TFHE 的全同态模结构(FHE Module Structure)

参考文献:

  1. [CGGI20] Chillotti I, Gama N, Georgieva M, et al. TFHE: fast fully homomorphic encryption over the torus[J]. Journal of Cryptology, 2020, 33(1): 34-91.
  2. [BGGJ20] Boura C, Gama N, Georgieva M, et al. Chimera: Combining ring-lwe-based fully homomorphic encryption schemes[J]. Journal of Mathematical Cryptology, 2020, 14(1): 316-338.

文章目录

  • Notation
  • TLWE
  • TRLWE
  • TGSW
  • TRGSW
  • FHE Module Structure

Notation

代数结构:

  • 实数环面 T = R / Z = [ 0 , 1 ) \mathbb T = \mathbb R/\mathbb Z = [0,1) T=R/Z=[0,1)
  • 整系数多项式环 R = Z [ x ] / ( x N + 1 ) R = \mathbb Z[x]/(x^N+1) R=Z[x]/(xN+1)
  • 系数取自整环 A ∈ { Z , R , C } A \in \{\mathbb Z,\mathbb R,\mathbb C\} A{Z,R,C},多项式环 R A = R ⊗ Z A = A [ x ] / ( x N + 1 ) R_A = R \otimes_\mathbb Z A=A[x]/(x^N+1) RA=RZA=A[x]/(xN+1)
  • 商环 R q = R / q R = Z q [ x ] / ( x N + 1 ) R_q=R/qR = \mathbb Z_q[x]/(x^N+1) Rq=R/qR=Zq[x]/(xN+1),自然满射 π q : R → R q \pi_q:R \to R_q πq:RRq 是同态
  • 商群 T R = R R / R Z = T [ x ] / ( x N + 1 ) \mathbb T_R = R_\mathbb R/R_\mathbb Z = \mathbb T[x]/(x^N+1) TR=RR/RZ=T[x]/(xN+1),它是 R R R 左模(但不是环),环 R R R 左作用 T R \mathbb T_R TR 称为 “外积”

Lipschitz 函数:斜率绝对值不大于 κ \kappa κ,因此被两个一次函数夹逼。

集中分布(concentrated distributions):除了可忽略的测度,概率分布的支撑集是某个半径 1 / 2 1/2 1/2 球体的子集;此时,这个实数环面上的概率分布是良的,存在良定义的期望、标准差。

TLWE

底层的代数结构,

  • 秘钥空间: B ⊆ Z N \mathcal B \subseteq \mathbb Z^N BZN,小范数的整数向量集合
  • 明文空间: T \mathbb T T,是 Z \mathbb Z Z 模(不是环,乘法未定义
  • 密文空间: T N × T = T N + 1 \mathbb T^N \times \mathbb T = \mathbb T^{N+1} TN×T=TN+1,是 Z \mathbb Z Z 模(无法被 T \mathbb T T 作用,同态乘法不自然)
  • 相位函数: ϕ s : ( a , b ) ↦ b − s t a \phi_s: (a,b) \mapsto b-s^ta ϕs:(a,b)bsta,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l 范数)

不考虑(具有同态性质的)纠错码,

对称密钥:

  1. 均匀采样 s ← B s \gets \mathcal B sB,它是整系数的短向量

加密:

  1. 明文 μ ∈ T \mu \in \mathbb T μT
  2. 均匀采样 a ← T N a \gets \mathbb T^N aTN,零中心高斯采样 e ← T e \gets \mathbb T eT
  3. 计算 b : = s t a + e ∈ T b := s^ta+e \in \mathbb T b:=sta+eT,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e0
  4. 密文 c : = ( a , b ) + ( 0 , μ ) c:=(a,b)+(0,\mu) c:=(a,b)+(0,μ),是长度 N + 1 N+1 N+1 的列向量

解密:

  1. 密文 ( a , b ′ ) ∈ T N × T (a,b') \in \mathbb T^N \times \mathbb T (a,b)TN×T
  2. 计算 ϕ s ( a , b ′ ) = e + μ ∈ T \phi_s(a,b') = e+\mu \in \mathbb T ϕs(a,b)=e+μT
  3. 带噪明文 μ + e \mu+e μ+e 是一个随机变量,均值是 μ \mu μ

同态运算:

  1. 根据 Z \mathbb Z Z 模的加法, μ 1 + μ 2    ⟺    c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2c1+c2
  2. 根据 Z \mathbb Z Z 模的环作用, k ⋅ μ    ⟺    k ⋅ c k \cdot \mu \iff k \cdot c kμkc,其中 k ∈ Z k \in \mathbb Z kZ
  3. 不支持乘法运算,BGV 的密文张量积不自然, μ 1 μ 2    ⟺    s t c 1 ⋅ s t c 2 = s t c 1 ⊗ s t c 2 = ( s ⊗ s ) t ⋅ ( c 1 ⊗ c 2 ) \mu_1\mu_2 \iff s^tc_1 \cdot s^tc_2=s^tc_1 \otimes s^tc_2=(s \otimes s)^t\cdot(c_1 \otimes c_2) μ1μ2stc1stc2=stc1stc2=(ss)t(c1c2)

TRLWE

底层的代数结构,

  • 秘钥空间: B ⊆ R \mathcal B \subseteq R BR,小范数的整系数多项式集合
  • 明文空间: T R \mathbb T_R TR,是 R R R 模(不是环,乘法未定义
  • 密文空间: T R × T R = T R 2 \mathbb T_R \times \mathbb T_R = \mathbb T_R^2 TR×TR=TR2,是 R R R 模(无法被 T R \mathbb T_R TR 作用,同态乘法不自然)
  • 相位函数: ϕ s : ( a , b ) ↦ b − s ⋅ a \phi_s: (a,b) \mapsto b-s\cdot a ϕs:(a,b)bsa,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l 范数)

不考虑(具有同态性质的)纠错码,

对称密钥:

  1. 均匀采样 s ← B s \gets \mathcal B sB,它是短的整系数多项式

加密:

  1. 明文 μ ∈ T R \mu \in \mathbb T_R μTR
  2. 均匀采样 a ← T R a \gets \mathbb T_R aTR,零中心高斯采样 e ← T R e \gets \mathbb T_R eTR
  3. 计算 b : = s ⋅ a + e ∈ T R b := s\cdot a+e \in \mathbb T_R b:=sa+eTR,满足 ϕ s ( a , b ) = e ≈ 0 \phi_s(a,b)=e \approx 0 ϕs(a,b)=e0
  4. 密文 c : = ( a , b ) + ( 0 , μ ) c:=(a,b)+(0,\mu) c:=(a,b)+(0,μ),是长度 2 2 2 的列向量

解密:

  1. 密文 ( a , b ′ ) ∈ T R × T R (a,b') \in \mathbb T_R \times \mathbb T_R (a,b)TR×TR
  2. 计算 ϕ s ( a , b ′ ) = e + μ ∈ T R \phi_s(a,b') = e+\mu \in \mathbb T_R ϕs(a,b)=e+μTR
  3. 带噪明文 μ + e \mu+e μ+e 是一个随机变量,均值是 μ \mu μ

同态运算:

  1. 根据 R R R 模的加法, μ 1 + μ 2    ⟺    c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2c1+c2
  2. 根据 R R R 模的环作用, k ⋅ μ    ⟺    k ⋅ c k \cdot \mu \iff k \cdot c kμkc,其中 k ∈ R k \in R kR
  3. 不支持乘法运算,BFV 的密文多项式乘积不自然, μ 1 μ 2    ⟺    c 1 ( s ) ⋅ c 2 ( s ) = ( c 1 ⋅ c 2 ) ( s ) \mu_1\mu_2\iff c_1(s)\cdot c_2(s)=(c_1\cdot c_2)(s) μ1μ2c1(s)c2(s)=(c1c2)(s)

TGSW

底层的代数结构,

  • 秘钥空间: B ⊆ Z N \mathcal B \subseteq \mathbb Z^N BZN,小范数的整数向量集合
  • 明文空间: Z \mathbb Z Z,是整数环(定义了乘法
  • 密文空间: T N × ( N + 1 ) l × T N l = T ( N + 1 ) × ( N + 1 ) l \mathbb T^{N\times (N+1)l} \times \mathbb T^{Nl}=\mathbb T^{(N+1) \times (N+1)l} TN×(N+1)l×TNl=T(N+1)×(N+1)l,是 Z \mathbb Z Z 模(同态乘法自然)
  • 相位函数: ϕ s : ( A , b ) ↦ b − s t A \phi_s: (A,b) \mapsto b-s^tA ϕs:(A,b)bstA,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l 范数)

采用 Gadget 纠错码,设置行向量 g = [ 2 − 1 , 2 − 2 , ⋯   , 2 − l ] g=[2^{-1},2^{-2},\cdots,2^{-l}] g=[21,22,,2l],其中 α = 2 − l \alpha=2^{-l} α=2l 是实数环面的离散化精度 2 − l Z / Z ⊆ T 2^{-l}\mathbb Z/\mathbb Z \subseteq \mathbb T 2lZ/ZT
G = I N + 1 ⊗ g = [ g g ⋱ g ] ∈ Z ( N + 1 ) × ( N + 1 ) l G = I_{N+1} \otimes g = \begin{bmatrix} g&\\ &g&\\ &&\ddots&\\ &&& g \end{bmatrix} \in \mathbb Z^{(N+1) \times (N+1)l} G=IN+1g= ggg Z(N+1)×(N+1)l

对应的逆变换 G − 1 G^{-1} G1 是个随机化程序,满足 ∥ G G − 1 ( C ) − C ∥ ∞ ≤ α / 2 \|GG^{-1}(C)-C\|_\infty \le \alpha/2 GG1(C)Cα/2,对于任意的 C ∈ T ( N + 1 ) × ( N + 1 ) l C \in \mathbb T^{(N+1) \times (N+1)l} CT(N+1)×(N+1)l

对称密钥:

  1. 均匀采样 s ← B s \gets \mathcal B sB,它是整系数的短向量

加密:

  1. 明文 μ ∈ Z \mu \in \mathbb Z μZ,编码为有限精度的环面矩阵 μ G ∈ T ( N + 1 ) × ( N + 1 ) l \mu G \in \mathbb T^{(N+1) \times (N+1)l} μGT(N+1)×(N+1)l
  2. 均匀采样 A ← T N × ( N + 1 ) l A \gets \mathbb T^{N \times (N+1)l} ATN×(N+1)l,零中心高斯采样 e ← T ( N + 1 ) l e \gets \mathbb T^{(N+1)l} eT(N+1)l(行向量)
  3. 计算 b : = s t A + e ∈ T ( N + 1 ) l b := s^tA+e \in \mathbb T^{(N+1)l} b:=stA+eT(N+1)l(行向量),满足 ϕ s ( A , b ) = e ≈ 0 \phi_s(A,b)=e \approx 0 ϕs(A,b)=e0
  4. 密文 c : = [ A b ] + μ G c:=\begin{bmatrix}A\\b\end{bmatrix}+\mu G c:=[Ab]+μG,基本是 ( N + 1 ) l (N+1)l (N+1)l 个 TLWE 密文的组合(除了纠错码不同)

解密:

  1. 密文 [ A ′ b ′ ] ∈ T ( N + 1 ) × ( N + 1 ) l \begin{bmatrix}A'\\b'\end{bmatrix} \in \mathbb T^{(N+1) \times (N+1)l} [Ab]T(N+1)×(N+1)l
  2. 计算 ϕ s ( A ′ , b ′ ) = e + μ ( − s , 1 ) G ∈ T ( N + 1 ) l \phi_s(A',b') = e+\mu (-s,1)G \in \mathbb T^{(N+1)l} ϕs(A,b)=e+μ(s,1)GT(N+1)l(行向量)
  3. 截取长度 l l l 的尾巴,得到的 e ′ + μ g ∈ T l e'+\mu g \in \mathbb T^l e+μgTl 是含噪码字,均值 μ g \mu g μg

同态运算:

  1. 根据 Z \mathbb Z Z 模的加法, μ 1 + μ 2    ⟺    c 1 + c 2 \mu_1+\mu_2 \iff c_1+c_2 μ1+μ2c1+c2

  2. 根据 Z \mathbb Z Z 模的环作用, k ⋅ μ    ⟺    k ⋅ c k \cdot \mu \iff k \cdot c kμkc,其中 k ∈ Z k \in \mathbb Z kZ

  3. 同态乘法,明文空间 μ 1 ∈ Z \mu_1 \in \mathbb Z μ1Z 对于密文空间 G − 1 ( μ 2 G ) ∈ T ( N + 1 ) × ( N + 1 ) l G^{-1}(\mu_2G) \in \mathbb T^{(N+1) \times (N+1)l} G1(μ2G)T(N+1)×(N+1)l环作用
       C 1 ⋅ G − 1 ( C 2 ) =    ( ( A 1 , b 1 ) + μ 1 G ) ⋅ G − 1 ( ( ( A 2 , b 2 ) + μ 2 G ) ) =    ( ( A 1 , b 1 ) ⋅ G − 1 ( C 2 ) + μ 1 C 2 ) + μ 1 μ 2 G \begin{aligned} &\,\, C_1 \cdot G^{-1}(C_2)\\ =&\,\, ((A_1,b_1)+\mu_1 G) \cdot G^{-1}(((A_2,b_2)+\mu_2 G))\\ =&\,\, \left((A_1,b_1) \cdot G^{-1}(C_2) + \mu_1C_2\right) + \mu_1\mu_2G \end{aligned} ==C1G1(C2)((A1,b1)+μ1G)G1(((A2,b2)+μ2G))((A1,b1)G1(C2)+μ1C2)+μ1μ2G

    它的噪声增长是不平衡的,导出了乘法链的右结合性。

TRGSW

底层的代数结构,

  • 秘钥空间: B ⊆ R \mathcal B \subseteq R BR,小范数的整系数多项式集合
  • 明文空间: R R R,是整系数多项式环(定义了乘法
  • 密文空间: T R 2 l × T R 2 l = T R 2 × 2 l \mathbb T_R^{2l} \times \mathbb T_R^{2l} = \mathbb T_R^{2 \times 2l} TR2l×TR2l=TR2×2l,是 R R R 模(同态乘法自然)
  • 相位函数: ϕ s : ( A , b ) ↦ b − s A \phi_s: (A,b) \mapsto b-sA ϕs:(A,b)bsA,是 κ \kappa κ Lipschitz 函数,其中 κ \kappa κ 很小(关于环面上 l ∞ l_\infty l 范数)

采用 Gadget 纠错码,设置 g = [ 2 − 1 , 2 − 2 , ⋯   , 2 − l ] g=[2^{-1},2^{-2},\cdots,2^{-l}] g=[21,22,,2l] 是行向量,其中 α = 2 − l \alpha=2^{-l} α=2l 是环面的离散化精度 2 − l R Z / R Z ⊆ T R 2^{-l}R_\mathbb Z /R_\mathbb Z \subseteq \mathbb T_R 2lRZ/RZTR
G = g ⊗ I 2 = [ 2 − 1 I , 2 − 2 I , ⋯   , 2 − l I ] ∈ T R 2 × 2 l G = g \otimes I_2 = \begin{bmatrix} 2^{-1}I,2^{-2}I,\cdots,2^{-l}I \end{bmatrix} \in \mathbb T_R^{2 \times 2l} G=gI2=[21I,22I,,2lI]TR2×2l

对应的逆变换 G − 1 G^{-1} G1 是个随机化程序,满足 ∥ G G − 1 ( C ) − C ∥ ∞ ≤ α / 2 \|GG^{-1}(C)-C\|_\infty \le \alpha/2 GG1(C)Cα/2,对于任意的 C ∈ T R 2 l × 2 C \in \mathbb T_R^{2l \times 2} CTR2l×2

对称密钥:

  1. 均匀采样 s ← B s \gets \mathcal B sB,它是短的整系数多项式

加密:

  1. 明文 μ ∈ R \mu \in R μR,编码为有限精度的环面矩阵 μ G ∈ T R 2 × 2 l \mu G \in \mathbb T_R^{2\times 2l} μGTR2×2l
  2. 均匀采样 A ← T R 2 l A \gets \mathbb T_R^{2l} ATR2l(行向量),零中心高斯采样 e ← T R 2 l e \gets \mathbb T_R^{2l} eTR2l(行向量)
  3. 计算 b : = s A + e ∈ T R N l b := sA+e \in \mathbb T_R^{Nl} b:=sA+eTRNl(行向量),满足 ϕ s ( A , b ) = e ≈ 0 \phi_s(A,b)=e \approx 0 ϕs(A,b)=e0
  4. 密文 c : = [ A b ] + μ G c:=\begin{bmatrix}A\\b\end{bmatrix}+\mu G c:=[Ab]+μG,基本是 2 l 2l 2l 个 TRLWE 密文的组合(除了纠错码不同)

解密:

  1. 密文 ( A ′ , b ′ ) ∈ T R 2 l × T R 2 l (A',b') \in \mathbb T_R^{2l} \times \mathbb T_R^{2l} (A,b)TR2l×TR2l
  2. 计算 ϕ s ( A ′ , b ′ ) = e + μ ( − s , 1 ) G ∈ T R 2 l \phi_s(A',b') = e+\mu(-s,1)G \in \mathbb T_R^{2l} ϕs(A,b)=e+μ(s,1)GTR2l(行向量)
  3. 截取索引 2 , 4 , ⋯   , 2 l 2,4,\cdots,2l 2,4,,2l 的元素,得到的 e ′ + μ g ∈ T R l e'+\mu g \in \mathbb T_R^l e+μgTRl 是含噪码字,均值 μ g \mu g μg

同态运算:

  1. 根据 R R R 模的加法, μ 1 + μ 2    ⟺    C 1 + C 2 \mu_1+\mu_2 \iff C_1+C_2 μ1+μ2C1+C2

  2. 根据 R R R 模的环作用, k ⋅ μ    ⟺    k ⋅ C k \cdot \mu \iff k \cdot C kμkC,其中 k ∈ R k \in R kR

  3. 同态乘法,明文空间 μ 1 ∈ R \mu_1 \in R μ1R 对于密文空间 G − 1 ( μ 2 G ) ∈ T R 2 × 2 l G^{-1}(\mu_2G) \in \mathbb T_R^{2 \times 2l} G1(μ2G)TR2×2l环作用
       C 1 ⋅ G − 1 ( C 2 ) =    ( ( A 1 , b 1 ) + μ 1 G ) ⋅ G − 1 ( ( ( A 2 , b 2 ) + μ 2 G ) ) =    ( ( A 1 , b 1 ) ⋅ G − 1 ( C 2 ) + μ 1 C 2 ) + μ 1 μ 2 G \begin{aligned} &\,\, C_1 \cdot G^{-1}(C_2)\\ =&\,\, ((A_1,b_1)+\mu_1 G) \cdot G^{-1}(((A_2,b_2)+\mu_2 G))\\ =&\,\, \left((A_1,b_1) \cdot G^{-1}(C_2) + \mu_1C_2\right) + \mu_1\mu_2G \end{aligned} ==C1G1(C2)((A1,b1)+μ1G)G1(((A2,b2)+μ2G))((A1,b1)G1(C2)+μ1C2)+μ1μ2G

    它的噪声增长是不平衡的,导出了乘法链的右结合性。

FHE Module Structure

非正式地,全同态模结构是五元元组 ( R , Π R , M , Π M , ⊡ ) (R,\Pi_R,M,\Pi_M,\boxdot) (R,ΠR,M,ΠM,)

  1. R R R加密方案 Π R = ( E n c R , D e c R ) \Pi_R=(Enc_R,Dec_R) ΠR=(EncR,DecR),它的密文空间是 C R \mathcal C_R CR

  2. M M M同态加密方案 Π M = ( E n c M , D e c M ) \Pi_M=(Enc_M,Dec_M) ΠM=(EncM,DecM),它的密文空间是 C M \mathcal C_M CM

  3. 两个方案的密文之间的运算 ⊡ : C R × C M → C M \boxdot: \mathcal C_R \times \mathcal C_M \to \mathcal C_M :CR×CMCM外积),使得
    D e c M ( E n c R ( r ) ⊡ E n c M ( m ) ) = r ⋅ m , ∀ r ∈ R , ∀ m ∈ M Dec_M(Enc_R(r) \boxdot Enc_M(m)) = r \cdot m,\forall r \in R,\forall m \in M DecM(EncR(r)EncM(m))=rm,rR,mM

TFHE 就是让 TGSW 和 TLWETRGSW 和 TRLWE 组成了全同态模结构,从而实现了 “外积”,

  • 元组 ( ( Z , TGSW ) , ( T , TLWE ) ) ((\mathbb Z,\text{TGSW}),(\mathbb T,\text{TLWE})) ((Z,TGSW),(T,TLWE)),组成了环 Z \mathbb Z Z T \mathbb T T 的全同态模结构,外积定义为:
       T G S W s ( r ∈ Z ) ⊡ α T L W E s ( m ∈ T ) =    ( [ A s A + e ] + r ⋅ G ) ⋅ G α − 1 ( [ a s a + e ′ ] + [ 0 m ] ) =    [ A s A + e ] ⋅ G α − 1 ( T L W E s ( m ) ) + r ⋅ T L W E s ( m ) =    T L W E s ( r ⋅ m ∈ T ) \begin{aligned} &\,\, TGSW_s(r \in \mathbb Z) \boxdot_\alpha TLWE_s(m \in \mathbb T)\\ =&\,\, \left(\begin{bmatrix} A\\ sA+e \end{bmatrix} + r \cdot G\right) \cdot G_\alpha^{-1}\left(\begin{bmatrix} a\\ sa+e' \end{bmatrix} + \begin{bmatrix} 0\\ m \end{bmatrix}\right)\\ =&\,\, \begin{bmatrix} A\\ sA+e \end{bmatrix} \cdot G_\alpha^{-1}\left(TLWE_s(m)\right) + r \cdot TLWE_s(m)\\ =&\,\, TLWE_s(r \cdot m \in \mathbb T) \end{aligned} ===TGSWs(rZ)αTLWEs(mT)([AsA+e]+rG)Gα1([asa+e]+[0m])[AsA+e]Gα1(TLWEs(m))+rTLWEs(m)TLWEs(rmT)

  • 元组 ( ( R Z , TRGSW ) , ( T R , TRLWE ) ) ((R_\mathbb Z,\text{TRGSW}),(\mathbb T_R,\text{TRLWE})) ((RZ,TRGSW),(TR,TRLWE)),组成了环 R Z R_\mathbb Z RZ T R \mathbb T_R TR 的全同态模结构,外积定义为:
       T R G S W s ( r ∈ R Z ) ⊡ α T R L W E s ( m ∈ T R ) =    ( [ A s A + e ] + r ⋅ G ) ⋅ G α − 1 ( [ a s a + e ′ ] + [ 0 m ] ) =    [ A s A + e ] ⋅ G α − 1 ( T R L W E s ( m ) ) + r ⋅ T R L W E s ( m ) =    T R L W E s ( r ⋅ m ∈ T R ) \begin{aligned} &\,\, TRGSW_s(r \in R_\mathbb Z) \boxdot_\alpha TRLWE_s(m \in \mathbb T_R)\\ =&\,\, \left(\begin{bmatrix} A\\ sA+e \end{bmatrix} + r \cdot G\right) \cdot G_\alpha^{-1}\left(\begin{bmatrix} a\\ sa+e' \end{bmatrix} + \begin{bmatrix} 0\\ m \end{bmatrix}\right)\\ =&\,\, \begin{bmatrix} A\\ sA+e \end{bmatrix} \cdot G_\alpha^{-1}\left(TRLWE_s(m)\right) + r \cdot TRLWE_s(m)\\ =&\,\, TRLWE_s(r \cdot m \in \mathbb T_R) \end{aligned} ===TRGSWs(rRZ)αTRLWEs(mTR)([AsA+e]+rG)Gα1([asa+e]+[0m])[AsA+e]Gα1(TRLWEs(m))+rTRLWEs(m)TRLWEs(rmTR)

你可能感兴趣的:(#,全同态加密,密码学,计算机,AI,算法,零知识证明)