全同态加密：BFV-Toy模板网

这篇具有很好参考价值的文章主要介绍了全同态加密：BFV。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

参考文献：

O. Regev. On lattices, learning with errors, random linear codes, and cryptography. In H. N. Gabow and R. Fagin, editors, STOC, pages 84–93. ACM, 2005. Full version in J. ACM 56(6), 2009.
V. Lyubashevsky, C. Peikert, and O. Regev. On Ideal Lattices and Learning with Errors over Rings. In Advances in Cryptology - EUROCRYPT 2010, volume 6110 of Lecture Notes in Computer Science, pages 1–23. Springer, 2010. Full version of the paper available upon request from authors.
Z. Brakerski. Fully Homomorphic Encryption without Modulus Switching from Classical GapSVP. IACR Cryptology ePrint Archive, 2012:78, 2012.
Fan J, Vercauteren F. Somewhat practical fully homomorphic encryption[J]. Cryptology ePrint Archive, 2012.

Regev Scheme

2009 年，Regev 提出了第一个基于 LWE 的加密方案。方案如下：

全同态加密：BFV

LPR Scheme

在 Regev Scheme 中，明文空间是 $\mathbb Z_2$ ，使用 most significant bit encoding。我们可以容易地修改它，使得密码方案基于 RLWE 问题，明文空间为 $R_t,\, t \ge 2$ ，只需把 $\delta = \lfloor q/2 \rceil$ 替换为 $\Delta = \lfloor q/t \rceil$ 即可。方案如下：

全同态加密：BFV

BFV

Brakerski Scheme

Without Modulus Switching

此方案是基于 LWE 的。对于 Regev Scheme，如果将向量 $s, c$ 写成增广形式，那么有 $\cdot m+e+qI$ ，其中 $\le E < q/4$ ， $\in \mathbb Z$ 是个整数，密文 $c$ 的分量取值范围是 $(- q /2, q /2]$

考虑分数密文（fractional ciphertext） $c ’ = c / q$ ，那么
$\frac{1}{2} \cdot m + e' + I$

其中噪音 $\le E/q = \epsilon < 0.25$ 是个小数，密文 $c ’$ 的各个分量的取值范围是 $(- 1/2, 1/2]$

同态加法 $c_{add} = c_1+c_2$ ，有：
$\begin{aligned} <c_1+c_2,\, s> &= <c_1,s> + <c_2,s> \\ &= \frac{1}{2} m + (e_1+e_2) \mod 1 \end{aligned}$

同态乘法 $c_{mult} = 2 \cdot c_1 \otimes c_2$ ，有：
$\begin{aligned} <2 \cdot c_1 \otimes c_2,\, s \otimes s> &= 2 \cdot <c_1,s> \cdot <c_2,s> \\ &= \frac{1}{2} m_1m_2 + 2(e_1I_2 + e_2I_1) + e_1m_2 + e_2m_1 + 2e_1e_2 \mod 1 \end{aligned}$

其中 $I_1|,|I_2|$ 的界约为 $s\|_1$ ，所以 $c_{mult}$ 中的噪声的界为 $O(\|s\|_1) \cdot \epsilon$ 。由于 Regev Scheme 中的私钥取自均匀分布，因此 $\|s\|_1 \approx nq$ ，模数 $q$ 是安全参数 $n$ 的指数级。而其他噪声 $e_1m_2+e_2m_1 \le 2t \epsilon$ ， $2e_1e_2 \le 2\epsilon^2$ 的占比很小。因此，主要噪声就是 $2(e_1I_2 + e_2I_1)$

为了减小噪声，需要要减小私钥的 $l_1$ 范数。我们可以对解密电路做二进制分解（binary decomposition），令 $\sum_j 2^j s^{(j)}$ ，其中 $s^{(j)}$ 的各个元素是 $s$ 的各个元素的第 $j$ 比特。那么，解密电路化为：
$\begin{aligned} <c,s> &= \sum_j 2^j <c,s^{(j)}> \\ &= <(c,\, 2c,\, \cdots),\,\, (s^{(0)},\, s^{(1)},\, \cdots)> \end{aligned}$

那么，我们就将 $s$ 下的密文 $c$ ，转化为了 $(s^{(0)},\, s^{(1)},\, \cdots)$ 下的密文 $(c,\, 2c,\, \cdots)$

二进制私钥的 $l_1$ 范数至多是其维度，即 $\cdot \log q) = O(poly(n))$ ，因此噪声增长是多项式级别的。也就是说，我们不必使用 BGV 中的模切换技术了！

在代码实现时，由于浮点数精度问题，我们将密文放大 $q$ 倍。实质上是用 $\mathbb Z_q$ 上的整数运算，来模拟 $R/\mathbb Z$ 上的浮点数运算：令 $y_i = \lfloor qx_i \rceil$ ，那么
$\begin{aligned} y_1+y_2 \approx \lfloor q(x_1+x_2) \rceil\\ \lfloor (y_1 \cdot y_2)/q \rceil \approx \lfloor q \cdot x_1 \cdot x_2 \rceil \end{aligned}$

这样，同态加法为 $c_1+c_2$ ，同态乘法为 $\lfloor 2/q \cdot c_1 \otimes c_2 \rceil$

有趣的是，此时的 Brakerski Scheme 的加解密算法与 Regev Scheme 完全一致。

Scale Invariant LHE / FHE

于是，我们可以实现 scale invariant L-homomorphic scheme: BGV 中的计算复杂的 “refresh” 过程，被更简单的 key switching 取代。

本方案中使用 BGV 的向量解压和密钥切换过程，

全同态加密：BFV

Brakerski Scheme 如下：

全同态加密：BFV

同态运算后，密文中携带的噪声为：

全同态加密：BFV

为了实现 L-homomorphic，需要噪声分布 $\chi$ 的界 $B$ 满足：
$\ge (O(n \log q))^{L+O(1)}$

由于解密电路的深度为 $O(\log n + \log \log q)$ ，因此为了满足 Bootstrapping 的运算条件，需要
$\ge (n \log q)^{O(\log n + \log \log q)}$

从而实现出一个 fully homomorphic encryption scheme

Fan-Vercauteren Scheme

Relinearisation

此方案将上述的基于 LWE 的 Brakerski Scheme 移植到了 RLWE 上。

在 LPR 方案中，环 $R=\mathbb Z[x]/(f(x))$ ，一般选取 $f(x)=x^{2^n}+1$ 为分圆多项式。在 FV Scheme 中，做优化 $\leftarrow R_2$ （不再取自 $\chi$ ），其他的与 LPR 相同。

密文形如 $c=(c_0,\, c_1) \in R^2$ ，密钥形如 $\in R^2$ ，那么解密过程可以视作是一次函数的求值：
$c_0 + c_1 s = c(s) = \Delta \cdot m+v + q \cdot r$

其中 $\in R$ ，噪音大小为 $\|v\| \le 2 \delta_R B^2 + B$ ，这里
$\delta_R = max\{ \frac{\|a \cdot b\|}{\|a\| \cdot \|b\|}:\, a,b \in R\}$

是扩张因子（expansion factor of $R$ ），其中的 $a\|=\max_i |a_i|$ 是无穷范数。

同态加法就是多项式加法 $ct_{add} = ct_1+ct_2$ ，那么
$[(ct_1+ct_2)(s)]_q = \Delta \cdot [m_1+m_2]_t + v_3$

这里噪声 $v_3\|$ 的增长是线性的。

同态乘法就是多项式乘法 $c_{mult} = t/q \cdot ct_1 \cdot ct_2$ ，那么
$t/q \cdot ct_1 \cdot ct_2)(s)]_q = \Delta \cdot [m_1 \cdot m_2]_t + v_3$

这里噪声 $v_3\|$ 的增长因子粗略的是 $2\cdot t\cdot \delta_R^2 \cdot \|s\|$

类似于 BV 方案的张量积让密文规模扩大，需要执行密钥切换过程，以降低其规模。在 FV 方案中的多项式乘积让密文的成为二次函数。我们需要执行重线性化（Relinearisation）过程，使得密文保持为一次多项式：令 $ct = [c_0, c_1, c_2]$ ，寻找 $ct' = [c_0', c_1']$ ，使得
$[c_0+c_1 \cdot s+c_2 \cdot s^2]_q = [c_0'+c_1' \cdot s+r]_q$

要保证噪声的无穷范数 $\|r\|$ 很小。可以设置重线性化密钥（relinearisation key）为：
$([-(a_0 \cdot s+e_0)+s^2]_q,\, a_0)$

其中 $e_0 \leftarrow \chi$ ， $a_0 \leftarrow R_q$ 。注意到 $\cdot s = s^2+e_0$ ，那么令
$(c_0+rlk[0] \cdot c_2,\, c_1+rlk[1] \cdot c_2)$

得到 $r=e_0 \cdot c_2 \in R$ ，但是由于 $c_2 \in R_q$ ，所以噪声 $r$ 过大。需要降低 $c_2\|$ 或者 $\|r\|$

方案一

将 $c_2$ 做 $T$ 进制分解，从而降低范数 $c_2\|$ ，令 $c_2 = \sum_{i=0}^{l-1} T^i \cdot c_2^{(i)}$ ，其中 $\lceil\log_T(q) \rceil$

对应的，设置重线性化密钥为：
$\{ ([-(a_i \cdot s+e_i) + T^i \cdot s^2]_q,\, a_i):\, i =0,1,\cdots,l-1 \}$

那么，新密文是
$c_0' = \left[ c_0 + \sum_i rlk[i][0] \cdot c_2^{(i)} \right]_q,\,\, c_1' = \left[ c_1 + \sum_i rlk[i][1] \cdot c_2^{(i)} \right]_q$

此时， $\sum_i c_2^{(i)} \cdot e_i$ ，base $T$ 越小，则范数 $\|r\|$ 越小，但 $r l k$ 越大，计算速度也越慢。注意到重线性化所引入的噪声 $r$ 独立于密文噪声，为了保持良好的同态能力，应使得 $r$ 不大于做密文噪声太多。

Dynamic Relinearisation：选取一个尽可能小的 $T$ 计算出 $r l k$ ，如果多次乘法后密文的噪声增大，那么就可以从中提取出恰当的 $T^k$ 的 $r l k$ ，来加速重线性化过程。

方案二

使用模切换，在一个大的模 $\cdot q$ 上运算，然后使用除法降低范数 $\|r\|$ ，令重线性化密钥为：
$([-(a_0 \cdot s+e_0) + p \cdot s^2]_{p \cdot q},\, a_0)$

其中 $a_0 \leftarrow R_{p \cdot q}$ ， $\leftarrow \chi'$ ，这里的分布 $\chi' \neq \chi$ 是新分布。如果 $\cdot q=q^k,\, k \in \mathbb R$ ， $\|\chi\|<B$ ，那么需要 $\|\chi'\| = B_k > \alpha^{1-\sqrt k} \cdot q^{k-\sqrt k} \cdot B^{\sqrt k}$ ， $\alpha \approx 3.758$ 是常数，以保证安全性不损失。

那么，
$c_0'' = \left[ \left\lfloor \frac{c_2 \cdot rlk[0]}{p} \right\rceil \right]_q,\,\, c_1'' = \left[ \left\lfloor \frac{c_2 \cdot rlk[1]}{p} \right\rceil \right]_q$

容易验证 $c_0''+c_1'' \cdot s = c_2 \cdot s^2 + r$ ，那么新密文就是 $ct' = (c_0+c_0'',\, c_1+c_1'')$ ，其中 $\|r\| < \dfrac{q \cdot B_k \cdot \delta_R}{p} + \dfrac{\delta_R \cdot \|s\| + 1}{2}$ ，整数 $p$ 越大，那么范数 $\|r\|$ 越小，但计算速度越慢。