Ring-Switch & Field-Switch

参考文献：

1. [GHPS12] Gentry C, Halevi S, Peikert C, et al. Ring switching in BGV-style homomorphic encryption[C]//International Conference on Security and Cryptography for Networks. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 19-37.
2. [GHPS13] Gentry C, Halevi S, Peikert C, et al. Field switching in BGV-style homomorphic encryption[J]. Journal of Computer Security, 2013, 21(5): 663-684.
3. Modulus Lift & Delayed Reduction

Ring-Switching

[GHPS12] 提出了环切换技术，它针对 coeff-packing，考虑的是 non-dual RLWE 版本。

对于任意的分圆多项式 ${\Phi }_m(X)$，定义：
$$\begin{array}{rl}{R}_m& =\mathbb{Z}[X]/({\Phi }_m(X))\\ C_m& =\mathbb{Z}[X]/(X^m-1)\end{array}$$
额外定义 $R_{m,q}=R_m/q{R}_m$ 以及 $C_{m,q}=C_m/q{C}_m$

假设 $m=u\cdot w$，给定 $f,g,h\in \mathbb{Z}[X]$，

• 如果 $h(X)\equiv f(X)\cdot g(X)(\mathrm{mod}{\Phi }_w(X))$，那么 $h(X^u)\equiv f(X^u)\cdot g(X^u)(\mathrm{mod}{\Phi }_m(X))$
• 如果 $h(X)\equiv f(X)\cdot g(X)(\mathrm{mod}{X}^w-1)$，那么 $h(X^u)\equiv f(X^u)\cdot g(X^u)(\mathrm{mod}{X}^m-1)$

这可以视为环嵌入，将 $R_w$ 嵌入到 $R_m$ 的映射是 $X_w\to X_m^u$，$C_w\le C_m$ 同理。

定义 $Q_m(X)=(X^m-1)/{\Phi }_m(X)$，以及多项式 $G_m(X)\in \mathbb{Z}[X]$，满足：
$$\begin{array}{rl}{G}_m(X)& \equiv m(\mathrm{mod}{\Phi }_m)\\ G_m(X)& \equiv 0(\mathrm{mod}{Q}_m)\end{array}$$
通过 CRT 求解出唯一的 $G_m(X)$，满足 $\mathrm{deg}{G}_m\le m-1$ 以及 $\Vert G_m{\Vert }_2=\sqrt{m\cdot \varphi (m)}$

那么多项式 $G_m$ 可以用于：把任意的等价类 $f+({\Phi }_m(X))$ 都 “提升”（Lift）到等价类 $G\cdot f+(X^m-1)$，并且基本保持范数不变。将它定义到密文上，映射是：
$$(c_0,c_1)\in R_{m,q}^2\mapsto (c_0,c_1)\in \mathbb{Z}[X{]}^2\mapsto \left(G\cdot c_0,G\cdot c_1\right)\in C_{m,q}^2$$
简记为 $(c,d)\in C_{m,q}^2$，假如 $c_0+c_1\cdot s=\Delta a+\delta e+qI(\mathrm{mod}{\Phi }_m)$，其中 $a\in R_{m,p}$ 是消息，$e,I\in R_m$ 是噪声，$p,q\in \mathbb{Z}$ 是明文和密文的模数，$\Delta ,\delta \in \mathbb{Z}$ 是缩放因子，那么：
$$\begin{array}{rl}c+d\cdot s& =G_m\cdot (\Delta a+\delta e+qI(\mathrm{mod}{\Phi }_m))\\ & =\Delta (G_m\cdot a)+\delta (G_m\cdot e)+q(G_m\cdot I)(\mathrm{mod}{X}^m-1)\end{array}$$
因此 $(c_0^{\prime },c_1^{\prime })$ 是私钥 $s\in \mathbb{Z}[X]$ 下的消息 $G_m\cdot a\in C_{m,p}$ 的密文，噪声 $G_m\cdot e\in C_m$ 是短的。注意 $R_{m,q}$ 和 $C_{m,q}$ 都是 $\mathbb{Z}[X]$-模，提升前后的私钥 $s$ 不需要改变。方便起见，我们将 $\Delta (G_m\cdot a)+\delta (G_m\cdot e)$ 记作相位 $\mu \in C_m$

现在我们考虑如下的环同构（Degree-$u$ striding）：
$$C_m\cong (\mathbb{Z}[Y]/(Y^w-1))[X]/(X^u-Y)$$
具体的映射为：
$$\begin{array}{rl}a(X)& =\sum _{i=0}^{m-1}{a}_i{X}^i\\ & =\sum _{k=0}^{u-1}{X}^k\cdot \left(\sum _{j=0}^{w-1}{a}_{k+uj}\cdot X^{uj}\right)\\ & =\sum _{k=0}^{u-1}{X}^k\cdot a_{(k)}(Y)\end{array}$$
其中，系数 $a_{(k)}\in C_w$ 是如下的多项式，
$$a_{(k)}(Y)=\sum _{j=0}^{w-1}{a}_{k+uj}\cdot Y^j$$
我们把 $C_m$ 视为一个 $C_w$-模，它的一组 $C_w$-basis 是 { X k } 0 ≤ k ≤ w − 1 \{X^k\}_{0\le k\le w-1} {Xk}0≤k≤w−1​

对于提升获得的密文 $(c,d)\in C_m^2$，将它们分别作上述的同构。我们要求私钥 $s\in \mathbb{Z}[X]$ 落在 $R_m$ 的子环 $R_w$ 内（在同态的意义下），也就是说：
$$s(X)=\sum _{i\equiv 0(\mathrm{mod}u)}{s}_i\cdot X^i$$
并且 $\mathrm{deg}s\le m-1$，我们简记 $s(X)=s_{(0)}(Y)$，其中 $Y=X^u$

现在，我们将这个 $s\in \mathbb{Z}[X]$ 再视为卷积环 $C_m$ 中的元素，此时 $s$ 就落在子环 $C_w$ 内（在同态的意义下），那么有：
$$\begin{array}{rl}(c+d\cdot s)(X)& =\sum _{k=0}^{u-1}{X}^k\cdot \left(c_{(k)}+d_{(k)}{s}_{(0)}\right)(Y)\\ & =\sum _{k=0}^{u-1}{X}^k\cdot {\mu }_{(k)}(Y)\\ & =\mu (\mathrm{mod}{X}^m-1,q)\end{array}$$
我们将 $(c_{(k)},d_{(k)})\in C_{w,q}^2$ 视为关于私钥 $s_0(Y)\in \mathbb{Z}[Y]$ 的密文，它们的相位分别是：
$${\mu }_{(k)}=\Delta (G_m\cdot a{)}_{(k)}+\delta (G_m\cdot e{)}_{(k)}\in C_w$$
这就将大环 $C_m$ 上的消息 $(G_m\cdot a)(X)$ 的密文 $(c,d)$ 分解成了 $u$ 个小环 $C_w$ 上的密文 $(c_{(k)},d_{(k)})$，它们分别加密了消息 $(G_m\cdot a{)}_{(k)}(Y)$。因为这是一个环同构，因此 $u$ 个小密文也容易合成出单个大密文。事实上，这个环同构就是系数的置换、分区、级联，基本没有计算开销。

但是我们想要的是 $R_m$ 分解到 $R_w$ 的密文，可以再简单地取模：
$$(c_{(k)},d_{(k)})\in C_{w,q}^2\mapsto (c_{(k)},d_{(k)})\mathrm{mod}{\Phi }_w(Y)$$
把这些密文记为 $({\tilde{c}}_k,{\tilde{d}}_k)\in R_{w,q}^2$，它们加密了消息 $(G_m\cdot a{)}_{(k)}(\mathrm{mod}{\Phi }_w)$，简记为 ${\tilde{a}}_k\in R_w$

虽然 ${\tilde{a}}_k$ 和 $a$ 或者 $a_{(k)}$ 之间的关系很复杂，但是我们考虑任意的 $m$-th 本原单位根 $\zeta$，由于 $G_m(X)=m(\mathrm{mod}{\Phi }_m(X))$，因此有：
$$(G_m\cdot a)(\zeta )=G_m(\zeta )\cdot a(\zeta )=m\cdot a(\zeta )$$
那么，
$$a(\zeta )=m^{-1}\cdot (G_m\cdot a)(\zeta )=m^{-1}\cdot \sum _{k=0}^{u-1}{\zeta }^k\cdot {\tilde{a}}_k({\zeta }^u)$$
我们可以从 ${\tilde{a}}_k\in R_{w,p}$ 恢复出原始消息 $a\in R_{m,p}$，确切地说：
$$a(X)=m^{-1}\cdot \sum _{k=0}^{u-1}{X}^k\cdot {\tilde{a}}_k(X^u)\in R_{m,p}$$
这里要求 $\gcd (m,p)=1$，此时也存在 $\zeta \in GF(p^d)$，其中 $d=ord(p\mathrm{mod}m)$ 是乘法阶。

同理，我们也可以把这些小密文 $({\tilde{c}}_k,{\tilde{d}}_k)\in R_{w,q}^2$ 重新合成出原始密文 $(c_0,c_1)\in R_{m,q}^2$，只要满足 $\gcd (m,q)=1$ 即可。只需要系数的置换和级联，以及一些模乘，计算开销很小。

Construction

环切换的步骤为：

1. Key-switch.
   • 输入密文 $(c_0,c_1)\in R_{m,q}^2$，对应的私钥是 $s\in \mathbb{Z}[X]$，加密消息 $a\in R_{m,p}$
   • 使用 KS 过程，切换到 $(c_0^{\prime },c_1^{\prime })\in R_{m,q}^2$，它关于一个环元素 $s^{\prime }\in R_w$ 对应的稀疏私钥 $s^{\prime \prime }(X)=s^{\prime }(X^u)$
2. Lift.
   • 将密文 $(c_0^{\prime },c_1^{\prime })\in R_{m,q}^2$ 乘以 $G_m(X)\in \mathbb{Z}[X]$ 提升到 $(c,d)\in C_{m,q}^2$
   • 它的私钥是 $s^{\prime \prime }\in \mathbb{Z}[X]$，加密的消息是 $G_m\cdot a\in C_{m,p}$
3. Break.
   • 将 $(c,d)\in C_{m,q}^2$ 分解为 $u$ 个小密文 $(c_{(k)},d_{(k)})\in C_{w,q}^2$，简记 $Y=X^u$
   • 它们的私钥是 $s^{\prime }\in \mathbb{Z}[Y]$，各自加密 $(G_m\cdot a{)}_{(k)}\in C_{w,p}$
4. Reduce.
   • 对小密文 $(c_{(k)},d_{(k)})\in C_{w,q}^2$ 取模，获得 $({\tilde{c}}_k,{\tilde{d}}_k)\in R_{w,q}^2$
   • 它们的私钥是 $s^{\prime }\in \mathbb{Z}[Y]$，各自加密 ${\tilde{a}}_k\in R_{w,p}$

如图所示：

Slot-packing

我们通常使用 SIMD 打包技术，分解得到的密文 $(c_{(k)},d_{(k)})\in C_{w,q}^2$ 加密的 ${\tilde{a}}_k\in R_{w,p}$，虽然可以恢复出原始消息 $a\in R_{m,p}$，但是 ${\tilde{a}}_k\in R_{w,p}$ 的明文槽并非 $a\in R_{m,p}$ 所编码的那些槽，因此无法对分解出的小密文直接做 SIMD 运算。

[GHPS12] 通过线性组合 ${\tilde{a}}_k$ 来获得编码了明文槽小区块的一些小明文。对于 $ord(p\mathrm{mod}m)=ord(p\mathrm{mod}w)=d$ 的特殊情况，可以找到 $h\in R_{w,p}$ 使得 $h({\tau }^j)={\zeta }^j$，其中 $\zeta \in GF(p^d)$ 是 $m$-th 本原单位根，$\tau ={\zeta }^u$ 是 $w$-th 本原单位根，$j\in S\subseteq {\mathbb{Z}}_m^{\ast }$，这个子集 $S$ 的大小是 $\varphi (w)$，满足 $S(\mathrm{mod}w)={\mathbb{Z}}_w^{\ast }$，并且乘以 $p$ 封闭。

由于 $w\mid m$，因此 ${\mathbb{Z}}_m^{\ast }$ 可以分成 $\varphi (m)/\varphi (w)$ 个大小为 $\varphi (w)$ 的不交子集，每个子集都是 ${\mathbb{Z}}_w^{\ast }$ 的代表，且乘以 $p$ 封闭。把它们记作 $S_i\subseteq {\mathbb{Z}}_m^{\ast }$，各自对应 $h_i\in R_{w,p}$

线性组合 $a_i^{\ast }={\sum }_{k=0}^{u-1}{h}_i^k\cdot {\tilde{a}}_k\in R_{w,p}$，对于 $j\in S_i\cap {\mathbb{Z}}_m^{\ast }/(p)$ 满足：
$$a_i^{\ast }({\tau }^j)=\sum _{k=0}^{u-1}{\zeta }^{jk}\cdot {\tilde{a}}_k({\zeta }^{uj})=a({\zeta }^j)$$
因此 $a_i^{\ast }\in R_{w,p}$ 编码了 $a\in R_{m,p}$ 中的由 $S_i\cap {\mathbb{Z}}_m^{\ast }/(p)$ 索引的那些明文槽。对应的密文 $(c_i^{\ast },d_i^{\ast })\in R_{w,q}^2$ 容易计算。

但是对于 $ord(p\mathrm{mod}m)\ne ord(p\mathrm{mod}w)$ 的一般情况，$h\in R_{w,p}$ 不一定存在。但它一定在 $GF(p^d)[X]/({\Phi }_w(X))$ 里边，所以明文空间需要被相应的扩展，这可以用 $d$ 个 $R_{w,p}$ 明文组合出来，效率很低。

Field-Switching

[GHPS13] 提出的域切换技术，它针对 slot-packing，并且考虑的是 dual RLWE 版本。

域切换采用了和环切换完全不同的思路，它采用分圆塔 $K/K^{\prime }$ 上的迹映射：
$$T{r}_{K/K^{\prime }}(a)=\sum _{i=1(\mathrm{mod}{m}^{\prime })}{\tau }_i(a)$$
其中 $K=\mathbb{Q}({\zeta }_m),K^{\prime }=\mathbb{Q}({\zeta }_{m^{\prime }})$，以及 $m^{\prime }\mid m$，自同构 ${\tau }_i:{\zeta }_m\mapsto {\zeta }_m^i,\forall i\in {\mathbb{Z}}_m^{\ast }$

令 $R/R^{\prime }$ 是对应的分圆整数环，明文模数 $p$ 下的明文槽分别是 $\mathbb{F}/{\mathbb{F}}^{\prime }$，槽的个数是 $f,f^{\prime }$。根据 CRT 同构，函数 $({\mathbb{F}}^{f/f^{\prime }}{)}^{f^{\prime }}\to ({\mathbb{F}}^{\prime }{)}^{f^{\prime }}$ 可以表示为某个 $R^{\prime }$-线性映射 $L:R_p\to R_p^{\prime }$

Construction

域切换的步骤是：

1. Switch to a small-ring secret key.
   • 把私钥切换到子环上，$s^{\prime }\in R^{\prime }\subseteq R$
2. Multiply by an appropriate (short) scalar.
   • 找出恰当的短元素 $r\in R_p$，构造出 $R^{\prime }$-线性映射 $L^{\vee }(a^{\vee })=T{r}_{K/K^{\prime }}(r\cdot a^{\vee })$
3. Map to the small field.
   • 将 $L^{\vee }$ 作用到密文上