Bootstrapping原理学习

概括

把一个满噪音的FHE的密文加密进另一个FHE密文中，并且同态计算FHE的解密算法，把里层的密文解密还原为原文，就能获得一个全新的低噪音FHE密文。

一次bootstrapping的过程

1. 首先生成多组密钥（以两组为例）$(p{k}_1,s{k}_1),(p{k}_2.s{k}_2)$
2. 假定明文为$m$，首先用第一组密钥进行加密得到$En{c}_{p{k}_1}(m)$，初始得到的噪声很低，随着不断的同态计算将得到一个达到噪声临界值的密文$C_{f(m)}=En{c}_{p{k}_1}(f(m))$，也就是说如果再进行一次同态计算就将导致解密失败。
3. 接着，将这个密文用$p{k}_2$进行加密得到$En{c}_{p{k}_2}(C_{f(m)})$。
4. 然后使用一个加密后的密钥$En{c}_{p{k}_2}(s{k}_1)$，使用$En{c}_{p{k}_2}(C_{f(m)})$ 和$En{c}_{p{k}_2}(s{k}_1)$ 进行同态运算$De{c}_{s{k}_1}(C_{f(m)})$。这样一来可以得到$En{c}_{p{k}_2}(De{c}_{s{k}_1}(C_{f(m)}))=En{c}_{p{k}_2}(C_{f(m)})$，这样一来，当前的噪声已经不是达到限度的那个噪声了，而是一次同态运算后产生的新的噪声，也就变相的削弱了噪声。

同理，可以继续嵌套这个过程，等到每一波同态计算噪音极限后，再次Bootstrapping来计算更复杂的函数。
当然，这里存在一个小缺点，那就是在生成参数的时候需要事先准备好Bootstrapping的链条，即生成公钥私钥对$\{p{k}_i,s{k}_i\}$，并且公开对应的私钥$s{k}_i$加密在下的密文$p{k}_{i+1}$。所以作为第三方，我们仍然不能计算任意深度的电路，因为计算的深度在进行公共参数生成的阶段已经被决定好了。
解决方案可以使用循环密钥，以双密钥的系统来说$(p{k}_1,s{k}_1),(p{k}_2.s{k}_2)$，同时公开在$p{k}_2$加密下的$s{k}_1$和$p{k}_1$加密下的$s{k}_2$，然后无限循环即可。

还可以使用一组密钥即可完成，也就是公开$p{k}_1$加密下的$s{k}_1$，接着循环调用即可。

上述Bootstrapping过程称为Circuit Bootstrapping，还有一种Gate Bootstrapping，即每当进行一次最简单的同态计算，就进行一轮的Bootstrapping把噪声值还原到进行计算前的量，这个可以在应用层之下实现Bootstrapping。

参考

初探全同态加密之四：Bootstrapping的原理与实现

Computing Arbitrary Functions
of Encrypted Data By Craig Gentry