New Work-flow of Circuit Bootstrapping

参考文献：

1. [CGGI17] Chillotti I, Gama N, Georgieva M, et al. Faster packed homomorphic operations and efficient circuit bootstrapping for TFHE. ASIACRYPT 2017 (1): 377-408.
2. [CDKS21] Chen H, Dai W, Kim M, et al. Efficient homomorphic conversion between (ring) LWE ciphertexts. ACNS 2021 (1): 460-479.
3. [KLD+23] Kim A, Lee Y, Deryabin M, et al. LFHE: Fully homomorphic encryption with bootstrapping key size less than a megabyte[J]. Cryptology ePrint Archive, 2023.
4. [DKMS24] De Micheli G, Kim D, Micciancio D, et al. Faster amortized FHEW bootstrapping using ring automorphisms. Public Key Cryptography 2024 (4): 322-353.
5. [WWL+24] Wang R, Wen Y, Li Z, et al. Circuit Bootstrapping: Faster and Smaller. EUROCRYPT 2024 (2): 342-372.
6. Leveled mode of TFHE
7. Conversion Between (R)LWE
8. 加权自动机：在 Semirings 上建模

LHE Mode

TFHE 除了有 FHE mode，还有 [CGGI17] 提出的 LHE mode：

• 前者每个 Gate 都需要自举，利用 LinPoly + PBS 实现布尔运算；
• 后者仅在噪声过大或者类型不符时才自举，利用 det-WFA + CMux-based OBDD + BSR 实现布尔运算。由于 RLWE 和 RGSW 外积的噪声增长不对称性，只要 RGSW 加密消息的范数很小（比如：布尔值、单项式），那么 LHE 的容许 CMux 深度就会很大。

自动机的运算：

决策树的运算：

比特序列表示的运算：

但是，它们都是用 CMux Gate 搭建的，控制位是 RGSW 密文（布尔值/单项式的 Powers-of-Base），数据位是 RLWE/LWE 密文（系数编码）。如果想要把数据位提升到控制位，就需要 LWE-to-RGSW 的密文转换，也就是 “电路自举”。

Original TFHE

[CGGI17] 的电路自举的工作流如下：

他们使用三组参数：

• $(\underline{q},\underline{n})$ 是 Level 0 的 LWE 参数集，存储数据，具有最高的噪声。模数和维度都尽可能小，使得自举更高效。
• $(q,N)$ 是 Level 1 的 RGSW 参数集，存储控制位。模数和维度的规模，决定了外积的效率和深度。
• $(\overline{Q},\overline{N})$ 是 Level 2 的 RLWE 参数集，用于 PBS 自举，具有最小的噪声。选取足够大的模数，获得所需的深度。

电路自举包含两个步骤：令 $v=(v_0,v_1,\cdots ,v_{l-1})$ 是 RGSW 使用的 Gadget Vector，令 $\underline{sk},sk,\overline{sk}$ 分别是三层的私钥。

1. Functional Bootstrapping Step，

   • 输入单个 Level-0 LWE 密文 $LW{E}_{\underline{sk}}(m)$，使用 $l$ 次 PBS 计算出 $LW{E}_{\overline{sk}}(m{v}_i)$，
   • 这里可以使用 [CLOT21] 的 PBSmanyLUT 加速。

2. Ciphertext Conversion Step，

   • RGSW 密文的第一部分：使用 LWE-to-RLWE PubKS 过程，把 $(b,a)=LW{E}_{\overline{sk}}(m{v}_i)$ 切换到 $RLW{E}_{sk}(m{v}_i)$

     使用的 KSK 是 $RLW{E}_{sk}^{\prime }(\overline{s{k}_j})$，计算过程是
     $$(b,0)+\sum _j{a}_j\odot RLW{E}_{sk}^{\prime }(\overline{s{k}_j})$$

   • RGSW 密文的第二部分：使用 LWE-to-RLWE PriKS 过程，把 $(b,a)=LW{E}_{\overline{sk}}(m{v}_i)$ 切换到 $RLW{E}_{sk}(sk\cdot m{v}_i)$

     使用的 KSK 是 $RLW{E}_{sk}^{\prime }(sk\cdot \overline{s{k}_j})$ 以及 $RLW{E}_{sk}^{\prime }(sk)$，计算过程是
     $$b\odot RLW{E}_{sk}^{\prime }(sk)+\sum _j{a}_j\odot RLW{E}_{sk}^{\prime }(sk\cdot \overline{s{k}_j})$$

   • 最后把 $RLW{E}_{sk}(m{v}_i)$ 和 $RLW{E}_{sk}(sk\cdot m{v}_i)$ 组装成 $RGS{W}_{sk}(m)$ 密文即可。上述的 PubKS 和 PriKS 也可以采用 pre-computed variant，提高效率、降低噪声，代价是更大的 KSK 规模。

对于计算开销：使用 MV-PBS 之后，实际上 Ciphertext Conversion Step 占据了大部分。对于存储开销：也是 Ciphertext Conversion Step 中的 KSK 占据了大部分。

疑问：为何不使用 [CDKS21] 的基于自同构的 LWE-to-RLWE 呢？

• [CGGI17] 的 PubKS 或 PriKS，需要 $\overline{N}$ 次和标量 $a_j\in {\mathbb{Z}}_{\overline{Q}}$（系数表示下分解和数乘）的外积运算，每次都需要 $2lN$ 次模乘，共计 $2l\overline{N}N$
• 基于自同构的 LWE-to-RLWE，需要 $\overline{N}/N\cdot \log n$ 次和多项式 $a\in R_{\overline{Q},n}$（系数表示下分解，再转化为 NTT 表示）的外积运算（长度 $\overline{N}$ 的内积表示为 $\overline{N}/N$ 个长度 $N$ 的卷积），每次都需要 $2(l+1)N\log N+2lN$ 次模乘，共计 $2(l+1)\overline{N}{\log }^{2}N+2l\overline{N}\log N$
• 假如 $N=1024$，那么 ${\log }^{2}N=100\ll N$，效率提升应当十分显著，密钥规模也小得多，噪声方差会偏大 $\overline{N}\log N$ 因子。

Novel Work Flow

[WWL+24] 提出了新的工作流，移除了 ACC to LWE 步骤，直接把 ACC 重构为 RGSW（实际上就是把 Extract 和基于自同构的 LWE-to-RLWE 合并了），从而消除了开销最大的 PubKS 和 PriKS 过程。

仅使用 Level 0 和 Level 2 两组参数集，新的电路自举流程是：

1. PBS Without Sample Extraction，

   • 输入单个 Level-0 LWE 密文 $LW{E}_{\underline{sk}}(m)$，使用 $l$ 次 PBS 计算出
     $$RLW{E}_{\overline{sk}}({\overline{N}}^{-1}m{v}_i+\sum _{k=1}^{\overline{N}-1}{y}_k{X}^k)$$
     预期的明文在常数项（缩放 ${\overline{N}}^{-1}$ 抵消后续自同构的影响），其余的系数是冗余的。

   • 这里使用了 [WWL+24] 优化的 Automorphism-Based MV-PBS 算法。

2. Ciphertext Conversion，

• RGSW 密文的第一部分：使用 [CDKS21] 提出的 Trace 稀疏分解算法（分圆塔），使用 Galois自同构 ${\tau }_{2^k+1},k=\log \overline{N},\cdots ,2,1$ 对应的 KSK，计算出 $(b,a)=RLW{E}_{\overline{sk}}(m{v}_i)$

• RGSW 密文的第二部分：使用 [DKMS24] 提出的 RLWE’-to-RGSW 技术， 给定 $SSK=RLW{E}_{\overline{sk}}^{\prime }({\overline{sk}}^2)$，计算
  $$(0,b)+a\odot RLW{E}_{\overline{sk}}^{\prime }({\overline{sk}}^2)=RLW{E}_{\overline{sk}}(\overline{sk}\cdot m{v}_i+\overline{sk}\cdot e)$$
  其中 $e\in R_{\overline{Q},\overline{N}}$ 是 $RLW{E}_{\overline{sk}}(m{v}_i)$ 的噪声。

• 最后把 $RLW{E}_{\overline{sk}}(m{v}_i)$ 和 $RLW{E}_{\overline{sk}}(\overline{sk}\cdot m{v}_i)$ 组装成 $RGS{W}_{\overline{sk}}(m)$ 密文即可。

Ciphertext Conversion 的算法是：

总体的复杂度是：

疑问：文章说由于 step 2 无法切换维度，因此就把 RGSW 留在 Level 2 参数集。但是，这会导数 LHE 的计算开销较大（自举噪声和密钥切换噪声都累积在 ${\mathbb{Z}}_{\overline{Q}}$ 的低位，它们没必要保留）。可以依然使用中等规模的参数 $(q,N)$，可修改为：

1. 使用 Ring-Swich 技术，额外要求 $\overline{sk}\in R_N\le R_{\overline{N}}$，首先把 ACC 模切换到安全的模数 $q$，然后直接提取出维度 $N$ 子环（含有所需的常数项），这几乎是免费的
2. 现在 ACC 是参数 $(q,N)$ 下的 RLWE 密文，执行 Trace 消除冗余系数，然后做成 RGSW 密文，执行 LHE 运算
3. 这样做，step 1 完全不变（稀疏私钥的安全性），step 2 速度更快、存储更小

如果不想要稀疏私钥，也可以这么做：依旧提取出维度 $\overline{N}$ 的 LWE 密文，然后分成 $\overline{N}/N$ 个区间（内积 = 卷积），使用 [CDKS21] 的基于自同构的 LWE-to-RLWE 算法，仅需 $\overline{N}/N$ 次调用，效率损失也很小。

Automorphism-Based PBS

[WWL+24] 使用了两种 PBS Without Sample Extraction 算法，其一是 CMux-based Blind Rotation，其二是 Automorphism-Based Blind Rotation。

[WWL+24] 对前者的 Level 0 使用二元秘密（$\Vert s{\Vert }_2^2=\underline{n}/2$），对后者的 Level 0 使用 $\sigma =3.2$ 的高斯秘密（$\Vert s{\Vert }_2^2=\underline{n}{\sigma }^2$）。为了降低模切换噪声（大约是 ${\sigma }_{ms}^2=(\Vert s{\Vert }_2^2+1)/12$），[WWL+24] 两者的 Level 2 都使用二元秘密。

Using Sparse Isomorphism

[LMK+23] 的基于自同构的自举，关键是使用了同构 ${\mathbb{Z}}_{2N}^{\ast }\cong {\mathbb{Z}}_{N/2}\times {\mathbb{Z}}_2$，生成元是 { g , − 1 } \{g,-1\} {g,−1}。要求系数形如 $2k+1\in {\mathbb{Z}}_{2N}$，从而可以表示为 $\pm g^j$ 形式，只需要准备 $2$ 个 KSK，使用 Galois 自同构计算指数上的数乘 $X^{a_i\cdot s_i}={\tau }_{\pm g^j}(X^{s_i})$

为了进一步提高自举效率（和 $a_i$ 不同取值的数量有关），[WWL+24] 使用了更加稀疏的系数，形如 $k\cdot 2^{\nu }+1\in {\mathbb{Z}}_{2N}$，只要 $N\ge 8$ 并且 $\nu \ge 2$，则它们构成了某个元素 $g\in {\mathbb{Z}}_{2N}$ 生成的乘法循环群，只需要准备 $1$ 个 KSK 即可。易知 $ord(5\mathrm{mod}2N)=N/2$，因此可以选取 $g=5^{2^{\nu -2}}$

类似于 [LMK+23]，只要系数 $a_i$ 都具有 $k\cdot 2^{\nu }+1$ 形式，那么就可以把内积写成关于 $g$ 的多项式，再使用 Horner 法则整理为：
$$\sum _i{a}_i{s}_i=P_s(g):=\sum _{j\in I_0}{s}_j+g\left(\cdots +g\left(\sum _{j\in I_{2N/2^{\nu }}-1}{s}_j\right)\right)(\mathrm{mod}2N)$$
其中 I j = { i : a i = g j } , j = 0 , 1 , ⋯   , 2 N / 2 ν − 1 I_j = \{i: a_i = g^j\}, j=0,1,\cdots,2N/2^\nu-1 Ij​={i:ai​=gj},j=0,1,⋯,2N/2ν−1

由于 $ord(g)=2N/2^{\nu }$，盲旋转总共执行了 $2N/2^{\nu }-1$ 次串行的 ${\tau }_g$ 自同构，因此初始 ACC 加密 $TV(X)$，则最终计算出 $TV(X^{g^{-1}})\cdot X^{{\sum }_i{a}_i{s}_i}$，因此需要预先把 test vector 扭曲 $X\to X^g$，保证计算结果的正确性。

在执行盲旋转之前，使用 $\lfloor x{\rceil }_{k\cdot 2^{\nu }+1}$ 把 LWE 系数都舍入到合适的形式，这里的舍入噪声会比 [LMK+23] 更大。

也采用了 [LMK+23] 的窗口技术，进一步降低自同构的数量。

由于期望值难以计算，为了确定最优的窗口大小，他们使用 Monte Carlo simulation 统计出不同 $w$ 对应的自同构数量。对于不同维度 $N^{\prime }=2N/2^{\nu }$，试验出的最佳 $w$ 是：

完整的 PBS 算法是：

MV-PBS

由于 LWE 密文舍入到的 $(b,a)$ 都是 $k\cdot 2^{\nu }+1$ 形式的整数，而非 $2^{\nu }$ 倍数，因此无法直接成为 Multi-Value PBS。可以采取很简单的技巧：
$$X^{b+{\sum }_i{a}_i{s}_i}=X^{b+{\sum }_i(a_i+1)s_i-{\sum }_i{s}_i}$$
其中的 $(b,a)$ 都是 $2^{\nu }$ 的倍数，从而 $b+{\sum }_i{a}_i{s}_i$ 也都是 $2^{\nu }$ 的倍数。这额外需要 $AUX=RGS{W}_{\overline{sk}}(X^{-{\sum }_i{\underline{sk}}_i})$ 作为辅助信息。

用于电路自举的 MV-PBS 算法如下：计算符号函数、不做密文提取。

完整的 PBS 算法是：

Analysis & Parameters

为了减少 Gadget Vector 的长度，[WWL+24] 对于所有的外积都使用了 [KLD+23] 的 Approximate Gadget Decomposition，选取 $B^l<q$，那么 $v=(\delta ,\delta B,\cdots ,\delta B^{l-1})$，其中 $\delta =\lceil q/B^l\rceil$，近似误差 $ϵ\le \delta /2$，环元素和 $RLW{E}^{\prime }(m)$ 的外积噪声是 ${\sigma }^2\le lN{B}^2{\sigma }_{fresh}^2/12+Var(m)\cdot {ϵ}^2/3$（减少了前者，增加了后者，做个平衡），其中 $Var(m)\le \Vert m{\Vert }_2^2$。如果是 $RLWE$ 和 $RGSW$ 的外积，则还有 $\Vert m{\Vert }_2^2\cdot {\sigma }_{RLWE}^2$ 的影响。

有五个不同的 Gadget Vector，它们的 $RLW{E}^{\prime }$ 的消息格式为

1. 执行 LHE mode 运算：维度 $\overline{N}$，模数 $\overline{Q}$，控制位形如 m = b X i , b ∈ { 0 , 1 } m=bX^i, b \in \{0,1\} m=bXi,b∈{0,1}，因此 $\Vert m{\Vert }_2^2\le 1$
2. PBS 中的外积：维度 $\overline{N}$，模数 $\overline{Q}$，CMux-based 形如 $m={\underline{sk}}_i$（二元），Auto-based 形如 $m=X^{{\underline{sk}}_i}$（高斯），都是 $\Vert m{\Vert }_2^2\le 1$
3. PBS 中的自同构：维度 $\overline{N}$，模数 $\overline{Q}$，CMux-based 中不存在，Auto-based 形如 $m=\overline{sk}(X^{g^j})$，满足 $\Vert m{\Vert }_2^2\le \overline{N}/2$
4. 密文转换中的迹映射：维度 $\overline{N}$，模数 $\overline{Q}$，形如 $m=\overline{sk}(X^{g^u})$，满足 $\Vert m{\Vert }_2^2\le \overline{N}/2$
5. 密文转换中的乘以私钥：维度 $\overline{N}$，模数 $\overline{Q}$，形如 $m={\overline{sk}}^2$（二元），满足 $\Vert m{\Vert }_2^2\le {\overline{N}}^2/4$

[WWL+24] 首先选取了 Level 0 和 Level 2 的维度和模数，然后固定 $\nu =2$ 以及 PBS 输入密文的最大容许噪声 ${\sigma }_{in}^2=2^{10}$（保证自举后的解密失败率足够小），最后选取不同的 Gadget Vector 参数（效率和深度的平衡）。

由于对 step 2 的优化，新电路自举算法的规模和效率都有很大的提升：