TFHE-Key Packing，Smooth KS Process，Key Unrolling，Approximate Gadget Decomposition

参考文献：

1. [BMMP18] Bourse F, Minelli M, Minihold M, et al. Fast homomorphic evaluation of deep discretized neural networks[C]//Advances in Cryptology–CRYPTO 2018: 38th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 19–23, 2018, Proceedings, Part III 38. Springer International Publishing, 2018: 483-512.
2. [CDKS21] Chen H, Dai W, Kim M, et al. Efficient homomorphic conversion between (ring) LWE ciphertexts[C]//International Conference on Applied Cryptography and Network Security. Cham: Springer International Publishing, 2021: 460-479.
3. [MP21] Micciancio D, Polyakov Y. Bootstrapping in FHEW-like cryptosystems[C]//Proceedings of the 9th on Workshop on Encrypted Computing & Applied Homomorphic Cryptography. 2021: 17-28.
4. [LMK+23] Lee Y, Micciancio D, Kim A, et al. Efficient FHEW bootstrapping with small evaluation keys, and applications to threshold homomorphic encryption[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Cham: Springer Nature Switzerland, 2023: 227-256.
5. [KLD+23] Kim A, Lee Y, Deryabin M, et al. LFHE: Fully homomorphic encryption with bootstrapping key size less than a megabyte[J]. Cryptology ePrint Archive, 2023.
6. [DKM+24] De Micheli G, Kim D, Micciancio D, et al. Faster amortized FHEW bootstrapping using ring automorphisms. Public Key Cryptography 2024 (4): 322-353.

[KLD+23] 关注 Blind Rotation Key 的传输开销，用于客户端能力受限的场景。

Packing and Reconstruction

对于 TFHE-type 盲旋转算法，自举密钥形如 { R G S W z ( s i ) } 0 ≤ i ≤ n − 1 \{RGSW_z(s_i)\}_{0\le i\le n-1} {RGSWz​(si​)}0≤i≤n−1​，其中 $RGS{W}_z(s_i)=(RLW{E}_z^{\prime }(s_i),RLW{E}_z^{\prime }(s_{i}z))$，这里 R L W E z ′ ( m ) = { R L W E z ( m B j ) } 0 ≤ j ≤ d d − 1 RLWE_z'(m)=\{RLWE_z(mB^j)\}_{0\le j\le d_d-1} RLWEz′​(m)={RLWEz​(mBj)}0≤j≤dd​−1​

容易发现，RGSW 密文由一堆 RLWE 密文组成，每个 RLWE 密文都只加密了常数多项式。因此 [KLD+23] 将它们系数打包在少量 RLWE 密文中，然后使用 [CDKS21] 的分圆塔算法提取各个系数。疑问：FHEW-type 中的非常数单项式，如何打包？

对于自举密钥的第一分量 $RLW{E}_z^{\prime }(s_i)$，可以打包为：

其中的 $N^{-1}$ 是为了抵消分圆塔上 Trace 的缩放因子。然后使用如下的自同构，
$${\psi }_{N+1}(m)=\sum _{i=0}^{N/2-1}{m}_{2i}{X}^{2i}-\sum _{i=0}^{N/2-1}{m}_{2i+1}{X}^{2i+1},\forall m\in \mathbb{Z}[X]/(X^N+1)$$
利用 [CDKS21] 的算法来提取 RLWE 密文 $pb{k}_k$ 中的各个系数：

对于自举密钥的第二分量 $RLW{E}_z^{\prime }(s_{i}z)$，为了减小噪声增长，不是采用 BV-Mult，而是采用了 BV-type KS，给定 $(b_{ij},a_{ij})\in RLWE(s_i{B}^j)$。这个在 [DKM+24] 中称为 “$RLW{E}^{\prime }$ to $RGSW$ scheme switching” 技术：
$$b_{ij}\cdot (0,1)+a_{ij}\odot RLW{E}_z^{\prime }(z^2)=RLWE((b_{ij}+a_{ij}z)z)=RLWE(s_i{B}^{j}z)$$
因此，所需的密钥包括：打包的盲旋转密钥的第一部分、用于解包的密钥切换密钥、用于计算盲旋转密钥的第二部分的密钥切换密钥。密钥生成算法：

密钥重建算法：

Smooth Converting Process

在 FHEW/TFHE 的自举噪声中，盲旋转之后的密钥切换噪声有较大影响，而参数集（本身较小）对于自举噪声的规模十分敏感（LWE 的模数增大 $1$ 比特、ACC 的维度翻倍）。

对于 LWE 的密钥切换，使用 BV-type KS 过程。为了尽可能降低噪声，采用了枚举技术，设置：
K S K = { L W E z ( k B j s i } 0 ≤ i ≤ n − 1 , 0 ≤ j ≤ d − 1 , − B / 2 < k ≤ B / 2 KSK = \{LWE_z(kB^js_i\}_{0\le i\le n-1, 0 \le j\le d-1, -B/2 < k \le B/2} KSK={LWEz​(kBjsi​}0≤i≤n−1,0≤j≤d−1,−B/2<k≤B/2​
其中 $d=\lceil {\log }_{B}Q\rceil$，规模是 $nd{Q}^{1/d}$ 个 LWE 密文，因此 $d$ 越大，存储越少。

密钥切换的执行：
$$LW{E}_z(m)=(b,0^n)+\sum _{i,j}LW{E}_z(h(a_i{)}_j\cdot B^j{s}_i)$$
不需要同态数乘，噪声被简单的加在一起。其中 $h(a_i)\in {\mathbb{Z}}^d$ 是 Gadget 分解出的短向量，用于挑选 KSK 的某个分量。假设 KSK 的噪声方差是 ${\sigma }_{fresh}^2$，那么密钥切换噪声的方差是 $dn\cdot {\sigma }_{fresh}^2$，因此 $d$ 越小，噪声越小。注意，如果使用数乘而非枚举，那么 $d$ 越大 $B=Q^{1/d}$ 越小，噪声才会越小。疑问：把 LWE 嵌入到 RLWE 上效率是否会更好，以及 RLWE 如何用枚举来降低噪声？

FHEW/TFHE 的自举流程：

1. 原始的 FHEW 的输入输出都在最小参数集 $(q,n)$ 上，盲旋转得到 $(Q,N)$ 的 ACC 密文，首先提取出 LWE 密文，然后再依次执行 KS 和 MS（不仅仅要求 $(q,n)$ 安全，还要求 $(Q,n)$ 也是安全的，LWE 维度 $n$ 不能太小）

2. [MP21] 设置了额外的模数 $q<Q_{KS}<Q$，在做 KS 之前先做一次 MS，使得模数满足 KSK 的安全需求（因为 $s\in {\mathbb{Z}}^n,z\in R_N,n<N$），只需要 $(Q_{KS},n)$ 是安全的即可，LWE 维度降低

   

3. [CGGI20] 修改了 TFHE 的流程，使得输入输出维持在最高参数集 $(Q,N)$ 上，仅在盲旋转之前才执行 KS 和 MS，这可以降低噪声增长（从而 $q$ 可以降低，使得 $N$ 降低）

   

从 $(Q_{ks},N)$-LWE 切换到 $(Q_{ks},n)$-LWE，

• KSK 的存储开销：$d_{ks}{Q}_{ks}^{1/d_{ks}}N(n+1)\log Q_{ks}$
• KS 噪声的方差：$d_{ks}N{\sigma }_{err}^2$

上述的 KS 都是在 LWE 密文上执行的，但是 LWE-KSK（尤其是枚举版本）的规模远大于 RLWE-KSK 的规模。如果直接对 ACC 做密钥切换，噪声则会变大，但是 RLWE-KS 在较小参数下对噪声很敏感。[KLD+23] 组合使用 RLWE-KS 以及 LWE-KS，降低 KSK 规模的同时，还降低了 KS-Error 的大小。

使用四个模数 $q<Q_{ks}<Q_{sm}<Q$，使用三个维度 $n<N_{sm}<N$，保证：$(Q_{ks},n)$ 安全，$(Q_{sm},N_{sm})$ 安全，$(Q,N)$ 安全。对应的私钥是 $s\in {\mathbb{Z}}^n,z_{sm}\in R_{N_{sm}},z\in R_N$，那么

• $(Q_{sm},N)$-RLWE 切换到 $(Q_{sm},N_{sm})$-RLWE 的密钥：$RLW{E}_{z_{sm}}^{\prime }(z_i)$，其中 $z_i\in R_{N_{sm}},0\le i\le N/N_{sm}-1$ 是私钥 $z$ 的分片。
• $(Q_{ks},N_{sm})$-LWE 切换到 $(Q_{ks},n)$-LWE 的密钥：$LW{E}_z(k{B}^j({\vec{z}}_{sm}{)}_i)$，这里的 ${\vec{z}}_{sm}\in {\mathbb{Z}}^{N_{sm}}$ 是私钥 $z_{sm}$ 的系数向量。

自举的流程是：

两个 KSK 的总大小是：
$$2d_{sm}N\log Q_{sm}+d_{ks}{Q}_{ks}^{1/d_{ks}}{N}_{sm}(n+1)\log Q_{ks}$$
前者是 RLWE-KSK（$N/N_{sm}$ 个 $RLW{E}_{z_{sm}}^{\prime }$ 密文），后者是 LWE-KSK（$d_{ks}{Q}_{ks}^{1/d_{ks}}{N}_{sm}$ 个 $LW{E}_s$ 密文）。容易看出 LWE-KSK 占据主要的大小，存储比单独使用 LWE-KS 减小了 $N/N_{sm}$ 因子。

两次 KS 的噪声方差是：
$${\left(\frac{Q_{ks}}{Q_{sm}}\right)}^2\cdot d_{sm}N\cdot \left({\sigma }_{err}^2\cdot \frac{Q_{sm}^{2/d_{sm}}}{12}\right)+d_{ks}{N}_{sm}{\sigma }_{err}^2$$
前者是 RLWE-KS（$d_{sm}N/N_{sm}$ 个系数范围 $Q_{sm}^{1/d_{sm}}$ 的 $N_{sm}$ 维均匀多项式的数乘，然后模切换），后者是 LWE-KS（$N_{sm}{d}_{ks}$ 次加法）。容易看出 LWE-KS 的贡献占主导，噪声比单独使用 LWE-KS 也减小了 $N/N_{sm}$ 因子。

Key Unrolling Technique

[BMMP18] 提出了密钥展开，以降低 Binary TFHE 的外积数量。

原始的盲旋转密钥是 $RGS{W}_z(s_i)$，设置 $u$ 是展开因子（an unrolling factor），对应的向量集合 V = { 0 , 1 } u \ 0 u V = \{0,1\}^u \backslash 0^u V={0,1}u\0u，将 LWE 私钥分成 $n/u$ 个长度 $u$ 的分片，记为 $s_{(l)},0\le l\le n/u-1$。指示函数：
$$\forall v\in V,l\in [n/u],{\delta }_{v,l}=\{\begin{array}{rlr}1,& & s_{(l)}=v,\\ 0,& & \text{otherwise.}\end{array}$$
那么自举密钥就是 { R G S W ( δ v , l ) } v , l \{RGSW(\delta_{v,l})\}_{v,l} {RGSW(δv,l​)}v,l​，规模是 $(2^u-1)n/u$ 个 RGSW 密文，这比原始的 $n$ 个 $RGSW(s_i)$ 密文，增大了 $O(2^u)$ 倍。

盲旋转算法是：
$$RLWE(f)⊡\left(RGSW(1)+\sum _{v\in V}(X^{⟨a_{(j)},v⟩}-1)\cdot RGSW({\delta }_{v,l})\right)=RLWE(f\cdot X^{⟨a_{(l)},s_{(l)}⟩})$$
只需对于 $n/u$ 次外积运算，但是需要 $2^u$ 次数乘和加法。

[ZYL+18] 设置了 V = { 0 , 1 } u V = \{0,1\}^u V={0,1}u，那么自举密钥会更大一些，但是盲旋转更加简单，噪声会更小：
$$RLWE(f)⊡\left(\sum _{v\in V}{X}^{⟨a_{(j)},v⟩}\cdot RGSW({\delta }_{v,l})\right)=RLWE(f\cdot X^{⟨a_{(l)},s_{(l)}⟩})$$

Approximate Gadget Decomposition

[CGGI20] 对于实数环面（无限精度），提出了近似分解。为了减小自举密钥大小、盲旋转时间，[LMK+23] 提出了整数上的近似分解：原本的 Gadget Vector 是 $g=(1,B_g,B_g^2,\cdots ,B_g^{d_g-1})$，简单丢弃分解结果 $h(a)$ 的第一个分量，它和 $RGS{W}_z(m)$ 的外积是（这里的 $m\in R$ 是任意的多项式，不必是单项式）：
$$\sum _{i=1}^{d_g-1}h(a{)}_i\cdot RLW{E}_z(g_{i}m)=RLW{E}_z\left(m\cdot \sum _{i=1}^{d_g-1}{g}_{i}h(a{)}_i\right)$$
那么 BTS-Key 中的 $RLW{E}^{\prime }$ 可以减少一个 $RLWE$ 分量，外积也减少了一次 NTT 运算。噪声方差为：
$$(d_g-1)N{\sigma }^2\cdot \frac{B_g^2}{12}+Var(h(a{)}_0\cdot m)$$
这里省去了一个 RLWE 数乘的噪声，但是多了一个近似误差。由于 $h(a{)}_0$ 是系数范围 $B_g$ 的均匀多项式，如果满足 $Var(m)\le {\sigma }^2$，这个噪声就比原始的 $d_{g}N{\sigma }^2{B}_g^2/12$ 更小。

[KLD+23] 从打包密文中重构的盲旋转秘钥的噪声偏大（$\Vert e{\Vert }_{\infty }\ge B$，破坏了更多的 LSB 信息），因此只丢弃第一分量并不适合（可以丢弃更多）。他们采用 [CGGI20] 中的近似分解（把实数环面放大 $Q$ 倍），先选取一个近似因子 $\delta$，然后设置
$$g_{\delta }=(\delta ,B\delta ,B^2\delta ,\cdots ,B^{d-1}\delta )$$
其中满足 $B^d\delta \ge Q$，那么环元素 $a\in R_Q$ 可以分解为 $(a_0,a_1,\cdots ,a_{d-1})\in R^d$，满足 $\Vert a_i{\Vert }_{\infty }\le B/2$（平衡的进制表示），使得近似误差 $\Vert a-{\sum }_i{a}_i{B}^i\delta {\Vert }_{\infty }$ 最小化。文中没说怎么找出这个近似分解，我自己想了一下，可能是这么做的：

1. 将环元素 $a\in R_Q$ 写成平衡的代表，系数范围 $(-Q/2,Q/2]$
2. 从 $j=d-1,\cdots ,1,0$ 依次迭代，计算 $a_j=\lfloor a/(B^j\delta )\rceil$，然后赋值 $a=a-a_j{B}^j\delta$，类似于浮点尾数
3. 容易验证 $\Vert a-{\sum }_{i=j}^{d-1}{a}_i{B}^i\delta {\Vert }_{\infty }\le B^j\delta /2$，最终会是 $\le \delta /2$

现在根据 $g_{\delta }$ 来分解环元素，那么（近似的）强线性同态的密文形如：
$$RLW{E}_z^{\prime }(m)=(RLW{E}_z(m\delta ),RLW{E}_z(mB\delta ),\cdots ,RLW{E}_z(m{B}^{d-1}\delta ))$$
假设近似误差是 $ϵ=a-⟨g_{\delta },h_{\delta }(a)⟩\in R$，密文 $RLW{E}^{\prime }$ 的噪声是 $e\in R^d$，那么
$$\begin{array}{rl}(a\odot RLW{E}_z^{\prime }(m))(z)& =⟨h_{\delta }(a),RLW{E}_z^{\prime }(0)+m\cdot g_{\delta }⟩(z)\\ & =(⟨h_{\delta }(a),RLW{E}_z^{\prime }(0)⟩+m\cdot ⟨h_{\delta }(a),g_{\delta }⟩)(z)\\ & =m\cdot a+(⟨h_{\delta }(a),e⟩-m\cdot ϵ)\end{array}$$
假设 $RLW{E}^{\prime }$ 加密噪声的方差是 ${\sigma }_{err}^2$，那么这个外积的方差是
$$\begin{array}{rl}Var(Err(a\odot RLW{E}_z^{\prime }(m)))& \le Var(⟨h_{\delta }(a),e⟩)+Var(m\cdot ϵ)\\ & \le dN\cdot \frac{B^2}{12}\cdot {\sigma }_{err}^2+\Vert m{\Vert }_2^2\cdot \frac{{\delta }^2}{12}\end{array}$$
如果已知 $m\in R$ 的形式，可以预先确定 $\Vert m{\Vert }_2^2$，从而找出对应的最合适的 $\delta$ 取值（如果固定 $B$，则 $d$ 是关于 $\delta$ 的函数）。例如：对于盲旋转，使用 $RLW{E}_z^{\prime }(X^{a_i{s}_i})$，因此 $\Vert m{\Vert }_2^2=1$；对于二元秘密的密钥切换，使用 $RLW{E}_z^{\prime }(s)$，因此 $\Vert m{\Vert }_2^2\le N$。

Implementation

参数设置、运行结果：

好处是通信代价小于 1 MB，且自举密钥生成时间也很小。但是由于打包/解包带来的噪声增长，为了自举正确性 ACC 的模数变得很大，导致 ACC 维度翻倍，自举时间翻倍。