模数提升 & 延迟约简

参考文献：

1. [GHS12] Gentry C, Halevi S, Smart N P. Fully homomorphic encryption with polylog overhead[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 465-482.

Lemma

[GHS12] 中提出了著名的槽切换技术，使用 Shift Networks 实现任意的置换。这篇文章的附录中还有一些有意思的贡献，它提出了 BGV 的变体，它的环是 ${\mathbb{Z}}_q[x]/({\varphi }_m(x))$，这里的 ${\varphi }_m(x)$ 是任意的分园多项式。而在 BGV 的环是 ${\mathbb{Z}}_q[x]/(x^d+1)$，其中 $d$ 是二的幂次。

引理：存在 $G\in \mathbb{Z}[x]$，满足 $\mathrm{deg}G\le m-1$，对于任意的 $m$ 次本原单位根 $\alpha$ 都有$G(\alpha )=m$，对于任意的 $m$ 次非本原的单位根 $\beta$ 都有$G(\beta )=0$，并且它的系数表示的 $l_2$ 范数 $\sqrt{m\cdot \varphi (m)}$ 是个较小的常数。

1. 构造方法：令 $D=[{\zeta }^{ij}]\in {\mathbb{C}}^{m\times m}$ 是本原单位根的范德蒙矩阵，令 $G$ 的系数表示为 $g$，点值表示为 $v$，这里的 $v$ 在本原根位置上是 $m$ 其他位置是 $0$。由于 $v=D\cdot g$，并且 $D^{-1}=D^{†}/m$，所以可以计算出 $g=D^{†}\cdot v/m$
2. 根据 $G$ 的性质，可知 $G(x)=m+\nu (x){\varphi }_m(x)$，以及 $G(x)=\frac{x^m-1}{{\varphi }_m(x)}\cdot \mu (x)$，其中的 $\nu ,\mu \in \mathbb{Z}[x]$ 存在

Modulus Lift

解密运算 $⟨c,s⟩(\mathrm{mod}{\varphi }_m(x),q)$ 中 $s,c$ 都是向量，内积运算需要在 ${\mathbb{Z}}_q[x]/({\varphi }_m(x))$ 中计算，但是模数 ${\varphi }_m(x)$ 可能有很多的非零系数，取模运算极为麻烦。[GHS12] 将模数提升到 $x^m-1$，于是多项式模乘就是系数向量的循环卷积。

对于环 ${\mathbb{Z}}_q[x]/({\varphi }_m(x))$ 中的元素 $a$，可以计算出：
$$\begin{array}{rl}G(x)a(x)& =\left(m+\nu (x){\varphi }_m(x)\right)\cdot (\bar{a}(x)+p(x){\varphi }_m(x))=m\cdot \bar{a}(x)(\mathrm{mod}{\varphi }_m(x))\\ G(x)a(x)& =\left(\frac{x^m-1}{{\varphi }_m(x)}\cdot \mu (x)\right)\cdot (\bar{a}(x)+p(x){\varphi }_m(x))=G(x)\cdot \bar{a}(x)(\mathrm{mod}{x}^m-1)\end{array}$$
如果明文空间 $a\in {\mathbb{Z}}_p[x]/({\varphi }_m(x))$，采取 LSB 编码，解密函数为
$$⟨c,s⟩=p\cdot u(x)+a(x)(\mathrm{mod}{\varphi }_m(x),q)$$
那么就有
$$\begin{array}{rl}G(x)\cdot ⟨c,s⟩& =mp\cdot u(x)+m\cdot a(x)(\mathrm{mod}{\varphi }_m(x),q)\\ G(x)\cdot ⟨c,s⟩& =p\cdot G(x)u(x)+G(x)a(x)(\mathrm{mod}{x}^m-1,q)\end{array}$$
因此，解密函数可以转化为：

1. 计算 $b=G(x)\cdot ⟨c,s⟩(\mathrm{mod}{x}^m-1,q)$
2. 计算 $b^{\prime }=b(\mathrm{mod}p)=G(x)a(x)$
3. 计算 $b^{\prime \prime }=b^{\prime }(\mathrm{mod}{\varphi }_m(x))=m\cdot a(x)$
4. 计算 $m=b^{\prime \prime }\cdot m^{-1}(\mathrm{mod}p)=a$

Delayed-Reduction Technique

由于模 ${\varphi }_m(x)$ 总是不太好计算的，不仅仅是解密运算，我们想要将密文本身也放置到环 $\mathbb{Z}[x]/(x^m-1)$ 上。但是这个环上的 RLWE 很简单，因为可以归约到环 $\mathbb{Z}[x]/(x-1)$ 的一维格，不是困难的。

[GHS12] 的方法是利用 $G(x)$，混合使用：模 $x^m-1$ 代数、模 ${\varphi }_m(x)$ 代数。

公钥 $\{b_i=E_s(0)\}$，短的随机数 $r_i\in \mathbb{Z}[x]/({\varphi }_m(x))$，消息 $a\in {\mathbb{Z}}_p[x]/({\varphi }_m(x))$ 的新鲜密文：
$$c=[a,0]+\sum _i{r}_i\cdot b_i(\mathrm{mod}{\varphi }_m(x),q)$$
我们计算：
$$G\cdot c=[Ga,0]+\sum _i(r_{i}G)\cdot b_i(\mathrm{mod}{x}^m-1,q)$$
其中的 $G,r_i$ 都很短，因此 $G{r}_i$ 也是短随机数。

可以验证：

• 对于同态加法，计算 $G{c}_1+G{c}_2(\mathrm{mod}{x}^m-1,q)$
• 对于同态乘法，计算 $G{c}_1\otimes G{c}_2(\mathrm{mod}{x}^m-1,q)$
• 对于秘钥切换，计算 $c^{\prime }=W\cdot Gc(\mathrm{mod}{x}^m-1,q)$
• 对于模切换，仅仅需要 $round$ 运算，与模 ${\varphi }_m(x)$ 无关
• 对于 Galois 群作用，$G\cdot ⟨c^{(i)},s^{(i)}⟩=G{a}^{(i)}(\mathrm{mod}{x}^m-1,q)(\mathrm{mod}p)$ 也成立