基于插值的同态比较算法 & Paterson-Stockmeyer 多项式求值算法

参考文献:

  1. [PS73] Paterson M S, Stockmeyer L J. On the number of nonscalar multiplications necessary to evaluate polynomials[J]. SIAM Journal on Computing, 1973, 2(1): 60-66.
  2. [KLLW16] Kim M, Lee H T, Ling S, et al. On the efficiency of FHE-based private queries[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 15(2): 357-363.
  3. [IZ21] Iliashenko I, Zucca V. Faster homomorphic comparison operations for BGV and BFV[J]. Proceedings on Privacy Enhancing Technologies, 2021, 2021(3): 246-264.

文章目录

  • 快速的多项式求值算法
    • 算法 A
    • 算法 B
    • 算法 C
  • 基于插值的比较算法
    • 有限域上的比较函数
    • 双变元多项式插值
    • 单变元多项式插值
    • 其他应用
  • 有限域上深度最优的判等电路

快速的多项式求值算法

对于 n n n 长多项式 P ( x ) P(x) P(x),如果要计算 n n n 个单位根上的函数值 P ( ξ i ) P(\xi^i) P(ξi),那么使用 FFT/NTT 可以实现 O ( n log ⁡ n ) O(n\log n) O(nlogn) 的复杂度,均摊成本 O ( log ⁡ n ) O(\log n) O(logn)。但是如果我们对单个的任意点 x x x 求值 P ( x ) P(x) P(x),那应该怎么快速计算呢?这儿的 “快速” 指的是更少的 “非标量乘法” 数量。标量乘法的开销类似于加法,后文我们默认 “乘法” 代指非标量乘法。

Horner rule ∑ i = 0 n a i x i = ( ⋯ ( ( a n x + a n − 1 ) x + a n − 2 ) ⋯   ) x + a 0 \sum_{i=0}^na_ix^i = (\cdots((a_nx+a_{n-1})x+a_{n-2})\cdots)x+a_0 i=0naixi=(((anx+an1)x+an2))x+a0,一共需要 n n n 次乘法。

[PS73] 提出了只需 O ( n ) O(\sqrt n) O(n ) 次乘法的多项式单点求值算法。首先可以证明,多项式求值的复杂度下界为 O ( n ) O(\sqrt n) O(n )

在这里插入图片描述

然后 [PS73] 依次提出了三种多项式求值算法。

算法 A

定理:度数 n n n 的任意多项式,存在使用了 n / 2 + O ( log ⁡ n ) n/2+O(\log n) n/2+O(logn) 次乘法的求值算法。

方便起见,我们假设 n = 2 m − 1 n=2^m-1 n=2m1(多项式长度 2 m 2^m 2m),同时多项式是首一的,

  1. 首先预计算 x 2 , x 4 , x 8 , ⋯   , x 2 m − 1 x^2,x^4,x^8,\cdots,x^{2^{m-1}} x2,x4,x8,,x2m1,花费 log ⁡ n \log n logn 次乘法

  2. 给定某 2 p − 1 2p-1 2p1 次的首一多项式,把它写成如下形式:
       x 2 p − 1 + a 2 p − 2 x 2 p − 2 + ⋯ + a 1 x + a 0 =    ( x p + c ) ( x p − 1 + a 2 p − 2 x p − 2 + ⋯ + a p + 1 x + a p ) +    ( x p − 1 + b p − 2 x p − 2 + ⋯ + b 1 x + b 0 ) \begin{aligned} &\,\, x^{2p-1}+a_{2p-2}x^{2p-2}+\cdots+a_1x+a_0\\ =&\,\, (x^p+c)(x^{p-1}+a_{2p-2}x^{p-2}+\cdots+a_{p+1}x+a_p)\\ +&\,\, (x^{p-1}+b_{p-2}x^{p-2}+\cdots+b_1x+b_0) \end{aligned} =+x2p1+a2p2x2p2++a1x+a0(xp+c)(xp1+a2p2xp2++ap+1x+ap)(xp1+bp2xp2++b1x+b0)

    其中 c = a p − 1 − 1 c=a_{p-1}-1 c=ap11 b j = a j − c a p + j b_j=a_j-ca_{p+j} bj=ajcap+j 是常数,且 x p x^p xp 已经预计算过了

  3. 于是我们把 2 p − 1 2p-1 2p1 次的首一多项式,分解为了两个 p − 1 p-1 p1 次的首一多项式,继续递归求值。乘法复杂度的递归公式为 N ( 2 p − 1 ) = 2 N ( p − 1 ) + 1 N(2p-1)=2N(p-1)+1 N(2p1)=2N(p1)+1,初值 N ( 1 ) = 0 N(1)=0 N(1)=0,因此 N ( n ) = ( n + 1 ) / 2 − 1 ≈ n / 2 N(n)=(n+1)/2-1 \approx n/2 N(n)=(n+1)/21n/2

对于任意的 n n n,我们将 n n n 二进制分解,于是可以把多项式拆分为若干长度为 2 i 2^i 2i分片,分别执行求值算法后,再乘以 x 2 , x 4 , x 8 , ⋯   , x 2 ⌊ log ⁡ n ⌋ x^2,x^4,x^8,\cdots,x^{2^{\lfloor\log n\rfloor}} x2,x4,x8,,x2logn 组装起来。这额外花费 log ⁡ n \log n logn 次乘法。

算法 B

定理:度数 n n n 的任意多项式,存在使用了 2 n 2\sqrt{n} 2n 次乘法的求值算法。

我们假设 n = k m − 1 n=km-1 n=km1(多项式长度 k m km km),

  1. 首先预计算 x 2 , x 3 , ⋯   , x k x^2,x^3,\cdots,x^k x2,x3,,xk,花费 k k k 次乘法

  2. 利用 Horner rule 的推广版本,将多项式写成如下形式:
       a k m − 1 x k m − 1 + a k m − 2 x k m − 2 + ⋯ + a 1 x + a 0 =    ( ⋯ ( ( a k m − 1 x k − 1 + ⋯ + a k ( m − 1 ) ) x k    + ( a k ( m − 1 ) − 1 x k − 1 + ⋯ + a k ( m − 2 ) ) ) x k + ⋯ ) x k    + ( a k − 1 x k − 1 + ⋯ + a 1 x + a 0 ) \begin{aligned} &\,\, a_{km-1}x^{km-1}+a_{km-2}x^{km-2}+\cdots+a_1x+a_0\\ =&\,\, \Bigg(\cdots\Big((a_{km-1}x^{k-1}+\cdots+a_{k(m-1)})x^k\\ &\,\, +(a_{k(m-1)-1}x^{k-1}+\cdots+a_{k(m-2)})\Big)x^k + \cdots\Bigg)x^k\\ &\,\, +(a_{k-1}x^{k-1}+\cdots+a_1x+a_0) \end{aligned} =akm1xkm1+akm2xkm2++a1x+a0(((akm1xk1++ak(m1))xk+(ak(m1)1xk1++ak(m2)))xk+)xk+(ak1xk1++a1x+a0)

    因为 x 2 , ⋯   . x k − 1 , x k x^2,\cdots.x^{k-1},x^k x2,.xk1,xk 都预计算过,因此乘法开销为 m m m

  3. 总复杂度为 k + m k+m k+m,选取 k = n k=\sqrt{n} k=n 时最优化

算法 C

定理:度数 n n n 的任意多项式,存在使用了 2 n + O ( log ⁡ n ) \sqrt{2n}+O(\log n) 2n +O(logn) 次乘法的求值算法。

我们假设 n = k ⋅ ( 2 m − 1 ) n=k\cdot (2^m-1) n=k(2m1),同时多项式是首一的,

  1. 预计算 x 2 , x 3 , ⋯   , x k x^2,x^3,\cdots,x^k x2,x3,,xk,花费 k k k 次乘法

  2. 预计算 x 2 k , x 4 k , x 8 k , ⋯   , x k ⋅ 2 m − 1 x^{2k},x^{4k},x^{8k},\cdots,x^{k\cdot2^{m-1}} x2k,x4k,x8k,,xk2m1,花费 m m m 次乘法

  3. 给定某 k ( 2 p − 1 ) k(2p-1) k(2p1) 次的首一多项式,把它写成如下形式:
       x k ( 2 p − 1 ) + a k ( 2 p − 1 ) − 1 x k ( 2 p − 1 ) − 1 + ⋯ + a 1 x + a 0 =    ( x k ( p − 1 ) + a k ( 2 p − 1 ) − 1 x k ( 2 p − 1 ) − 1 + ⋯ + a k ( p − 1 ) ) x k p +    ( a k ( p − 1 ) − 1 x k p − 1 + ⋯ + a 1 x + a 0 ) \begin{aligned} &\,\, x^{k(2p-1)}+a_{k(2p-1)-1}x^{k(2p-1)-1}+\cdots+a_1x+a_0\\ =&\,\, (x^{k(p-1)}+a_{k(2p-1)-1}x^{k(2p-1)-1}+\cdots+a_{k(p-1)})x^{kp}\\ +&\,\, (a_{k(p-1)-1}x^{kp-1}+\cdots+a_1x+a_0) \end{aligned} =+xk(2p1)+ak(2p1)1xk(2p1)1++a1x+a0(xk(p1)+ak(2p1)1xk(2p1)1++ak(p1))xkp(ak(p1)1xkp1++a1x+a0)

    简记为 p ( x ) = q ( x ) ⋅ x k p + r ( x ) p(x)=q(x)\cdot x^{kp}+r(x) p(x)=q(x)xkp+r(x),其中 q ( x ) q(x) q(x)度数 k ( p − 1 ) k(p-1) k(p1) 的首一多项式 r ( x ) r(x) r(x) 是度数至多为 k p − 1 kp-1 kp1 的多项式,其中 x k p x^{kp} xkp 已经预计算过了

  4. 再计算带余除法(注意这与 x x x 的取值无关,可以预计算) r ( x ) − x k ( p − 1 ) = c ( x ) ⋅ q ( x ) + s ( x ) r(x)-x^{k(p-1)} = c(x) \cdot q(x)+s(x) r(x)xk(p1)=c(x)q(x)+s(x),其中 c ( x ) c(x) c(x) 度数至多为 k − 1 k-1 k1 s ( x ) s(x) s(x) 度数至多为 k ( p − 1 ) − 1 k(p-1)-1 k(p1)1,那么就写成了
    p ( x ) = ( x k p + c ( x ) ) ⋅ q ( x ) + ( x k ( p − 1 ) + s ( x ) ) p(x) = (x^{kp}+c(x)) \cdot q(x) + (x^{k(p-1)}+s(x)) p(x)=(xkp+c(x))q(x)+(xk(p1)+s(x))

    其中 x k ( p − 1 ) + s ( x ) x^{k(p-1)}+s(x) xk(p1)+s(x) 也是度数 k ( p − 1 ) k(p-1) k(p1) 的首一多项式

  5. 对于上述的两个 k ( p − 1 ) k(p-1) k(p1) 次多项式递归求值,乘法复杂度的递归公式为 N ( k ( 2 p − 1 ) ) = 2 N ( k ( p − 1 ) ) + 1 N(k(2p-1))=2N(k(p-1))+1 N(k(2p1))=2N(k(p1))+1,初值 N ( k ) = 0 N(k)=0 N(k)=0,因此 N ( n ) = ( n / k + 1 ) / 2 − 1 ≈ n / 2 k N(n)=(n/k+1)/2-1\approx n/2k N(n)=(n/k+1)/21n/2k,选取 k = n / 2 k=\sqrt{n/2} k=n/2 时最优化

对于任意的 n n n,类似于算法 A 进行分片,需要额外的 log ⁡ 2 n \log \sqrt{2n} log2n 次乘法。

基于插值的比较算法

有限域上的比较函数

一般地,我们使用布尔比较电路:
E Q ( a , b ) : = ∏ i = 1 l ( a i ⊕ b i ⊕ 1 ) L T ( a , b ) : = ∑ i = 1 l ( a i ⊕ 1 ) ⋅ b i ∏ j = i + 1 l ( a j ⊕ b j ⊕ 1 ) \begin{aligned} EQ(a,b) &:= \prod_{i=1}^l (a_i \oplus b_i \oplus 1)\\ LT(a,b) &:= \sum_{i=1}^l(a_i\oplus 1)\cdot b_i\prod_{j=i+1}^l (a_j \oplus b_j \oplus 1)\\ \end{aligned} EQ(a,b)LT(a,b):=i=1l(aibi1):=i=1l(ai1)bij=i+1l(ajbj1)

[IZ21] 提出了 G F ( q ) , q = p d GF(q),q=p^d GF(q),q=pd 上的比较电路。令 S ⊆ G F ( q ) S \subseteq GF(q) SGF(q) 是素域子集,其中多项式系数的取值范围是 [ B ] = { 0 , 1 , ⋯   , B } [B]=\{0,1,\cdots,B\} [B]={0,1,,B}。再令 S ′ = { 0 , 1 , ⋯   , B l − 1 } , l ≤ d S'=\{0,1,\cdots,B^{l}-1\}, l\le d S={0,1,,Bl1},ld 是整数的取值范围,我们将整数写作 B B B 进制形式 a = a l ⋯ a 2 a 1 a=a_l\cdots a_2a_1 a=ala2a1,其中 a i ∈ [ B ] a_i \in [B] ai[B] 是整数。我们定义如下双射:
ι : S ′ → S ∑ i = 1 l a i B i − 1 ↦ ∑ i = 1 l a i x i − 1 \begin{aligned} \iota: S' &\to S\\ \sum_{i=1}^{l} a_i B^{i-1} &\mapsto \sum_{i=1}^{l} a_i x^{i-1} \end{aligned} ι:Si=1laiBi1Si=1laixi1

根据这个映射,我们可以从 a , b ∈ S ′ a,b \in S' a,bS 的全序关系,诱导出 ι ( a ) , ι ( b ) ∈ S ⊆ G F ( q ) \iota(a),\iota(b) \in S \subseteq GF(q) ι(a),ι(b)SGF(q) 的全序关系。即:根据整数的大小关系,诱导出有限域元素的大小关系

给定任意两个有限域元素 X , Y ∈ S X,Y \in S X,YS,它们的大小关系构成了一个函数 L T S ( X , Y ) LT_S(X,Y) LTS(X,Y)。根据有限域插值定理,任意的多变元函数,都存在唯一的多变元多项式,使得两者是同一个函数性。

基于插值的同态比较算法 & Paterson-Stockmeyer 多项式求值算法_第1张图片

上述的 χ : α ↦ α q − 1 \chi: \alpha \mapsto \alpha^{q-1} χ:ααq1示性函数。乘法循环群的阶为 q − 1 q-1 q1,因此 χ ( α ) = 1    ⟺    α ≠ 0 \chi(\alpha)=1 \iff \alpha \neq 0 χ(α)=1α=0。实际上,有限域上的判等电路就是
E Q S ( X , Y ) : = 1 − χ ( X − Y ) EQ_S(X, Y) := 1-\chi(X-Y) EQS(X,Y):=1χ(XY)

根据字典序,可以进一步将整数表示为 “ S S S 进制”,从而实现任意大整数的比较运算。将整数写作 a = a l ⋯ a 2 a 1 a=a_l\cdots a_2a_1 a=ala2a1,其中 a i ∈ S a_i \in S aiS 是有限域元素。那么,
E Q S l ( a , b ) : = ∏ i = 1 l E Q S ( a i , b i ) L T S l ( a , b ) : = ∑ i = 1 l L T S ( a i , b i ) ∏ j = i + 1 l E Q S ( a j , b j ) \begin{aligned} EQ_{S^l}(a,b) &:= \prod_{i=1}^l EQ_S(a_i,b_i)\\ LT_{S^l}(a,b) &:= \sum_{i=1}^l LT_S(a_i,b_i) \prod_{j=i+1}^l EQ_S(a_j,b_j)\\ \end{aligned} EQSl(a,b)LTSl(a,b):=i=1lEQS(ai,bi):=i=1lLTS(ai,bi)j=i+1lEQS(aj,bj)

下面,我们看一看如何实现基本的比较函数 L T S ( X , Y ) LT_S(X,Y) LTS(X,Y)。简单起见,我们考虑在素域 S ⊆ G F ( p ) S\subseteq GF(p) SGF(p) 上的比较函数。对于扩域 G F ( p d ) GF(p^d) GF(pd),也是类似的思路。

双变元多项式插值

我们令 S = { 0 , 1 , ⋯   , p − 1 } S = \{0,1,\cdots,p-1\} S={0,1,,p1},那么根据整数间全序关系,可以诱导出如下的双变元函数

基于插值的同态比较算法 & Paterson-Stockmeyer 多项式求值算法_第2张图片

根据插值定理,我们可以得到一个双变元多项式
P ( X , Y ) : = ∑ a = 0 p − 2 E Q S ( X , a ) ∑ b = a + 1 p − 1 E Q S ( Y , b ) P(X,Y) := \sum_{a=0}^{p-2} EQ_S(X,a) \sum_{b=a+1}^{p-1} EQ_S(Y,b) P(X,Y):=a=0p2EQS(X,a)b=a+1p1EQS(Y,b)

[IZ21] 指出上述多项式可以化简为如下形式,它的总度数为 p p p

基于插值的同态比较算法 & Paterson-Stockmeyer 多项式求值算法_第3张图片

主要的计算开销是 ∑ i j a i j X i Y j = ∑ i ( ∑ j a i j X i ) Y j \sum_{ij} a_{ij} X^i Y^j = \sum_{i} \left(\sum_j a_{ij} X^i\right) Y^j ijaijXiYj=i(jaijXi)Yj,只需要 O ( p ) O(p) O(p) 次乘法,乘法深度为 O ( log ⁡ p ) O(\log p) O(logp)

单变元多项式插值

我们令 S = { 0 , 1 , ⋯   , ( p − 1 ) / 2 } S=\{0,1,\cdots,(p-1)/2\} S={0,1,,(p1)/2},并且将有限域分为两部分
G F ( p ) + = S ,    G F ( p ) − = { − ( p − 1 ) / 2 , ⋯   , − 2 , − 1 } GF(p)^+=S,\,\, GF(p)^-=\{-(p-1)/2,\cdots,-2,-1\} GF(p)+=S,GF(p)={(p1)/2,,2,1}

根据整数间大小关系,可以诱导出函数 X < Y    ⟺    Z : = ( X − Y ) ∈ G F ( p ) − XX<YZ:=(XY)GF(p)

根据插值定理,我们可以得到一个单变元多项式
Q ( X , Y ) : = ∑ a = − ( p − 1 ) / 2 − 1 E Q s ( Z , a ) Q(X,Y) := \sum_{a=-(p-1)/2}^{-1} EQ_s(Z,a) Q(X,Y):=a=(p1)/21EQs(Z,a)

[IZ21] 指出上述多项式可以化简为如下形式,

基于插值的同态比较算法 & Paterson-Stockmeyer 多项式求值算法_第4张图片

注意到 ∑ i c i ( X − Y ) i \sum_{i}c_i(X-Y)^i ici(XY)i 的幂次都是奇数,因此可以写作 Z g ( Z 2 ) Zg(Z^2) Zg(Z2) 的形式,其中 g ( x ) g(x) g(x) 是度数 ( p − 3 ) / 2 (p-3)/2 (p3)/2 的单变元多项式。根据 Horber 法则,我们用 Paterson-Stockmeyer algorithm 计算多项式求值,从而只需要 O ( p / 2 ) O(\sqrt{p/2}) O(p/2 ) 的乘法数量。

不过需要注意的是,单变元插值 S = { 0 , 1 , ⋯   , ( p − 1 ) / 2 } S=\{0,1,\cdots,(p-1)/2\} S={0,1,,(p1)/2} 比双变元插值 S = { 0 , 1 , ⋯   , p − 1 } S=\{0,1,\cdots,p-1\} S={0,1,,p1} 的范围小了一半,因此对于 l l l S S S 进制数,表示范围缩小为 1 / 2 l 1/2^l 1/2l,不得不延长 l l l l ⋅ log ⁡ p log ⁡ p − 1 \dfrac{l\cdot\log p}{\log p-1} logp1llogp 以保证具有相同的表示范围。

其他应用

实现最大值、最小值,
min ⁡ ( X , Y ) = X ⋅ L T ( X , Y ) + Y ⋅ ( 1 − L T ( X , Y ) ) = Y + ( X − Y ) ⋅ L T ( X , Y ) = Y + Z ⋅ Q ( X , Y ) = p + 1 2 ( X + Y ) + g ′ ( Z 2 ) , max ⁡ ( X , Y ) = Y ⋅ L T ( X , Y ) + X ⋅ ( 1 − L T ( X , Y ) ) = X + ( Y − X ) ⋅ L T ( X , Y ) = X − Z ⋅ Q ( X , Y ) = p + 1 2 ( X + Y ) − g ′ ( Z 2 ) \begin{aligned} \min(X,Y) &= X \cdot LT(X,Y) + Y \cdot (1-LT(X,Y))\\ &= Y + (X-Y) \cdot LT(X,Y)\\ &= Y + Z \cdot Q(X,Y)\\ &= \dfrac{p+1}{2}(X+Y) + g'(Z^2), \\ \max(X,Y) &= Y \cdot LT(X,Y) + X \cdot (1-LT(X,Y))\\ &= X + (Y-X) \cdot LT(X,Y)\\ &= X - Z \cdot Q(X,Y)\\ &= \dfrac{p+1}{2}(X+Y) - g'(Z^2)\\ \end{aligned} min(X,Y)max(X,Y)=XLT(X,Y)+Y(1LT(X,Y))=Y+(XY)LT(X,Y)=Y+ZQ(X,Y)=2p+1(X+Y)+g(Z2),=YLT(X,Y)+X(1LT(X,Y))=X+(YX)LT(X,Y)=XZQ(X,Y)=2p+1(X+Y)g(Z2)

其中 g ′ ( x ) g'(x) g(x) 是度数 ( p − 1 ) / 2 (p-1)/2 (p1)/2 的单变元多项式,使用 [PS73] 仅需 O ( p / 2 ) O(\sqrt{p/2}) O(p/2 ) 次乘法。

实现 ReLU 函数,
R e L U ( X ) : = max ⁡ ( X , 0 ) = p + 1 2 X − g ′ ( X 2 ) ReLU(X) := \max(X,0) = \dfrac{p+1}{2}X - g'(X^2)\\ ReLU(X):=max(X,0)=2p+1Xg(X2)

有限域上深度最优的判等电路

[KLLW16] 利用扩域上的 Frobenius map 在同态下不需要乘法运算的性质,在扩域上实现了乘法深度最优化的判等电路。

正如上面说的,令 χ : α ↦ α p l − 1 \chi: \alpha \mapsto \alpha^{p^l-1} χ:ααpl1 是示性函数,则有限域 G F ( p l ) GF(p^l) GF(pl) 上的判等电路为:
E Q ( X , Y ) : = 1 − χ ( X − Y ) EQ(X, Y) := 1-\chi(X-Y) EQ(X,Y):=1χ(XY)

那么直接用二叉树式的乘法,深度为 ⌈ l ⋅ log ⁡ p ⌉ \lceil l \cdot \log p \rceil llogp。对于二元域的扩域 G F ( 2 l ) GF(2^l) GF(2l),**深度为 l l l,**这也太高了。

但是,我们计算 m e ∈ G F ( p l ) m^e \in GF(p^l) meGF(pl),可以将幂次分解
m e = m ∑ i = 0 n e i p i = ∏ i = 0 n ( m p i ) e i m^e = m^{\sum_{i=0}^n e_ip^i} = \prod_{i=0}^n (m^{p^i})^{e_i} me=mi=0neipi=i=0n(mpi)ei

其中的 m p i m^{p^i} mpi 就是扩域 G F ( p l ) / G F ( p ) GF(p^l)/GF(p) GF(pl)/GF(p) 上的 Frobenius maps,对 FHE 密文同态地计算扩域 G F ( p l ) GF(p^l) GF(pl) 上的 G F ( p ) GF(p) GF(p) - 域自同构 σ ( x ) : = x p \sigma(x):=x^p σ(x):=xp,得到
σ ( c t ) = ( σ ( a ) , σ ( a ) σ ( s ) + Δ ⋅ m p + σ ( e ) ) ∈ ( G F ( p d ) ) 2 \sigma(ct) = (\sigma(a), \sigma(a)\sigma(s)+\Delta \cdot m^p+\sigma(e)) \in \left(GF(p^d)\right)^2 σ(ct)=(σ(a),σ(a)σ(s)+Δmp+σ(e))(GF(pd))2

接着做一下秘钥切换回到 s ∈ G F ( p l ) s \in GF(p^l) sGF(pl) 为私钥。上述的过程是 depth-free 的(不需要同态乘法),因此每个 m p i m^{p^i} mpi 的乘法深度为零。于是,上述的 m e m^e me 计算中只需要 ∑ i = 0 n e i \sum_{i=0}^n e_i i=0nei 个项的连乘积,乘法深度为 ⌈ log ⁡ ∑ i = 0 n e i ⌉ \lceil \log \sum_{i=0}^n e_i \rceil logi=0nei

对于判等电路中的 χ ( X − Y ) \chi(X-Y) χ(XY),指数为
e = p l − 1 = ( p − 1 ) p l − 1 + ⋯ + ( p − 1 ) p + ( p − 1 ) = ( p − 1 ) ( p l − 1 + ⋯ + p + 1 ) \begin{aligned} e &= p^l-1\\ &= (p-1)p^{l-1}+\cdots+(p-1)p+(p-1)\\ &= (p-1)(p^{l-1}+\cdots+p+1) \end{aligned} e=pl1=(p1)pl1++(p1)p+(p1)=(p1)(pl1++p+1)

因此先计算 Z : = ( X − Y ) p − 1 Z:=(X-Y)^{p-1} Z:=(XY)p1,再计算 Z p i , i = 1 , ⋯   , l − 1 Z^{p^i},i=1,\cdots,l-1 Zpi,i=1,,l1,然后计算 χ ( X − Y ) = ∏ i = 0 l − 1 Z p i \chi(X-Y) = \prod_{i=0}^{l-1} Z^{p^i} χ(XY)=i=0l1Zpi,深度为 ⌈ log ⁡ ( p − 1 ) ⌉ + ⌈ log ⁡ l ⌉ \lceil \log(p-1) \rceil + \lceil \log l \rceil log(p1)⌉+logl。对于二元域的扩域 G F ( 2 l ) GF(2^l) GF(2l)深度仅为 ⌈ log ⁡ l ⌉ \lceil \log l \rceil logl

当然,对于 { 0 , 1 } l \{0,1\}^l {0,1}l 上数据,布尔电路分别在 G F ( 2 ) GF(2) GF(2) 上判等,然后再把布尔结果连乘积,它的深度也是 ⌈ log ⁡ l ⌉ \lceil \log l \rceil logl。不过在某些应用中(不仅仅包括判等电路),使用布尔电路不合适。

你可能感兴趣的:(#,全同态加密,算法,概率论,线性代数,密码学,机器学习)