基于[Discretized] Torus的全同态加密指引（1）

1. 引言

全同态加密（FHE，Fully Homomorphic Encryption），由Rivest等人于1978年首次提出，可用于对已加密数据做函数运算，仅在2009年由Gentry首次实现突破性解决。经过近十年来的研究，开始出现实用解决方案，并正推进标准化。

本指引是针对实操者的，其：

• 解释了TFHE的内部工作原理。TFHE为基于torus的全同态加密方案。
• 描述了基于torus discretized（离散）版本的实现。
• 解释了可编程bootstrapping的技术细节。
• 提供了多个例子来展示不同的概念和定义。

全同态加密（FHE）长期以来一直被认为是密码学的圣杯。这个概念是在70年代末设想出来的[RAD78]，但30年后才首次实现[Gen09，Gen10]。如今，公共和私有领域都在接受这种新的安全模式，并积极致力于使FHE更实用、更易于使用。在[Hal17]中可以找到一个关于FHE的优秀描述。

1.1. 何为FHE？

数据加密可保护敏感数据存储或传输。然而，标准加密技术需要对数据进行解密以进行处理。而FHE能够直接对加密数据进行计算。FHE的名字来源于同态的数学概念：一个集合的元素被转换为第二个集合的元元素，同时保持两个集合的元素之间的关系。应用于加密，其意味着对明文（即未加密数据）或密文（即已加密数据）进行操作会产生等效的结果——在对明文进行操作时是透明的，在对密文进行操作时则是加密的。如，已知分别$c_1,c)2$分别为对应明文$x_1$和$x_2$的任意两个密文，存在public运算$⊞$，使得$c_3=c_1⊞c_2$是$x_3＝x_1+x_2$的加密。

虽然很容易找到能对密文做加法或乘法运算的密码学系统（如，[RAD78，ElG85，Pai99]），但同时支持密文加法和乘法运算的密码学系统更难找到。同时支持密文加法和乘法运算的加密方案被称为全同态，因为任意程序都可以表示为由加法和乘法组成的电路。更一般地说，FHE方案是一种能够在加密数据上评估任意程序的加密方案。

FHE方案的首个实现是Gentry[Gen09，Gen10]。随后的实现包括以下方案：BFV[Bra12，FV12]，GSW[GSW13]，BGV[BGV12，BGV14]，FHEW[DM15]，CKKS[CKS17]和TFHE[CGGI16，CGGI20]。

1.2 noise处理：bootstrapping trick

大多数全同态加密依赖于hard lattice problems。为此，生成的密文中必须包含一定级别的noise，以确保加密的安全性。

问题在于：

• 同态计算会增加密文中的噪声级别。

一旦噪声低于特定阈值，该密文可被解密。当若该噪声增长过多，其超过了数据自身，将使得无法解密。为避免出现无法解密的情况，可对密文应用一种特殊的降噪操作——称为bootstrapping，该概念在[Gen09]中提出，从而有效地将噪声重置到标称水平。

1.3 可编程bootstrapping和functional电路

TFHE加密方案最初是为布尔电路设计的，但它可扩展到支持布尔以外的输入格式，如整数[CJL+20]。值得注意的是，它的自举速度相对较快。此外，在降低噪声的同时，TFHE中的自举之类可被编程为对某单变量函数的免费评估。这被称为可编程自举（PBS，Programmable BootStrapping）。PBS是一种对非线性函数（如神经网络中的activation激活函数）进行同态评估的强大技术[CIP21]。（值得注意的是，常规自举对应于具有identity函数的可编程自举。）

PBS运算不仅能够对单变量函数进行同态评估，而且可以用于计算多变量函数。如，$\max$函数$\max (x,y)$可重写为$\max (x,y)=y+\max (0,x-y)$。更一般地说，Kolmogorov的superposition定理[Kol57]指出，任何多变量函数都可表示为单变量函数的线性组合。这产生了functional电路的计算范式，其中加密方案可以是全同态的，只要它实现同态加法和单变量函数。单变量函数可使用可编程自举进行同态评估，而密文的加法则以分级的方式进行评估。

1.4 神经网络应用

神经网络为functional circuit的特殊应用场景：

• 其activation函数为非线性单变量函数，
• 其输入为之前layers的权重输入之和

众所周知，在FHE中计算activation激活函数是困难的，因为与使用可编程自举相比，使用简单的加法和乘法不能精确地表示非线性。

可编程自举和原始TFHE功能可作为Concrete[CJL+20]的一部分提供。Concrete是一个开源FHE框架。如，针对深度为20、50、100的神经网络（分别称为NN-20、NN-50和NN-100），进行了一系列数值实验来评估MNIST数据集[LCB98]的性能；参见[CIP21]。这些网络都包括具有激活函数的稠密层和卷积层；每个隐藏层至少有92个active活动神经元。实验在两种不同类型的机器上进行：一台2.6 GHz 6核Intel®Core™i7处理器的个人电脑，和具有96个vCPU、托管在AWS的3.00 GHz Intel®Xeon®Platinum 8275CL处理器。这两台机器分别称为PC和AWS。选择密码学参数以满足标准的128位安全级别。

具体运行时长见上表。为参考，还包括了未加密推理的时间。重要的是要注意，对应于独立运行的单个推理的评估的时间；特别是，这些时间不会在一批推理中摊销。AWS实现利用了96个vCPU；特别地，隐藏层中的神经元是并行处理的。

2. 相关定义

2.1 Torus和Torus多项式

TFHE [CGGI20] 中的‘T’ 是指real torus $\mathbb{T}=\mathbb{R}/\mathbb{Z}$。总体说来，$\mathbb{T}$为$[0,1)$内实数对$1$取模组成的集合。
$\mathbb{T}$内任意2个元素都可求和模$1$，$(\mathbb{T},+)$ 构成一个abelian group。但需注意的是，$\mathbb{T}$并不是ring，因并未定义对torus元素的内部乘法$\times$。

Torus $\mathbb{T}$并不是ring。
若$\mathbb{T}$为ring，则有$(a+b)\times c=a\times c+b\times c$和$a\times (b+c)=a\times b+a\times c$。其中$\times$和$+$均定义于该torus（即，$\times$和$+$分别表示基于实数模$1$的乘法和加法。）

如，以$a=\frac{2}{5},b=\frac{4}{5},c=\frac{1}{3}$为例，基于$\mathbb{T}$，有$(a+b)\times c=\frac{1}{5}\times \frac{1}{3}=\frac{1}{15}$和$a\times c+b\times c=\frac{2}{15}+\frac{4}{15}=\frac{6}{15}$，二者是矛盾的。

该问题源自，$\mathbb{T}$中的$0$和$1$是等价元素。

不过，整数与torus元素间的external product $\cdot$ 则定义良好。令$k\in \mathbb{Z},t\in \mathbb{T}$，则：

• 若$k\ge 0$，可定义$k\cdot t=t+\cdots +t（共k次）$
• 若$k<0$，可定义$k\cdot t=(-k)\cdot (-t)$。

从而，对于$0,1\in \mathbb{Z}和t\in \mathbb{T}$，有$0\cdot t=0\in \mathbb{T}$和$1\cdot t=t\in \mathbb{T}$。数学上，$\mathbb{T}$具有$\mathbb{Z}$-module结构：

• 对于任意的$k,l\in \mathbb{Z}和a,b\in \mathbb{T}$，有$(k+l)\cdot a=k\cdot a+l\cdot a$和$k\cdot (a+b)=k\cdot a+k\cdot b$。
• 进一步，该external product是homogeneous的：对于任意的$k,l\in \mathbb{Z}和t\in \mathbb{T}$，有$k\cdot (l\cdot t)=(kl)\cdot t$。

如对于$k=2,l=3,a=\frac{2}{5},b=\frac{4}{5}$，有：

• $(k+l)\cdot a=5\cdot \frac{2}{5}=0$和$k\cdot a+l\cdot a=\frac{4}{5}+\frac{1}{5}=0$
• $k\cdot (a+b)=2\cdot \frac{1}{5}=\frac{2}{5}$和$k\cdot a+k\cdot b=\frac{4}{5}+\frac{3}{5}=\frac{2}{5}$。
• 若取$t=a=\frac{2}{5}$，则有$k\cdot (l\cdot t)=2\cdot \frac{1}{5}=\frac{2}{5}$和$(kl)\cdot t=6\cdot \frac{2}{5}=\frac{2}{5}$。

Torus多项式：

• 基于torus的多项式
• 以$\Phi (X)$来表示$M$-th cyclotomic多项式，即，为唯一的不可约多项式，其整数系数可整除$X^M-1$，但对任意的$k<M$不可整除$X^k-1$。
• 以$N$来表示该多项式的degree。
• 出于性能原因，选$M$值为power of 2。此时有$N=M/2$，且$\Phi (X)=X^N+1$。
  • 考虑到其多项式rings ${\mathbb{R}}_N[X]:=\mathbb{R}[X]/(X^N+1)$和${\mathbb{Z}}_N[X]:=\mathbb{Z}[X]/(X^N+1)$，定义其${\mathbb{Z}}_N[X]$-modulo为：
    ${\mathbb{T}}_N[X]:={\mathbb{R}}_N[X]/{\mathbb{Z}}_N[X]=\mathbb{T}[X]/(X^N+1)$
  • ${\mathbb{T}}_N[X]$中的元素，可看成是多项式对$X^N+1$求模后的在$\mathbb{T}$内的系数。
  • 作为${\mathbb{Z}}_N[X]$-modulo，${\mathbb{T}}_N[X]$中的元素可相加，并与${\mathbb{Z}}_N[X]$多项式进行external multiply。

如，若$M=4$，则有$N=2$，从而有$\Phi (X)=X^2+1$，进而有${\mathbb{T}}_2[X]=\mathbb{T}[X]/(X^2+1)=\{\mathfrak{p}(X)=\{{\mathfrak{p}}_{1}X+{\mathfrak{p}}_0|{\mathfrak{p}}_0,{\mathfrak{p}}_1\in \mathbb{T}\}$。
如取$\mathfrak{p}(X)=\frac{2}{5}X+\frac{1}{3}，\mathfrak{q}(X)=\frac{4}{5}X+\frac{1}{2}和\mathfrak{r}(X)=2X+7$，则有：

• $(\mathfrak{p}+\mathfrak{q})(X)=\frac{1}{5}+\frac{5}{6}$
• $(\mathfrak{r}\cdot \mathfrak{p})(X)=\frac{4}{5}{X}^2+\frac{7}{15}+\frac{1}{3}=-\frac{4}{5}+\frac{7}{15}X+\frac{1}{3}=\frac{7}{15}X+\frac{8}{15}$。注意该多项式定义于对$X^2+1$取模，从而有$X^2\equiv -1$。

2.2 Discretized Torus

令$B$为$\ge 2$的整数。任意的$t\in \mathbb{T}$ torus元素，可表示为radix-$B$ digits组成的无限序列$(t_1,t_2,\cdots {)}_B$，其中$t_j\in \{0,\cdots ,B-1\}$，对应有$t={\sum }_{j=1}^{\infty }{t}_j\cdot B^{-j}$。实际上，torus元素不会以无限多个digits来表示。会将元素膨胀到某有限精度。借助fixed-point方法，对于某$w\ge 1$，torus元素$t$可写成：
$t={\sum }_{j=1}^w{t}_j\cdot B^{-j}$，其中$t_j\in \{0,\cdots ,B-1\}$。

该表示可限定该torus到子集$B^{-w}\mathbb{Z}/\mathbb{Z}\subset \mathbb{T}$，其representatives在$\{0,\frac{1}{B^w},\frac{2}{B^w},\cdots ,\frac{B^w-1}{B^w}\}$内。

如，假设$B=10$，则$\sqrt{2}\mathrm{mod}1=\mathrm{0.4142...}=4\cdot 10^{-1}+1\cdot 10^{-2}+4\cdot 10^{-3}+2\cdot 10^{-4}+\cdots$。若$w=3$个digits，则$\sqrt{2}\mathrm{mod}1\approx \frac{414}{10^3}$接近为torus元素$4\cdot 10^{-1}+1\cdot 10^{-2}+4\cdot 10^{-3}$。

Remark 1：
当取$B=2$时，即对应radix-$2$场景，令$w=\Omega$，有$t={\sum }_{j=1}^{\Omega }{t}_j\cdot 2^{-j}$。

• 参数$\Omega$称为bit precision位精度。
• leading bit，即$t_1$，称为sign bit符号位。
  • 可将其看成是在$[0,1)$范围内的无符号实数。
  • 或，可将其看成是在$[-\frac{1}{2},\frac{1}{2})=[-\frac{1}{2},0)\cup [0,\frac{1}{2})$范围内的有符号实数。若设置了leading bit，相应的torus元素可被解析为负数，即在$[-\frac{1}{2},0)$范围内的某值。

现代架构中的位精度通常为32位或64位，即$\Omega =32或64$。在32位或64位架构中，torus元素形式可被限定为${\sum }_{j=1}^{\Omega }{t}_j\cdot 2^{-j}(\mathrm{mod}1)$，其中$t_i\in \{0,1\}$。

本质上，使用有限精度，是将$\mathbb{T}$替换为了submodule：
${\mathbb{T}}_q:=q^{-1}\mathbb{Z}/\mathbb{Z}\subset \mathbb{T}$，其中$q=2^{\Omega }$。

${\mathbb{T}}_q$的representatives为分数集合：$\{\frac{i}{q}\mathrm{mod}1|i\in \mathbb{Z}\}=\{\frac{i}{q}|i\in \mathbb{Z}/q\mathbb{Z}\}=\{0,\frac{1}{q},\cdots ,\frac{q-1}{q}\}$。该torus的离散化modulo $q$可由${\mathbb{T}}_q$中的下标$q$表示。submodule ${\mathbb{T}}_q\subset \mathbb{T}$形成了discretized torus。

实际应用中，torus元素并不以分数表示，而是通过identify ${\mathbb{T}}_q=\frac{1}{q}\mathbb{Z}/\mathbb{Z}$ with $\mathbb{Z}/q\mathbb{Z}$的元素模$q$。
更具体来说，已知2个torus元素$t=\frac{a}{q},u=\frac{b}{q}\in {\mathbb{T}}_q$，若有$v:=t+u=\frac{c}{q}\in {\mathbb{T}}_q$，则有$c\equiv a+b(\mathrm{mod}q)$。
类似地，对于torus元素$t=\frac{a}{q}$和scalar $k\in \mathbb{Z}$，若有$w:=k\cdot t=\frac{d}{q}\in {\mathbb{T}}_q$，则有$d\equiv ka(\mathrm{mod}q)$。
基于${\mathbb{T}}_q$的计算，可完全转换为，仅考虑分子的模$q$运算。

类似地，对于discretized torus ${\mathbb{T}}_q$，可定义：
${\mathbb{T}}_{N,q}[X]:={\mathbb{Z}}_q[X]/(X^N+1)$

同时定义${\mathbb{Z}}_{N,q}[X]:={\mathbb{Z}}_q/(X^N+1)$，其中${\mathbb{Z}}_q=\mathbb{Z}/q\mathbb{Z}$。将$\frac{1}{q}$看成是${\mathbb{Z}}_{N,q}[X]$中的某元素，任意多项式$\mathfrak{p}\in {\mathbb{T}}_{N,q}[X]$可表示为$\mathfrak{p}=\bar{\mathfrak{p}}\cdot \frac{1}{q}$，其中多项式$\bar{\mathfrak{p}}\in {\mathbb{Z}}_{N,q}[X]$。${\mathbb{T}}_{N,q}[X]$中的加法和外部乘法可分别表示为’$+$‘和’$\cdot$’。

2.3 标记

令$S$为某集合，$a\stackrel{\S }{}S$表示$a$为$S$中的均匀采样随机值。若$\mathcal{D}$为概率分布，$a\leftarrow \mathcal{D}$则表示根据$\mathcal{D}$来采样获得$a$。对于实数$x$，$\lfloor x\rfloor$表示取$\le x$的最大整数，$\lceil x\rceil$表示取$geqx$的最小整数。$\lfloor x\rceil$表示对$x$四舍五入取整。

$\mathbb{Z}$或$\mathbb{T}$（分别为${\mathbb{Z}}_q$或${\mathbb{T}}_q$）中元素以罗马字体表示，多项式以书法字体表示。$\mathbb{B}$为整数子集$\{0,1\}$，$N$为power of $2$，${\mathbb{B}}_N[X]$为${\mathbb{Z}}_N[X]$多项式系数在$\mathbb{B}$的子集。

向量可看成是行矩阵，以粗体表示。

如，向量$\mathbf{v}=(3,4)\in {\mathbb{Z}}^2$可看成是行矩阵$(34)\in {\mathbb{Z}}^{1\times 2}$，且若$\mathbf{A}=\left[\begin{array}{cc}1& 2\\ 0& 1\end{array}\right]$，则$\mathbf{vA}=(310)=(3,10)$。

2.4 复杂度假设

2005年，Regev [Reg05, Reg09]引入了learning with errors problem（LWE）。随后在[SSTX09，LPR10]中提出了对ring结构的推广和扩展。如[CGGI20]中最初所述，TFHE的安全性依赖于基于torus的难题hardness[BLP+13，CS15]：基于torus的LWE假设和GLWE假设[BGV14，LS15]。

本文基于discretized torus，做如下定义：

• Definition 1（LWE problem over the discretized torus）：
  令$q,n\in \mathbb{N}$，$\mathbf{s}=(s_1,\cdots ,s_n)\stackrel{\S }{}{\mathbb{B}}^n$。令$\hat{X}$为基于$q^{-1}\mathbb{Z}$的error distribution。则基于discretized torus的learning with errors（LWE）难题为：
  区分如下2个distributions中选中的采样：
  ${\mathcal{D}}_0=\{(\mathbf{a},r)|\mathbf{a}\stackrel{\S }{}{\mathbb{T}}_q^n,r\stackrel{\S }{}{\mathbb{T}}_q\}$
  ${\mathcal{D}}_1=\{(\mathbf{a},r)|\mathbf{a}=(a_1,\cdots ,a_n)\stackrel{\S }{}{\mathbb{T}}_q^n,r={\sum }_{j=1}^n{s}_j\cdot a_j+e,e\leftarrow \hat{X}\}$
• Definition 2（GLWE problem over the discretized torus）：
  令$N,q,k\in \mathbb{N}$，$N$为power of 2，$\mathbf{s}=({\mathfrak{s}}_1,\cdots ,{\mathfrak{s}}_k)\stackrel{\S }{}{\mathbb{B}}_N[X{]}^k$。同时，令$\hat{X}$为基于$q^{-1}{\mathbb{Z}}_N[X]$的error distribution，即，多项式$q^{-1}{\mathbb{Z}}_N[X]$的系数均源自$\hat{X}$。基于discretized torus的general learning with errors（GLWE）难题为：
  区分如下2个distributions中选中的采样：
  ${\mathcal{D}}_0=\{(\mathfrak{a},\mathfrak{r})|\mathfrak{a}\stackrel{\S }{}{\mathbb{T}}_{N,q}[X{]}^k,\mathfrak{r}\stackrel{\S }{}{\mathbb{T}}_{N,q}[X]\}$
  ${\mathcal{D}}_1=\{(\mathfrak{a},\mathfrak{r})|\mathfrak{a}=({\mathfrak{a}}_1,\cdots ,{\mathfrak{a}}_k)\stackrel{\S }{}{\mathbb{T}}_{N,q}[X{]}^k,\mathfrak{r}={\sum }_{j=1}^k{\mathfrak{s}}_j\cdot {\mathfrak{a}}_j+e,e\leftarrow \hat{X}\}$

decisional LWE假设（或decisional GLWE假设）断言，对于某安全参数$\lambda$，解决LWE难题（或GLWE难题）是不可信的，其中$q:=q(\lambda ),n:=n(\lambda ),\hat{X}:=\hat{X}(\lambda )$（或$N:=N(\lambda ),q:=q(\lambda ),k=k(\lambda ),\hat{X}:=\hat{X}(\lambda )$）。

有趣的是，以${\mathbb{T}}_q$来标记${\mathbb{Z}}_q=\mathbb{Z}/q\mathbb{Z}$（或，以${\mathbb{T}}_{N,q}[X]$来标记${\mathbb{Z}}_{N,q}[X]$），则基于discretized torus的decisional LWE（或decisional GLWE）假设，等价为标准decisional LWE（或decisional GLWE）假设。

如上表所示，展示了LWE假设和GLWE假设安全示例常用经典密码学参数。根据normal distribution $\mathcal{N}(0,{\sigma }^2)$可推导出error distribution $\hat{X}$，normal distribution $\mathcal{N}(0,{\sigma }^2)$以$0$为中心，方差为${\sigma }^2$，其中$\sigma$表示标准方差。

推荐使用https://github.com/malb/lattice-estimator/（Python）脚本来找到指定安全级别的准确参数。
对于某等价安全级别，更小的参数$n$值（或$(N,k)$值），应补偿有更大$\sigma$值（即，更不密集的噪声）。

3. TLWE Encryption

3.1 描述

基于discretized torus的LWE假设，是指，对于由$r={\sum }_{j=1}^n{s}_j\cdot a_j+e$所构建的某torus元素$r\in {\mathbb{T}}_q$，与随机torus元素$r\in {\mathbb{T}}_q$，二者不可区分，即使已知torus向量$(a_1,\cdots ,a_n)\in {\mathbb{T}}_q$。
torus元素$r={\sum }_{j=1}^n{s}_j\cdot a_j+e$，可用作一次性pad来隐藏“明文消息”$\mu \in {\mathbb{T}}_q$，从而构成密文$\mathbf{c}=(a_1,\cdots ,a_n,r+\mu )\in {\mathbb{T}}_q^{n+1}$，其中$\mathbf{s}=(s_1,\cdots ,s_n)\in {\mathbb{B}}^n$用作private 加密密钥。选择秘钥$s$为bits向量的原因，是为了实现高效bootstrapping，具体见 Guide to Fully Homomorphic Encryption over the [Discretized] Torus 论文第5章。

仅部分torus用作明文消息输入。该明文空间取自合适的加法子群$\mathcal{P}\subset {\mathbb{T}}_q$，具体为：
$\mathcal{P}=\{0,\frac{1}{p},\cdots ,\frac{p-1}{p}\}$
其中，整数$p$可整除$q$，且$p\ge 2$。只要密文中的噪声不太大，就支持唯一解密。
特别地，基于以上$\mathcal{P}$选择，若$\mathbf{c}=(a_1,\cdots ,a_n,b)$，其中$b={\sum }_{j=1}^n{s}_j\cdot a_j+\mu +e$为对明文$\mu \in \mathcal{P}$的加密，则明文$\mu$可通过如下2个步骤恢复：

• 1）计算${\mu }^{\ast }=b-{\sum }_{j=1}^n{s}_j\cdot a_j$（在${\mathbb{T}}_q$中）
• 2）返回$\mathcal{P}$中最接近的明文。

TWLE加密方案为：
已知discretized torus ${\mathbb{T}}_q$，明文空间为${\mathbb{T}}_q$的某加法子群，即$\mathcal{P}:=p^{-1}\mathbb{Z}/\mathbb{Z}={\mathbb{T}}_p\subset {\mathbb{T}}_q$，其中$p$可整除$q$。根据基于$\mathbb{R}$的error distribution $X$，可推导出基于$q^{-1}\mathbb{Z}$的discretized distribution $\hat{X}$：
noise error $e\leftarrow \hat{X}$定义为$e=\frac{\bar{e}}{q}$，其中$\bar{e}=\text{round}(q{e}_0)\in \mathbb{Z}$，$e_0\leftarrow X$。
密文的mask $(a_1,\cdots ,a_n)\in {\mathbb{T}}_q^n$源自${\bar{a}}_j\stackrel{\S }{}\mathbb{Z}/q\mathbb{Z}$，并令$a_j=\frac{{\bar{a}}_j}{q}$，其中$1\le j\le n$。相应的body $b$为$b={\sum }_{j=1}^n{s}_j\cdot a_j+\mu +e$，其中$e\leftarrow \hat{X}$。对$\mu \in \mathcal{P}$的TLWE加密结果为向量$(a_1,\cdots ,a_n,b)$。

Remark 2：
该私钥加密方案是对称的：

• 在加密和解密时使用的是相同的秘钥。公钥变种见附录A。

最终，完整的私钥加密方案——TLWE加密方案为：

• 1）$KeyGen(1^{\lambda })$：基于输入安全参数$\lambda$，定义正整数$n$，选择正整数$p,q$，使得$p|q$，并基于$\mathbb{R}$的normal distribution $X=\mathcal{N}(0,{\sigma }^2)$推导出基于$q^{-1}\mathbb{Z}$的discretized error distribution $\hat{X}$。随机均匀采样获得向量$\mathbf{s}=(s_1,\cdots ,s_n)\stackrel{\S }{}{\mathbb{B}}^n$。明文空间为$\mathcal{P}={\mathbb{T}}_p\subset {\mathbb{T}}_q$。公共参数为$pp=\{n,\sigma ,p,q\}$，私钥为$sk=\mathbf{s}$。
• 2）$Encryp{t}_{sk}(\mu )$：选择随机向量$(a_1,\cdots ,a_n)\stackrel{\S }{}{\mathbb{T}}_q$和“small” noise $e\leftarrow \hat{X}$，对$\mu \in \mathcal{P}$的加密为：
  $\mathbf{c}\leftarrow TLW{E}_{\mathbf{s}}(\mu )=(a_1,\cdots ,a_n,b)\in {\mathbb{T}}_q^{n+1}$
  其中：
  $\{\begin{array}{c}{\mu }^{\ast }=\mu +e\\ b={\sum }_{j=1}^n{s}_j\cdot a_j+{\mu }^{\ast }\end{array}$
• 3）$Decryp{t}_{sk}(\mathbf{c})$：需使用私钥$\mathbf{s}=(s_1,\cdots ,s_n)\stackrel{\S }{}{\mathbb{B}}^n$，对$\mathbf{c}=(a_1,\cdots ,a_n,b)$进行解密，计算${\mathbb{T}}_q$内的：
  ${\mu }^{\ast }=b-{\sum }_{j=1}^n{s}_j\cdot a_j$
  并返回：
  $\mu =\frac{\lfloor p{u}^{\ast }\rceil \mathrm{mod}p}{p}$
  ，即，以最近的明文$\mu \in \mathcal{P}$，作为$\mathbf{c}$的解密。

为便于标记，对于整数$k$和torus元素$t\in {\mathbb{T}}_q\subset \mathbb{T}$，将$\lfloor kt\rceil$表示$k,t$乘积最近的整数，看做是某实数。
严格来说，应写成$\lfloor k\text{ lift}(t)\rceil$，其中lift函数会将$\mathbb{T}$元素，lift到，$\mathbb{R}$，即，将$\mathbb{T}$元素看成是$\mathbb{R}$元素。

当noise error $e$满足$|e|<\frac{1}{2p}$时，很容易验证该解密过程可成功恢复出明文$\mu$。

Proof：
对于明文$\mu \in \mathcal{P}=\{0,\frac{1}{p},\cdots ,\frac{p-1}{p}\}$，令$\mathbf{c}\leftarrow TLW{E}_{\mathbf{s}}(\mu )=(a_1,\cdots ,a_n,b)$，其中$(a_1,\cdots ,a_n)\stackrel{\S }{}{\mathbb{T}}_q^n$，且$b={\sum }_{j=1}^n{s}_j\cdot a_j+\mu +e$，$e\leftarrow \hat{X}$。由于$\mu \in \mathcal{P}$，即存在唯一整数$m\in [0,p)$，使得$\mu =\frac{m}{p}$。应用$Decryp{t}_{sk}(\mathbf{c})$输出$\mu =\frac{\lfloor p{u}^{\ast }\rceil \mathrm{mod}p}{p}$，其中${\mu }^{\ast }:=\mu +e\in {\mathbb{T}}_q\subset \mathbb{T}$。有$\lfloor p((u+e)\mathrm{mod}1)\rceil =\lfloor p(u+e+\delta )\rceil =\lfloor p(u+e)\rceil +\delta p$，其中$\delta \in \mathbb{Z}$。
若假设$|e|<\frac{1}{2p}$，同时有$\lfloor p(u+e)\rceil =\lfloor p(\frac{m}{p}+e)\rceil =\lfloor m+pe\rceil =m+\lfloor pe\rceil =m$。
此时，最终有$\lfloor p{u}^{\ast }\rceil \mathrm{mod}p=\lfloor p(u+e)\rceil \mathrm{mod}p=m$，且$\frac{\lfloor p{u}^{\ast }\rceil \mathrm{mod}p}{p}=\frac{m}{p}=\mu$。

举个例子：

3.2 Encoding/Decoding

加密算法以（discretized）torus元素，或更准确来说，以$\mathcal{P}$中元素为输入。Encoding/Decoding编解码的目的，是为了支持更多的输入形式。

令$\mathcal{M}$为任意有限消息空间，其cardinality $\#\mathcal{M}=p$，且$p=2^v$。明文空间$\mathcal{P}={\mathbb{T}}_p\subset \mathbb{T}$，且$q=2^{\Omega }$。

• 编码函数为：$Encode:\mathcal{M}\to \mathcal{P}$，将消息$m\in \mathcal{M}$映射为$\mu \in \mathcal{P}$元素。编码用在加密之前。
• 解码函数为：$Decode:\mathcal{P}\to \mathcal{M}$，将$\mu \in \mathcal{P}$元素映射为$m\in \mathcal{M}$消息。解码用于解密之后。

接下来将考虑如下消息空间场景：

• 1）包含bits的消息空间。
  即消息空间为$\mathcal{M}=\{0,1\}$。对于某bit $b\in \{0,1\}$，定义$Encode(b)=b/2$。从而，bit 0被编码为torus元素$0=\frac{0}{q}\in {\mathbb{T}}_q$。bit 1被编码为torus元素$\frac{1}{2}=\frac{q/2}{q}\in {\mathbb{T}}_q$。相应的反向操作，$Decode(\mu )=\lfloor 2\mu \rceil \mathrm{mod}2$，且若$\mu \in \{0,\frac{1}{2}\}$，则$Decode(\mu )\in \{0,1\}$。

• 2）包含整数模$p$，其中$p$可整除$q$，的消息空间。
  为只包含bits消息空间的扩展，可将其看成是模$p=2$的特例情况。
  即消息空间为$\mathcal{M}=\{i\mathrm{mod}p|i\in \mathbb{Z}\}=\mathbb{Z}/p\mathbb{Z}$。
  令$\Delta =q/p\in \mathbb{Z}$，则相应的编解码分别为：
  $Encode(i)=\frac{i\mathrm{mod}p}{p}(=\frac{(i\mathrm{mod}p)\Delta }{q})$【该编码显然用于小于$p$的无符号整数，即$i\in \{0,1,\cdots ,p-1\}$。也可用于有符号整数，此时，“模 $p$” 返回的是$\{-\frac{p}{2},\cdots ,\frac{p}{2}-1\}$内的有符号表示。】
  $Decode(\mu )=\lfloor p\mu \rceil \mathrm{mod}p$。
  

• 3）包含固定精度torus元素的消息空间。
  令$p\ge 2$，且$p|q$，与 整数模$p$ 情况类似，torus元素格式为$t=\frac{i}{p}$，其中$i\in \mathbb{Z}/p\mathbb{Z}$。这些torus元素构成了固定精度torus元素子集。对于$x\in {\mathbb{T}}_p=p^{-1}\mathbb{Z}/\mathbb{Z}$和$\mu \in {\mathbb{T}}_q$，定义：
  $Encode(x)=x$【可用于${\mathbb{T}}_p\cap [0,1)$内的无符号（固定精度）数字。也可用于${\mathbb{T}}_p\cap [-\frac{1}{2},\frac{1}{2})$内的有符号（固定精度）数字】
  $Decode(\mu )=\frac{\lfloor p\mu \rceil \mathrm{mod}p}{p}$

3.3 Implementation Notes

Batching ciphertexts，批量加密：
当有$m$个明文（torus元素）待加密时，若基于不同的秘钥加密，可复用相同的随机值。特别地，对于${\mu }_1,\cdots ,{\mu }_m\in \mathcal{P}$，设置$\mathbf{C}=(a_1,\cdots ,a_n,b_1,\cdots ,b_m)\in {\mathbb{T}}_q^{n+m}$，其中对于$1\le i\le m$，encryption $b_i={\sum }_{j=1}^n{s}_{i,j}\cdot a_j+{\mu }_i+e_i$，$(a_1,\cdots ,a_n)\stackrel{\S }{}{\mathbb{T}}_q^n$，$s_i=(s_{i,1},\cdots ,s_{i,n})\stackrel{\S }{}{\mathbb{B}}^n$和noise error $e_i$。
该变种的安全性遵循[BBS03]。由于随机值（即$a_j$）已明确在TLWE密文中给出，很容易验证其满足[BBKS07, Definition 9.3]中的“reproducibility”标准。

密文压缩：
TLWE密文为具有$n+1$个元素的torus向量。以Table 2中的参数集，若假设torus元素以64位表示，则TLWE密文通常需要$631\times 64=40384$个位（与5KB）来表示。
不同于将密文$\mathbf{c}$表示为$\mathbf{c}=(a_1,\cdots ,a_n,b)$，更紧凑的方式，是定义$\mathbf{c}$为$\mathbf{c}=(\theta ,b)$，其中$\theta \stackrel{\S }{}\{0,1{\}}^{\lambda }$为$\lambda$-bit string，$\lambda$为安全参数。$\theta$值用作密码学安全的伪随机数生成器的seed，来派生出随机向量$(a_1,\cdots ,a_n)$：：
$(a_1,\cdots ,a_n)\leftarrow PRNG(\theta )$
借助以上参数（对应所需的安全级别为128位），相同的密文仅需要$128+64=192$位来表示。

key storage密钥存储：
相同的策略可用于存储私钥$\mathbf{s}$。不同于直接存储$\mathbf{s}$为$n$-bit string，可仅存储用作密码学安全的伪随机数生成器seed的$\lambda$-bt seed。

4. TGLWE Encryption

4.1 TGLWE描述

TLWE加密可扩展到${\mathbb{T}}_{N,q}[X]$ torus 多项式。基于torus ${\mathbb{T}}_q$的运算，可简单替换为，基于多项式模$X^N+1$（和模$q$）的运算。
已知2个多项式$\mathfrak{a},\mathfrak{v}\in {\mathbb{T}}_{N,q}[X]$：

• $\mathfrak{a}+\mathfrak{v}$：表示$\mathfrak{a},\mathfrak{v}$的加法模$(X^N+1,q)$运算

已知2个多项式$\mathfrak{a}\in {\mathbb{Z}}_{N,q}[X],\mathfrak{v}\in {\mathbb{T}}_{N,q}[X]$：

• $\mathfrak{a}\cdot \mathfrak{v}$：表示$\mathfrak{a},\mathfrak{v}$的外乘模$(X^N+1,q)$运算。【注意，并未定义internal product运算。】

明文空间为多项式子集：
${\mathcal{P}}_N[X]:=\mathcal{P}[X]/(X^N+1)={\mathbb{T}}_{N,p}[X]\subset {\mathbb{T}}_{N,q}[X]$
其中：

• $\mathcal{P}={\mathbb{T}}_p=p^{-1}\mathbb{Z}/\mathbb{Z}$
• $p$可整除$q$。从而强制，${\mathcal{P}}_N[X]$为${\mathbb{T}}_{N,q}[X]$的加法子群。

最终，完整TGLWE加密方案为：

• 1）$KeyGen(1^{\lambda })$：基于输入安全参数$\lambda$，定义一组整数$(N,k)$，其中$N$为power of 2，$k\ge 1$，选择正整数$p,q$，使得$p|q$，并基于${\mathbb{R}}_N[X]$的normal distribution $\mathcal{X}=\mathcal{N}(0,{\sigma }^2)$推导出基于$q^{-1}{\mathbb{Z}}_N[X]$的discretized error distribution $\hat{\mathcal{X}}$。随机均匀采样获得向量$\mathfrak{s}=({\mathfrak{s}}_1,\cdots ,{\mathfrak{s}}_k)\stackrel{\S }{}{\mathbb{B}}_N[X{]}^k$。明文空间为${\mathcal{P}}_N[X]={\mathbb{T}}_{N,p}[X]\subset {\mathbb{T}}_{N,q}[X]$。公共参数为$pp=\{k,N,\sigma ,p,q\}$，私钥为$sk=\mathfrak{s}$。
• 2）$Encryp{t}_{sk}(\mu )$：选择随机向量$({\mathfrak{a}}_1,\cdots ,{\mathfrak{a}}_k)\stackrel{\S }{}{\mathbb{T}}_{N,q}[X{]}^k$和“small” noise $e\leftarrow \hat{\mathcal{X}}$，对$\mathfrak{u}\in {\mathcal{P}}_N[X]$的加密为：
  $\mathfrak{c}\leftarrow TGLW{E}_{\mathfrak{s}}(\mathfrak{u})=({\mathfrak{a}}_1,\cdots ,{\mathfrak{a}}_k,\mathfrak{v})\in {\mathbb{T}}_{N,q}[X{]}^{k+1}$
  其中：
  $\{\begin{array}{c}{\mathfrak{u}}^{\ast }=\mathfrak{u}+e\\ \mathfrak{v}={\sum }_{j=1}^n{\mathfrak{s}}_j\cdot {\mathfrak{a}}_j+{\mathfrak{u}}^{\ast }\end{array}$
• 3）$Decryp{t}_{sk}(\mathfrak{c})$：需使用私钥$\mathfrak{s}=({\mathfrak{s}}_1,\cdots ,{\mathfrak{s}}_n)\stackrel{\S }{}{\mathbb{B}}^n$，对$\mathfrak{c}=({\mathfrak{a}}_1,\cdots ,{\mathfrak{a}}_n,\mathfrak{v})$进行解密，计算${\mathbb{T}}_{N,q}[X]$内的：
  ${\mathfrak{u}}^{\ast }=\mathfrak{v}-{\sum }_{j=1}^n{\mathfrak{s}}_j\cdot {\mathfrak{a}}_j$
  并返回：
  $\mathfrak{u}=\frac{\lfloor p{\mathfrak{u}}^{\ast }\rceil \mathrm{mod}p}{p}$
  ，即，以最近的明文$\mathfrak{u}\in {\mathcal{P}}_N[X]$，作为$\mathfrak{c}$的解密。

Remark 4：
由于，当$N=1$时，有${\mathbb{T}}_{N,q}[X]={\mathbb{T}}_q$，可看出TLWE加密方案，为TGLWE方案的特例情况，即对应有$(k,N)=(n,1)$。

TLWE用于对${\mathbb{T}}_q$加密，TGLWE用于对${\mathbb{T}}_{N,q}[X]$加密。

• 当用于对单个torus元素$\mu \in \mathcal{P}$进行加密时，应优选TLWE，因其具有更短的密文。
• 当用于对多个torus元素加密时，TGLWE选项更优，具体见后续章节。
  有TLWE和TGLWE这2种方案的主要原因在于，二者都需要实现可编程bootstrapping。

4.2 TGLWE Encoding/Decoding

TGLWE支持对任意多项式$\mathfrak{u}\in {\mathcal{P}}_N[X]$进行加密。很多应用中，限定$\mathfrak{u}$ degree为0的多项式，从而可将其看成是$\mathcal{P}$中元素。此时的编解码方法与上一节TLWE的编解码方法一样。

当需对$N$个torus元素${\mu }_0,\cdots ,{\mu }_{N-1}\in \mathcal{P}$加密时，可将其表示为多项式$\mathfrak{u}(X)={\mu }_0+{\mu }_{1}X+\cdots +{\mu }_{N-1}{X}^{N-1}$的系数。该优化又名coefficient packing。

4.3 TGLWE实现注意事项

2个多项式的（外）乘是吃力的操作。不过，cyclotomic多项式$\Phi (X)=X^N+1$的特殊结构，使得该计算要更容易点。
比如：

通常情况下，对于$\Phi (X)=X^N+1$，$\mathfrak{p}\in {\mathbb{Z}}_{N,q}[X],\mathfrak{q}\in {\mathbb{Z}}_{N,q}[X]$，令$\mathfrak{p}(X)=p_0+p_{1}X+\cdots +p_{N-1}{X}^{N-1}，\mathfrak{q}(X)=q_0+q_{1}X+\cdots +q_{N-1}{X}^{N-1}$，借助$X^{N+i}\equiv -X^i(\mathrm{mod}{X}^N+1)$关系，二者的乘积为：
$$\begin{gathered} \mathfrak{p}(X)\cdot \mathfrak{q}(X)=(p_0+p_{1}X+\cdots +p_{N-1}{X}^{N-1})\cdot (q_0+q_{1}X+\cdots +q_{N-1}{X}^{N-1}) \\ =p_0\cdot q_0-p_1\cdot q_{N-1}-\cdots -p_{N-1}\cdot q_1 \\ +(p_0\cdot q_1+p_1\cdot q_0-\cdots -p_{N-1}\cdot q_2)X \\ +\cdots \\ +(p_0\cdot q_{N-1}+p_1\cdot q_{N-2}+\cdots +p_{N-1}\cdot q_0)X^{N-1} \end{gathered}$$

这需要$N^2$次外部torus乘法来计算$p_i,q_j$，其中$0\le i,j\le N-1$。当$N$值很大时，可选方法是使用fast Fourier transform（FFT）[vzGG13, Chapter 8]，或见[Ber01]中代数描述。

当$\mathfrak{p}(X)$为单项式$X^j$时，其中$j\in \{0,\cdots ,N-1\}$，则该乘法公式可简化为：

或，更简洁表示为：
$X^j\cdot \mathfrak{q}(X)={\sum }_{i=0}^{j-1}-q_{i+N-j}{X}^i+{\sum }_{i=j}^{N-1}{q}_{i-j}{X}^i$
$X^{N+j}\cdot \mathfrak{q}(X)=-X^j\cdot \mathfrak{q}(X)$

该关系又名negacyclic property。
示例为：

参考资料

[1] Zama团队的Marc Joye 2021年论文 Guide to Fully Homomorphic Encryption over the [Discretized] Torus

FHE系列博客

• 技术探秘：在RISC Zero中验证FHE——由隐藏到证明：FHE验证的ZK路径（1）