来，于是从 OWF 中获得不可预测性（已知 OWF 的像，无法预测出它的 hard-core）：

Security for ThFHE

ThFHE 的定义，以及 Circuit Privacy 的定义，请看这里。ThFHE 的属性 compactness 和 correctness 的定义，请看这里。此外 [BS23] 还定义了两个鲁棒性。

CCA 下的弱鲁棒性：

CPA 下的强鲁棒性：

OW-CPA

为了兼容 Renyi 散度，[BS23] 给出了基于游戏的 OW-CPA 安全性的定义：

这里的敌手可以自适应地按照任意顺序访问三个神谕。

IND-CPA

[BS23] 没有给出基于模拟的模拟安全，只给出了基于游戏的语义安全：

这里的敌手可以自适应地按照任意顺序访问三个神谕。[BGG+18] 同时给出了语义安全（不泄露任意的一比特）和模拟安全（不额外泄露任何信息），但是敌手访问神谕的顺序被固定。

From OW-CPA to IND-CPA

[BS23] 使用 Renyi 散度作为分布之间距离的测度，他们首先构建 OW-CPA ThFHE，然后将它转换为 IND-CPA ThFHE。注意 OW 是比 IND 更强的假设，有归约 $IND\le OW$，因此：满足 IND-CPA 一定也满足 OW-CPA，但是满足 OW-CPA 就不一定满足 IND-CPA。

[BS23] 把底层 OW-CPA ThFHE 的加密算法作为 OWF，使用 Goldreich-Levin Extractor 从中获取 hard-core，使用它的不可预测性对消息做 one-time pad，从而获得 IND-CPA ThFHE 方案。这个转换过程是在标准模型下的。具体的构造如下：

它的密文扩展比（Ciphertext Expansion Rotio）是 $\frac{|ct|}{|m|}=\frac{|c_0|+\delta (\gamma +1)}{\delta }$，其中 $|c_0|$ 的规模和底层 OW-CPA ThFHE 的密文扩展比有关。随着 $\delta$ 增大（在保证 hard-core 不可预测的前提下），获得的 IND-CPA ThFHE 的密文扩展比就越好。在 ROM 下，可以使用 seed + PRG 来生成全部的 $s_j$，从而减小密文规模。

[BS23] 给出了安全归约，它要求底层 OW-CPA ThFHE 是电路隐私的，

如果设置 $ϵ=2^{-128}$，那么对于 $\delta =118$ 以及 $\gamma =512$，需要 $\lambda =512$，即每加密 $118$ 比特消息，就需要使用 OW-CPA ThFHE 去加密 $512$ 比特的随机数。他们说这个归约不紧，适当减小 $\lambda$ 并不会带来显著的弱点。

OW-CPA ThFHE with Polynomial Modulus

类似于 [BDG+19]，我们考虑线性解密的底层 FHE 方案，

我们还需要底层 FHE 是 IND-CPA 安全的，并且是多项式模数的，[BV14] 构造的 GSW for 5-PBP 满足这些要求，FHEW/TFHE 应该也是满足的。

From {0,1}-LSSS

直接使用 [BDG+19] 的构造方法，需要的部件是：

具体的构造方法及其安全性：

在这里的安全归约中，使用 Renyi 散度作为分布之间距离的度量。

由于获得的 ThFHE 需要满足 one-way 安全性，因此它的明文空间的规模 $|\mathcal{M}\subseteq R_p|$ 应该是安全参数 $\lambda$ 的超多项式。如果底层 IND-CPA FHE 只具有较小的明文空间 $\mathcal{M}$， 那么可以分别加密 $k$ 个独立的消息，那么 $|{\mathcal{M}}^k|$ 就满足此要求。

选取 ${\mathcal{D}}_{sim}={\mathcal{D}}_{sim}$ 都是标准差 $\sigma$ 的高斯分布，那么
$${ϵ}_{R{D}_{\alpha }}=R{D}_{\alpha }({\mathcal{D}}_{sim}+{\beta }_{fhe}\Vert {\mathcal{D}}_{sim})\le \exp \left(\frac{\alpha {\beta }_{fhe}^2}{2{\sigma }^2}\right)$$
将它带入安全归约的不等式，得到：
$${\lambda }_{ThFHE}\ge \frac{\alpha -1}{\alpha }{\lambda }_{FHE}-ld(nL-{\tau }_{\max })(\alpha -1)\cdot \frac{\alpha {\beta }_{fhe}^2}{2{\sigma }^2}\cdot \log e$$
如果设置 $\alpha ={\lambda }_{FHE}$，选择参数 $\sigma$ 满足 $\sigma =O\left({\beta }_{fhe}\sqrt{ld(nl-{\tau }_{\max })(\alpha -1)}\right)$，并且选择参数 $q,{\beta }_{fhe}$ 使得解密正确。那么，就有 ${\lambda }_{ThFHE}\ge {\lambda }_{FHE}-\left(1+\frac{\log e}{2}\right)$，安全损失是个小常数。这里的阶 $\alpha$ 是对洪泛噪声规模 $\sigma$ 以及安全损失的权衡：越小的 $\alpha$，则安全损失增大，洪泛噪声减小。如果敌手询问次数 $l$、参与方数量 $n$、LSSS 的 shares 长度 $L$ 都是多项式的，那么方差 $\sigma$ 也是多项式的，底层的 FHE 只需要多项式的密文模数。

From PRSSS

[CDI05] 提出了 Pseudorandom secret sharing（PRSS），它可以首先执行一个分发 PRF 密钥的 Setup 阶段，然后各个参与方就可以非交互地生成伪随机数的 SS。具体构造为：

[CDI05] 提出了 Share conversion 技术，他们证明：可以通过简单的线性变换，把 Replicated SSS 转化为具有相同访问结构的其他任意的 LSSS，例如 Shamir SSS（对于 TAS，它的 SS 规模较小）。

OW-CPA ThFHE 的构造为：