全同态加密理论、生态现状与未来展望（上）

mutourend

已于 2025-04-13 17:00:09 修改

阅读量1.2k

点赞数 10

分类专栏：全同态加密FHE 文章标签： FHE

于 2025-01-12 22:47:18 首次发布

本文链接：https://blog.youkuaiyun.com/mutourend/article/details/145101069

版权

全同态加密FHE 专栏收录该内容

21 篇文章

订阅专栏

《全同态加密理论、生态现状与未来展望》系列由lynndell2010@gmail.com和mutourend2010@gmail.com整理原创发布，分为上中下三个系列：

全同态加密理论、生态现状与未来展望（上）：专注于介绍全同态加密理论知识。
全同态加密理论、生态现状与未来展望（中1）：专注于介绍全同态加密四代算法中第一代第二代FHE算法的衍化历程。
全同态加密理论、生态现状与未来展望（中2）：专注于介绍全同态加密四代算法中第三代第四代FHE算法的衍化历程。
全同态加密理论、生态现状与未来展望（下）：专注于介绍当前全同态加密生态现状及未来展望。

整个系列内容可能存在纰漏，希望能得到大家的反馈，有任何问题欢迎邮件联系lynndell2010@gmail.com和mutourend2010@gmail.com，或在本文下方评论留言。

1. 引言

1.1 格基本概念

1.1.1 格定义

定义 1 (格). 设 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n \in \mathbb{R}^m$ 为一组线性无关的向量。由 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n$ 生成的格 $L$ 指的是向量 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n$ 的线性组合构成的向量集合，且其所有的系数均在 $\mathbb{Z}$ 中，即：
$\{ a_1\mathbf{v}_1 + a_2\mathbf{v}_2 + \cdots + a_n\mathbf{v}_n : a_1, a_2, \cdots, a_n \in \mathbb{Z},\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n \in \mathbb{R}^m\}.$

任意一组可以生成格的线性无关的向量称为格的基，格基的向量个数称为格的维度。

1.1.2 格计算困难问题

最短向量问题(SVP):
在格 $L$ 中求一个非零向量 $\mathbf{v} \in L$ ，使它的欧几里得范数 $||\mathbf{v}||=\sqrt {\mathbf{v} \cdot \mathbf{v}}$ 最小。
最近向量问题(CVP):
已知一个不在格 $L$ 中的向量 $\mathbf{w} \in \mathbb{R}^m$ ，求一个向量 $\mathbf{v} \in L$ ，使它最接近 $\mathbf{w}$ 。换言之，求一个向量 $\mathbf{v} \in L$ ，使欧几里得范数 $||\mathbf{w}-\mathbf{v}||$ 最小。

在格中可能存在不止一个最短的非零向量（找出一个即可）。例如，在 $Z^2$ 中， $(0,\pm1)$ 和 $(\pm 1,0)$ 这四个向量都是SVP解。这种情形也适用于CVP。

随着格的维度 $n$ 的增加，在计算上也越来越难解。另外，即使是对SVP和CVP的近似解，在理论和应用数学的诸多领域都有许多应用。通常，CVP被认为是NP难问题，SVP在特定的"随机规约假设"下也被认为是NP难问题。

1.1.3 最短基问题(SBP)

在实际应用中，有一些很重要的SVP和CVP的变形SBP：
求一个格基 $\mathbf{v}_1,\mathbf{v}_2,\dots,\mathbf{v}_n$ ，使它在某些情况下最短。如可能需要使下式最小：
$max_{1 \leq i \leq n}||\mathbf{v}_i||~~~\vee~~~ \sum_{i=1}^n||\mathbf{v}_i||^2$
因此，可能有许多版本的SBP，这取决于如何定义基的"大小"。

1.1.4 近似最短/最近向量问题

近似最短向量问题(apprSVP)： 设 $\Psi (n)$ 是 $n$ 的一个函数。在 $n$ 维格 $L$ 中，求一个非零向量，使其不大于最短非零向量的 $\Psi (n)$ 倍。
换言之，如果 $\mathbf{v}_{\text{shortest}}$ 是格 $L$ 的最短非零向量，则求一个非零向量 $\mathbf{v} \in L$ ，使其满足：
$||\mathbf{v}|| \leq \Psi (n) ||\mathbf{v}_\text{shortest}||$

不同函数 $\Psi(n)$ 可形成不同的apprSVP。如要求设计一个算法，用于求非零的向量 $\mathbf{v} \in L$ ，满足：
$||\mathbf{v}|| \leq 3 \sqrt{n}||\mathbf{v}_{\text{shortest}}||~~~\vee~~~ ||\mathbf{v}|| \leq 2^{n/2}||\mathbf{v}_{\text{shortest}}||$
很明显，前者的算法比后者要强，但如果格的维度不大，即使对后者的解也可能是非常有用的。

近似最近向量问题(apprCVP)： 与apprSVP类似，需要求CVP的近似解。

1.1.5 LWE困难问题

LWE搜索困难问题： 已知矩阵 $\mathbf{A}\in \mathbb{Z}_q^{mn}$ 和向量 $\mathbf{b}\in \mathbb{Z}_q^{m}$ ，求向量 $\mathbf{s}\in\mathbb{Z}_q^{n}$ 是困难的。其中，
$\mathbf{b}=\mathbf{A}\mathbf{s}+\mathbf{e}\mod q.$
$\mathbf{e}\in \mathbb{Z}_N^{m}$ 是噪声（欧几里得范数很小）。

图1：LWE 搜索困难问题

LWE判决困难问题： 已知矩阵 $\mathbf{A}\in \mathbb{Z}_q^{mn}$ 和向量 $\mathbf{b}\in \mathbb{Z}_q^{m}$ ，判断是LWE实例，还是随机数实例。

1.1.6 环LWE困难问题

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。 $\bar A_{s,\chi}$ 是 $R_q\times R_q$ 上的一个概率分布。该分布以如下方式获得：随机选择 $\mathbf{a}\in R_q$ ，根据分布 $\chi$ 选择噪声向量 $\mathbf{e}\in R_q$ ，则
$\bar A_{s,\chi }=(\mathbf{a},\mathbf{b})=(\mathbf{a},\mathbf{a}\bullet \mathbf{s}+\mathbf{e})\in R_q\times R_q$
环LWE搜索困难问题： 已知 $(\mathbf{a},\mathbf{b})\in R_q\times R_q$ ，求 $\mathbf{s}\in R_q$ 是困难的。
环LWE判决困难问题： 已知环LEW $(\mathbf{a},\mathbf{b})\in R_q\times R_q$ 实例与随机均匀分布实例 $(\mathbf{a}',\mathbf{b}')$ ，无法区分。

1.1.7 优质基与劣质基

在这里插入图片描述
图2：优质基与劣质基

优质基： 向量角度比较大（Hadamard比率较大，接近1）。使用优质基，调用Babai算法，能在多项式时间内求解CVP困难问题；
劣质基： 向量角度比较小（Hadamard比率较小，接近0）。使用劣质基，不能在多项式时间内求解CVP困难问题。

已知优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ ，能在多项式时间内求劣质基 $\mathbf{W}=(\mathbf{w}_1,...,\mathbf{w}_n)$ 。
求解方法： 选择随机矩阵 $\mathbf{A}$ ，要求 $\det (\mathbf{A})=\pm1$ ，则
$\mathbf{W}:=\mathbf{A}\mathbf{V}$
反之，已知劣质基 $\mathbf{W}$ ，不能在多项式时间内求优质基 $\mathbf{V}$ 。

1.1.8 Babai算法

已知优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ ，求目标向量 $\mathbf{w}$ 的最近向量，即解决CVP困难问题。
Babai算法包括以下三个步骤：

使用优质基，能在多项式时间内求实数 $t_i\in \mathbb{R}$ ，使得 $\mathbf{w}=t_1\mathbf{v}_1+...+t_n\mathbf{v}_n$ ，即任意向量由基线性表达。
对于实数 $t_i\in \mathbb{R}$ ，取四舍五入 $a_i = \lceil t_i \rfloor$ 。
计算向量 $\mathbf{w}':=a_1\mathbf{v}_1+...+a_n\mathbf{v}_n$ ，则 $\mathbf{w}'$ 是 $\mathbf{w}$ 的最近向量。

分析：
使用优质基 $(\mathbf{v}_1,...,\mathbf{v}_n)$ ，使得对 $t_i$ 四舍五入时，误差较小，所以最终结果正确。
如果使用劣质基 $(\mathbf{w}_1,...,\mathbf{w}_n)$ 在多项式时间内求实数 $t_i\in \mathbb{R}$ ，则四舍五入的误差较大，无法获得正确结果。
如果目标向量是一个噪声（欧几里得范数很小），则 $t_i$ 非常接近0，四舍五入后获得的 $a_i$ 等于0，因此Babai算法是去噪声算法，能找到最近向量，解决CVP困难问题。

1.1.9 GGH公钥密码系统

Public-key cryptosystems from lattice reduction problems

密钥生成： 选择一个优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ 作为私钥。选择一个整数矩阵 $\mathbf{U}$ ，使得 $\det (\mathbf{U})= \pm 1$ 。计算 $\mathbf{W}:=\mathbf{U}\mathbf{V}$ ，则获得劣质基 $\mathbf{W}=(\mathbf{w}_1,...,\mathbf{w}_n)$ 作为公钥。
加密： 消息为小向量 $\mathbf{m}$ ，选择噪声 $\mathbf{r}$ ，输入公钥 $\mathbf{W}$ ，如下计算：
$\mathbf{c}=\mathbf{m}\cdot\mathbf{W}+\mathbf{r}$
则密文为 $\mathbf{c}$ 。
解密： 使用私钥(优质基) $\mathbf{V}$ ，输入Babai算法，如下解密：
$\begin{aligned} &\lceil \mathbf{c}\mathbf{V}^{-1}\rfloor \bullet\mathbf{V}\mathbf{W}^{-1}\\ &=\lceil (\mathbf{m}\cdot\mathbf{W}+\mathbf{r})\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1} \\ &=\lceil\mathbf{m}\cdot\mathbf{W}\mathbf{V}^{-1}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &=\lceil\mathbf{m}\cdot\mathbf{U}\mathbf{V}\mathbf{V}^{-1}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &=\lceil\mathbf{m}\cdot\mathbf{U}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &\approx\mathbf{m}\cdot\mathbf{U}\bullet \mathbf{U}^{-1}\\ &=\mathbf{m} \end{aligned}$
Babai算法中，如果噪声 $\mathbf{r}$ 欧几里得范数很小，则步骤1的 $t_i$ 一定更小，四舍五入后就是0，所以 $\lceil\mathbf{r}\mathbf{V}^{-1}\rfloor\approx 0$ 。

举例：

密钥生成： 私钥使用如下优质基：
$\mathbf{V} = \left[ \begin{array}{l} {\mathbf{v}_1}\\ {\mathbf{v}_2}\\ {\mathbf{v}_3}\\ {\mathbf{v}_4}\\ {\mathbf{v}_5} \end{array} \right] = \left[ \begin{matrix} 81 & 15 & 17 & 60 & 29 \\ -53 & 7 & 49 & 46 & -11 \\ 2 & 84 & -6 & -68 & -97 \\ 11 & -96 & 92 & 70 & -70 \\ 28 & -58 & 98 & -89 & 24 \\ \end{matrix} \right]$
由 $v_1, v_2, \dots, v_5$ 作为基构成的格 $L$ 的行列式值为
$\text{det}(L) = 22655546896$ 该基的 Hadamard 比率为
$\mathcal{H}(v_1, v_2, \dots, v_5) = \left[\frac{\text{det}(L)}{\|v_1\| \|v_2\| \|v_3\| \|v_4\| \|v_5\|}\right]^{1/5} \approx 0.9249$
接近1，所以是优质基。

选择如下随机矩阵： $\mathbf{U} = \begin{bmatrix} 16 & 111 & 139 & -16 & -95 \\ -91 & -642 & -747 & 185 & 471 \\ -103 & -677 & -1133 & 492 & 524 \\ -21 & -145 & -190 & 55 & 111 \\ -10 & 86 & 9 & -82 & 62 \end{bmatrix}$
满足 $\text{det}(\mathbf{U}) = 1$ 。然后与私钥相乘，得到劣质基作为公钥：
$\mathbf{W} = \mathbf{U}\mathbf{V} = \begin{bmatrix} -7145 & 19739 & -4237 & 3949 & -15400 \\ 40384 & -113685 & 25691 & -13165 & 75236 \\ 45356 & -179080 & 54894 & 27526 & 92497 \\ 9137 & -29008 & 7336 & -1039 & 18230 \\ 4600 & 4280 & -5798 & -16426 & 7011 \end{bmatrix}$ 可以看出，这组公钥基的 Hadamard
比率相对于私钥基来说非常小：
$\mathcal{H}(w_1, w_2, \dots, w_5) = \left[\frac{\text{det}(L)}{\|w_1\| \|w_2\| \|w_3\| \|w_4\| \|w_5\|}\right]^{1/5} \approx 0.0021$
接近0，所以是劣质基。
加密： 消息为 $\mathbf{m} = (-78, 48, 5, 66, 89)$ ，
选择随机噪声 $\mathbf{r} = (-9, -5, 1, -2, 4)$ ，使用如下公式加密：
$\mathbf{c} = \mathbf{m}\mathbf{W} + \mathbf{r}$ 计算得到：
$\begin{aligned} \mathbf{c} &= \begin{bmatrix} -78 & 48 & 5 & 66 & 89 \end{bmatrix} \cdot \begin{bmatrix} -7145 & 19739 & -4237 & 3949 & -15400 \\ 40384 & -113685 & 25691 & -13165 & 75236 \\ 45356 & -179080 & 54894 & 27526 & 92497 \\ 9137 & -29008 & 7336 & -1039 & 18230 \\ 4600 & 4280 & -5798 & -16426 & 7011 \end{bmatrix} + \begin{bmatrix} -9 \\ -5\\1\\ -2 \\ 4 \end{bmatrix} \\ &= (3746835, -9425535, 1806279, -2332802, 7102176) \end{aligned}$
解密： 使用Babai算法解密。将 $\mathbf{c}$ 用私钥（优质基） $v_1, v_2, \dots, v_5$ 表达。
由于 $\mathbf{c}$ 中含有噪声 $\mathbf{r}$ ，因此有：
$\mathbf{c} \cdot \mathbf{V}^{-1} \approx \begin{bmatrix} -8407.083 \\ -60082.952 \\ -64102.054 \\ 8919.983 \\ 45482.020 \end{bmatrix}$
四舍五入，再与私钥（优质基） $\mathbf{V}$ 相乘，即得到一个最近格向量（解决了CVP问题）：
$\begin{aligned} \mathbf{v'} &=\lceil \mathbf{c} \cdot \mathbf{V}^{-1}\rfloor\cdot \mathbf{V}\\ &=\begin{bmatrix}-8407 , -60083 , -64102 , 8920 , 45482\end{bmatrix}\cdot \mathbf{V}\\ &=\begin{bmatrix}3746844, -9425530, 1806278, -2332800, 7102172\end{bmatrix} \end{aligned}$
这个结果等于前面的 $\mathbf{m}\mathbf{W}$ ，即密文 $\mathbf{c}$ 去掉了噪声。即 $\mathbf{v'} =\mathbf{c}- \mathbf{r} = \mathbf{m}\mathbf{W}$ 。
接下来计算： $\mathbf{m} = \mathbf{v}' \cdot \mathbf{W}^{-1} = \begin{bmatrix}3746844, -9425530, 1806278, -2332800, 7102172\end{bmatrix}\cdot W^{-1} =\begin{bmatrix}-78, 48, 5, 66, 89\end{bmatrix}$ 解密成功。
攻击：
假设攻击者试图去破解密文，但只知道公钥（劣质基） $\mathbf{W}$ 。如果它对于公钥 $\mathbf{W}$ 应用
Babai算法的话，会得到：
$\mathbf{c} \cdot \mathbf{W} ^{-1}\approx \begin{bmatrix}3417.187,5205.909,-62877.902,351125.565, -130786.869 \end{bmatrix}$
然后四舍五入，同样会得到一个格向量:
$\mathbf{v}'' = \lceil \mathbf{c} \cdot \mathbf{W} ^{-1} \rfloor = \begin{bmatrix} 3417, 5206, -62878, 351126, -130787 \end{bmatrix}$
然后与公钥 $\mathbf{W}$ 相乘，即 $\mathbf{v}''\cdot \mathbf{W}= \lceil \mathbf{c} \cdot \mathbf{W} ^{-1} \rfloor\cdot \mathbf{W}$ 。
很明显，攻击者找到的是一个不正确的明文向量: $\begin{bmatrix} 3417, 5206, -62878, 351126, -130787 \end{bmatrix}$

对于不同的基，使用Babai算法的效果如下： $\begin{aligned} &\| \mathbf{c} - \mathbf{v}' \| =\| \mathbf{c} - \lceil \mathbf{c}\mathbf{V}^{-1} \rfloor\bullet\mathbf{V} \|= 11.2694 \\ &\| \mathbf{c} - \mathbf{v}'' \| =\| \mathbf{c} - \lceil \mathbf{c}\mathbf{W}^{-1} \rfloor\bullet\mathbf{W} \|\approx 13264.50 \end{aligned}$
因此，对于劣质基 $\mathbf{W}$ ，Babai算法的结果不能作为CVP的解。

1.2 典型方案

1.2.1 Regev05：加密1比特

On Lattices, Learning with Errors, Random Linear Codes, and Cryptography

格的维数为 $n$ ， $\chi$ 是 $\mathbb{Z}$ 上的噪声高斯分布，其欧几里得范数较小。

密钥生成： 私钥为随机向量 $sk=\mathbf{s}\leftarrow \mathbb{Z}_q^{n}$ 。
随机均匀选取矩阵 $\mathbf{A}\leftarrow \mathbb{Z}_q^{N\times n}$ 和噪声 $\mathbf{e}\leftarrow \chi^N$ ，如下计算
$\mathbf{b}:=\mathbf{A}\mathbf{s}+\mathbf{e}$
则公钥为 $PK=(\mathbf{A},\mathbf{b})$ 。
加密： 对于消息 $m\in \{0,1\}$ ，选择随机数 $\mathbf{r}\in \{0,1\}^{N}$ ，如下计算
$\begin{aligned} & c_1 := \left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{b} \in \mathbb{Z}_q\\ & \mathbf{c}_2 := \mathbf{r}^T\mathbf{A} \in \mathbb{Z}_q^{n} \end{aligned}$ 则密文为 $(c_1,\mathbf{c}_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $(c_1,\mathbf{c}_2)$ ，如下计算
$\left\lfloor {\frac{2}{q} \left[(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q\right]} \right\rfloor \mod 2$
展开如下 $\begin{aligned} &\left\lfloor {\frac{2}{q} \left[(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q\right]} \right\rfloor \\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{b} - \mathbf{r}^T \mathbf{A}\mathbf{s}\right]\\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot (\mathbf{A}\mathbf{s}+\mathbf{e}) - \mathbf{r}^T \mathbf{A}\mathbf{s}\right]\\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{e}\right]\\ &=m + e^* \end{aligned}$
当噪声 $e^*$ 小于 $\left\lfloor \frac{q}{2} \right\rfloor/2$ 时，解密是精确的。注意，噪声 $\mathbf{r}^T \cdot \mathbf{e}$ 被放大了。

1.2.2 BV11：加密1比特

Efficient Fully Homomorphic Encryption from (Standard) LWE

密钥生成： 私钥为随机向量 $sk=\mathbf{s}\leftarrow \mathbb{Z}_q^{n}$ 。
随机均匀选取矩阵 $\mathbf{A}\leftarrow \mathbb{Z}_q^{N\times n}$ 和噪声 $\mathbf{e}\leftarrow \chi^N$ ，如下计算
$\mathbf{b}:=\mathbf{A}\mathbf{s}+2\mathbf{e}$
则公钥为 $PK=(\mathbf{A},\mathbf{b})$ 。注意噪声为偶数倍。
加密： 对于消息 $m\in \{0,1\}$ ，选择随机数 $\mathbf{r}\in \{0,1\}^{N}$ ，如下计算
$\begin{aligned} & c_1 := m + \mathbf{b}^T \cdot \mathbf{r} \in \mathbb{Z}_q\\ & \mathbf{c}_2 := \mathbf{A}^T \mathbf{r} \in \mathbb{Z}_q^{n} \end{aligned}$
解密： 输入私钥 $\mathbf{s}$ 和密文 $(c_1,\mathbf{c}_2)$ ，如下计算
$(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q \mod 2$ 展开如下
$\begin{aligned} &(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q \mod 2\\ &= (m + \mathbf{b}^T \cdot \mathbf{r} - \mathbf{A}^T \mathbf{r}\cdot \mathbf{s})\mod q \mod 2\\ &= (m + (\mathbf{A}\mathbf{s}+2\mathbf{e})^T \cdot \mathbf{r} - \mathbf{A}^T \mathbf{r}\cdot \mathbf{s})\mod q \mod 2\\ &= m + 2\mathbf{e}^T\mathbf{r}\mod 2 \end{aligned}$ 注意，噪声 $2\mathbf{e}^T\mathbf{r}$ 被放大了。

1.2.3 KTX07：加密 $l$ 比特

Lattice-based cryptography

密钥生成： 选择随机矩阵 $\mathbf{S}'\leftarrow \mathbb{Z}_q^{n\times l}$ ，则私钥为 $sk=\mathbf{S}=(1,...,1||\mathbf{S}')\in \mathbb{Z}_q^{(n+l)\times l}$ 。其中， $l$ 维单位阵与矩阵 $\mathbf{S}'$ 拼接。

随机均匀选取矩阵 $\mathbf{A}'\leftarrow \mathbb{Z}_q^{N\times n}$ 和噪声矩阵 $\mathbf{E}\leftarrow \chi^{N\times l}$ ，如下计算
$\mathbf{b}:=\mathbf{A}'\mathbf{S}'+\mathbf{E}\in \mathbb{Z}_q^{N\times l}$
令
$\mathbf{A}:=[\mathbf{b}|-\mathbf{A}']\in \mathbb{Z}_q^{N\times (n+l)}$
则公钥为 $PK=\mathbf{A}$ 。以下等式成立： $\mathbf{A}\cdot \mathbf{S} =[\mathbf{b}|-\mathbf{A}']\cdot \mathbf{S} = [\mathbf{A}'\mathbf{S}'+\mathbf{E}|-\mathbf{A}']\cdot \mathbf{S} =[\mathbf{A}'\mathbf{S}'+\mathbf{E}|-\mathbf{A}']\cdot (1,...,1||\mathbf{S}') = \mathbf{E}$
加密： 消息为 $l$ 维向量 $\mathbf{m}\in \mathbb{Z}_t^l$ ，令 $\mathbf{m}'=(\mathbf{m},0,...,0)\in \{0,1\}^{n+l}$ 。
选择随机向量 $\mathbf{r}\in \{-a,-a+1,...,a\}^{N}$ ，计算
$\mathbf{c}:=\left\lceil {(\frac{q}{t})\mathbf{m}'} \right\rfloor + \mathbf{A}^T \cdot \mathbf{r} \in \mathbb{Z}_q^{ (n + l)}$
则密文为 $\mathbf{c}$ 。
解密： 输入私钥 $\mathbf{S}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=\left\lceil {\frac{t}{q}(\mathbf{S}^T\mathbf{c})} \right\rfloor$
展开如下 $\begin{aligned} \left\lceil {\frac{t}{q}(\mathbf{S}^T\mathbf{c})} \right\rfloor = \left\lceil {\frac{t}{q}\left(\mathbf{S}^T \left(\left\lceil {(\frac{q}{t})\mathbf{m}'} \right\rfloor + \mathbf{A}^T \cdot \mathbf{r} \right)\right)} \right\rfloor = \left\lceil {\frac{t}{q}\left(((1,...,1||\mathbf{S}'))^T \left(\left\lceil {(\frac{q}{t})((\mathbf{m},0,...,0))} \right\rfloor + ([\mathbf{b}|-\mathbf{A}'])^T \cdot \mathbf{r} \right)\right)} \right\rfloor \end{aligned}$ 注意，噪声 $\frac{t}{q}\mathbf{E}^T\mathbf{r}$ 被放大了。

1.2.4 DGHV10：基于整数的FHE

Fully homomorphic encryption over the integers

密钥生成： 私钥为随机整数 $p$ 。公钥为 $pq$ 。 $q$ 是另外一个随机整数。
加密： 对于消息 $m\in \{0,1\}$ ，选择噪声 $e$ ，计算 $c := m + 2 e + pq$
则密文为 $c$ 。
解密： 输入私钥 $p$ 和密文 $c$ ，计算 $(c\mod p)\mod 2.$
模 $p$ 去掉了 $pq$ ，模 $2$ 去掉了噪声，留下消息 $m$ 。
同态加法： $c + c^{'} = (m + m^{'}) + 2 (r + r^{'}) + p (q + q^{'})$
解密： $(c+c'\mod p)\mod 2 = m + m'$ 。加法对噪声影响较小
同态乘法： $c\cdot c' = (m+ 2r)(m'+ 2r') + p(pqq' + mq' + m'q + 2rq' + 2r'q)$
解密： $(c\cdot c'\mod p)\mod 2 = (m +2r)(m' +2r')\mod p\mod 2$ 。

关键项 $+2r')\mod p$ 乘积后变大，可能超过 $p$ ，导致解密出错。

举例： $p = 11, q = 5, m = 0, m^{'} = 1, r = - 1, r^{'} = 1$

$c = m + 2 e + pq = 53$ 。 $c\mod 11 = -2$ 再模2，则等于0。计算正确。

$c^{'} = m^{'} + 2 e^{'} + p q^{'} = 58$ 。 $c'\mod 11 = 3$ 再模2，则等于1。计算正确。

同态乘法对噪声影响较大。

$(c\cdot c') = 53\cdot 58=3074$ ，模 $p$ 等于 $5$ ，在模 $2$ 等于 $1$ 。但是 $m\cdot m'=0$ 。计算错误。

乘法导致噪声快速增大，所以解密出错。

1.2.5 LV10：环LEW公钥加密

多项式的模运算非常适合图灵计算架构（分配的内存宽度有限）。
矩阵计算需要根据计算需求额外分配内存，所以效率稍微差点。

LV10环LEW公钥加密看作Regev的LEW公钥加密在环上的推广。

On Ideal Lattices and Learning with Errors over Rings

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。

密钥生成： 随机选择 $\mathbf{s}\in \chi$ ，作为私钥。随机选择 $\mathbf{a}\in R_q$ ，选择噪声 $e_1\in \chi$ ，计算
$\mathbf{b}=\mathbf{a}\mathbf{s}+e_1$
则公钥为 $(\mathbf{b},\mathbf{a})\in R_q\times R_q$ 。
加密： 消息为 $\mathbf{m}\in \{0,1\}^n$ ，其多项式系数 $m\in R_2$ 。随机选择 $e_2,e_3,e_4\in \chi$ ，如下计算
$\begin{aligned} &c_1=\lfloor q/2 \rfloor \cdot m + \mathbf{b}e_2 + e_3\in R_q\\ &c_2=\mathbf{a}e_2+e_4\in R_q \end{aligned}$ 则密文为 $\mathbf{c}=(c_1,c_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=\frac{2}{q}\lfloor c_1-c_2\mathbf{s} \mod q \rceil \mod 2$
展开如下： $\begin{aligned} & \frac{2}{q}\lfloor c_1-c_2\mathbf{s} \rceil \\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m + \mathbf{b}e_2 + e_3-(\mathbf{a}e_2+e_4)\mathbf{s})\\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m + (\mathbf{a}\mathbf{s}+e_1)e_2 + e_3-(\mathbf{a}e_2+e_4)\mathbf{s})\\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m +e_1e_2 + e_3 - e_4\mathbf{s})\\ &=m + \frac{2}{q}(e_1e_2 + e_3 - e_4\mathbf{s})\\ &=m + e^*\\ \end{aligned}$

1.2.6 LV10变形

方案特点：2倍噪声，则加密不需要放大消息，解密不需要缩小消息。

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。

密钥生成： 随机选择 $\mathbf{s}\in \chi$ ，作为私钥。随机选择 $\mathbf{a}\in R_q$ ，选择 $e_1\in \chi$ ，计算
$\mathbf{b}=\mathbf{a}\mathbf{s}+2e_1$
则公钥为 $(\mathbf{b},\mathbf{a})$ 。
加密： 消息为 $\mathbf{m}\in \{0,1\}^n$ ，其多项式系数 $m\in R_2$ 。随机选择 $e_2,e_3,e_4\in \chi$ ，如下计算
$\begin{aligned} &c_1=m + \mathbf{b}e_2 + e_3 \in R_q\\ &c_2=\mathbf{a}e_2+2e_4 \end{aligned}$ 则密文为 $\mathbf{c}=(c_1,c_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=c_1-c_2\mathbf{s} \mod q\mod 2$ 展开如下： $\begin{aligned} & c_1-c_2\mathbf{s} \mod q\mod 2\\ &= m + \mathbf{b}e_2 + 2e_3-(\mathbf{a}e_2+2e_4)\mathbf{s}) \mod q\mod 2\\ &= m + (\mathbf{a}\mathbf{s}+2e_1)e_2 + 2e_3-(\mathbf{a}e_2+2e_4)\mathbf{s}) \mod q\mod 2\\ &= m + 2e_1e_2 + 2e_3-2e_4\mathbf{s} \mod q\mod 2\\ &=m + 2e^*\mod 2\\ &=m \end{aligned}$

1.3 FHE基本概念

全同态加密（Fully Homomorphic Encryption, FHE）是一种加密方案，它允许在密文上直接进行运算，从而在无需解密的情况下实现对明文的任意操作。这种功能的实现仅在加法和乘法操作可以同态执行的条件下才可能，因为这两种操作在有限环上构成一个功能完备的集合。

具体而言，任何布尔（或算术）电路都可以仅通过 XOR（加法）和 AND（乘法）门表示。换句话说，给定两个密文 $\text{Enc}(x)$ 和 $\text{Enc}(y)$ （其中， $x$ 和 $y$ 是明文， $\text{Enc}$ 是加密操作），可以通过直接对密文进行加法（或乘法）运算，得到 $x + y$ （或 $\cdot y$ ）的加密结果，而无需解密 $\text{Enc}(x)$ 和 $\text{Enc}(y)$ 。这足以对加密数据进行任何函数的评估，满足以下性质： $\text{Dec}(\text{Enc}(x) \, \Delta \, \text{Enc}(y)) = x \, \Delta \, y,$ 其中， $\Delta$ 表示加法或乘法， $\text{Dec}$ 是解密操作。

全同态加密方案由一组概率多项式时间（PPT）算法 $(\text{KeyGen}, \text{Enc}, \text{Dec}, \text{Eval})$ 组成，满足以下性质：

密钥生成 ( $\text{KeyGen}$ )： 该算法以安全参数 $\lambda$ 作为输入，输出密钥对 $(\text{sk}, \text{pk})$ 和用于在密文上执行同态操作的评估密钥 $\text{evk}$ 。
加密 ( $\text{Enc}$ )： 该算法以公钥 $\text{pk}$ 和消息 $m$
（来自消息空间）为输入，输出密文 $c$ 。
解密( $\text{Dec}$ )： 该算法以私钥 $\text{sk}$ 和密文 $c$ 为输入，输出消息 $m$ 。如果解密算法无法成功恢复加密的消息 $m$ ，则输出 $\perp$ 。
评估 ( $\text{Eval}$ )： 该算法以评估密钥 $\text{evk}$ 、一个函数 $f$ 和一组密文 $(c_1, \dots, c_t)$ 为输入，输出密文 $c_f$ 。解密 $c_f$ 后得到 $f(m_1, \dots, m_t)$ 的结果，即： $c_f = \text{Eval}_{\text{evk}}(f, (c_1, \dots, c_t)), \quad \text{Dec}_{\text{sk}}(c_f) = f(m_1, \dots, m_t)$ 。注意，密文 $c_f$ 和 $\leftarrow \text{Enc}_{\text{pk}}(f(m_1, \dots, m_t))$ 在解密后得到相同的明文，但其构造方式可能不同（如噪声水平可能不同）。

同态加密方案的两个基本特性为：

所支持函数的最大degree： 该特性定义了方案 $E$ 能正确评估的函数范围。具体而言，若 $E$ 能正确评估函数集合 $F$ 中的任何函数 $f$ ，即存在评估算法 $\text{Eval}$ ，满足：
$\text{Dec}_{\text{sk}}(\text{Eval}_{\text{evk}}(f, c_1, \dots, c_t)) = f(m_1, \dots, m_d), \quad \forall f \in F,$
其中， $c_i \leftarrow \text{Enc}_{\text{pk}}(m_i), \, \forall i \in \{1, \dots, t\}$ 。此外，该特性决定了评估密文 $c_f$ （即 $\text{Eval}$ 的输出）是否能用作后续评估算法的输入。在多跳同态加密方案中，可以对加密消息 $m$ 生成的密文 $c$ 逐一进行一系列多项式degree的函数同态评估。
密文长度的增长： 该特性描述了每次评估后密文bit长度的增长情况。如果密文长度增长的上限与函数 $f$ 的复杂度无关，则称该方案为紧凑型方案。

根据上述特性，同态加密方案可分为以下几类：

Partially HE (PHE) 只能评估包含一种算术门（即加法或乘法）的电路，且电路深度不受限制的方案。
Leveled HE (LHE) 能够评估包含加法和乘法门的电路，但仅限于预定的乘法深度L的方案。
Somewhat HE (SHE) 能够评估包含加法和乘法门的电路子集，其复杂度随着电路深度增加而增加。SHE比LHE更为通用。示例包括Gentry（2009, 2010）。
Leveled Fully HE 几乎与有级同态加密相同，但这些方案能够评估深度为L的所有电路。示例包括Brakerski和Vaikuntanathan（2014）；Brakerski等（2014）；Brakerski（2012）。
Fully HE (FHE) 能够评估包含加法和乘法门的所有电路，且电路深度不受限制的方案。示例包括Gentry（2009）和Brakerski及Vaikuntanathan（2014）；Brakerski等（2014）；Brakerski（2012），在弱环形安全模型下，这种模型保证在只使用一对私钥和公钥时的安全性。

根据FHE方案如何建模计算，FHE方案可以分为3种类型：

将计算建模为boolean circuit 布尔电路（即bits位）。如TFHE方案。
将计算建模为modular arithmetic 模运算（即"clock"运算）。如BGV和BFV方案。
将计算建模为floating point arithmetic 浮点算法。如CKKS方案。

值得强调的是，具有足够同态评估能力的部分同态加密方案（或分层全同态加密方案）可以通过"引导"技术转化为全同态加密方案。

FHE（Fully Homomorphic Encryption，全同态加密）在不解密的情况下，能够对密文执行任意计算。计算后的密文结果解密后，等于对明文做同样计算的结果。即，对于任意有效的函数 $f$ 和明文 $m$ ，FHE具备的性质为： $f (E n c (m)) = E n c (f (m))$ 。

定义 2 (全同态加密). 全同态加密算法包含4个概率多项式时间算法：密钥生成，加密，解密，密文计算。

密钥生成KeyGen $(1^\lambda)$ ： 输出公钥 $p k$ ，计算公钥 $e v k$ 和私钥 $s k$ 。
加密Enc $(p k, m)$ ： 使用公钥 $p k$ 加密一位消息 $\in \{0,1\}$ ，输出密文 $c$ 。
解密Dec $(s k, c)$ ： 使用密钥 $s k$ 解密密文 $c$ ，恢复消息 $m$ 。
同态计算Eval $c_1, \cdots, c_t)$ ： 使用计算公钥 $e v k$ ，将 $c_1, c_2, \cdots, c_t$ 输入函数 $f$ 。其中， $\{0,1\}^* \rightarrow \{0,1\}$ ，输出密文 $c_f$ 。

函数 $f$ 可表示成有限域 $GF (2)$ 上的算术电路形式。全同态加密算法是安全的，指满足语义安全。

全同态加密分类
根据计算电路的深度，全同态加密算法可以分为两种形式：

一是"纯"的全同态加密算法，即可以执行任意深度的电路计算算法，但是目前"纯"的全同态加密算法只能依靠同态解密技术（Bootstrap）和循环安全假设来实现；
二是层次型全同态加密算法，即算法只能执行深度为 $L$ 的计算电路，算法的参数依赖于 $L$ 。

L-同态： 对于一个同态加密算法HE，在存在 $L(\lambda)$ ，如果对于深度为 $L$ 的任何有限域 $GF (2)$ 上的算术电路 $f$ ，以及任意输入 $m_1, m_2, \cdots, m_t$ 满足以下条件：
$\Pr[\text{HE.Dec}_{sk}(\text{HE.Eval}_{evk}(f, c_1, c_2, \cdots, c_t)) \neq f(m_1, m_2, \cdots, m_t)] = \text{negl}(\lambda),$
其中，Dec是HE的解密算法，Eval 是密文计算算法， $s k$ 是密钥， $e v k$ 是密文计算公钥。通常称为同态加密算法 HE 是 L-同态。

部分同态加密（Somewhat Homomorphic Encryption, SWHE）： 算法只能执行有限电路深度的密文计算，部分同态加密算法是L同态的。
紧凑性：
如果一个同态加密算法的解密电路是独立于计算深度的，即密文的长度与计算电路的深度无关，则称该同态加密算法是紧凑的。
全同态： 如果一个紧凑的同态加密算法是 $L$ 同态的且 $\infty$ ，即可以任意多项式深度的计算电路，则称该算法是全同态的。
层次型全同态：
如果某全同态加密算法的公钥/密钥生成算法中，将作为输入参数的 $L$ 明确嵌入了电路计算深度 $L$ ，则称该算法是层次型全同态算法。

2. 关键技术

格上加密算法产生的密文是一种噪声密文，即在明文里叠加噪声，因此密文计算时会导致密文中的噪声增长，当噪声增长超过某个界限时，就不能正确解密。因此，实现金全同态加密的关键是对密文计算过程中的噪声增长进行管理。
目前有3种噪声管理技术：

同态解密/自举（bootstrapping）；
模交换（modulus switching），在3.2.5节阐述；
位展开（bit decomposition）。

2.1 Bootstrapping自举

自举技术是 Gentry 实现全同态加密的奠基石。Gentry 在实现全同态加密时，注意到如果同时执行自己的解密算法，即输入的密文是对原密文中每一位加密的结果，输入的密钥是对原密文密钥每一位加密的结果，那么经过同态执行解密算法就会得到一个新的密文，这个新的密文噪声是固定的。因此，可以通过同态解密技术约束（管理）密文的噪声。

密钥生成： 私钥和公钥对分别为 $sk_1,pk_1),(sk_2,pk_2)$ 。
加密： 使用 $pk_1$ 对明文 $m$ 加密 $\langle m \rangle = \text{Enc}(pk_1, m)$ 。注意，私钥 $sk_1$ 能脱衣服1 $\langle \ \rangle$ 算法：输入 $sk_1$ 和 $\langle m \rangle$ ，进行 $k_1$ 次加法和 $k_2$ 次乘法的组合，则脱掉衣服1 $\langle \ \rangle$ 。
加密： 使用 $pk_2$ 对密文 $\langle m \rangle$ 加密 $[\kern-0.15em[ \langle m \rangle ]\kern-0.15em] = \text{Enc}(pk_2, \langle m \rangle)$ 。注意，私钥 $sk_2$ 能脱衣服2 $[\kern-0.15em[ \ ]\kern-0.15em]$ ，需要 $k_1$ 次加法和 $k_2$ 次乘法的组合。
加密： 使用 $pk_2$ 对密文 $sk_1$ 加密 $[\kern-0.15em[ sk_1 ]\kern-0.15em]=\text{Enc}(pk_2, sk_1)$ 。
**同态运算：**输入 $sk_1 ]\kern-0.15em]$ 和 $[\kern-0.15em[ \langle m \rangle ]\kern-0.15em]$ ，进行 $k_1$ 次同态加法和 $k_2$ 次同态乘法的组合，脱掉衣服1 $\langle \ \rangle$ ，获得 $[\kern-0.15em[m]\kern-0.15em]$ 。

等价于同态解密： $[\kern-0.15em[m]\kern-0.15em] = \text{Dec}( [\kern-0.15em[ sk_1 ]\kern-0.15em], [\kern-0.15em[ \langle m \rangle ]\kern-0.15em] )$ 。用 $sk_1 ]\kern-0.15em]$ 脱掉衣服1 $\langle \ \rangle$ ，还剩衣服2 $[\kern-0.15em[ \ ]\kern-0.15em]$ 。

核心思想：步骤3到步骤5，称为换衣服，但不走光（明文 $m$ 和私钥 $sk_1$ 不泄露）

假设衣服1密文 $\langle m \rangle$ ，经过 $n$ 次同态运算变为衣服1密文 $\langle m \rangle'$ 。此时噪声积累很严重，后续仅能进行 $k_1$ 次同态加法和 $k_2$ 次同态乘法运算了。
使用步骤3,4,5【换衣服】，执行 $k_1$ 次同态加法和 $k_2$ 次同态乘法，将衣服1密文 $\langle m \rangle'$ 变为衣服2密文 $[\kern-0.15em[m]\kern-0.15em]$ ，则能够进行 $n$ 次同态运算，变为 $[\kern-0.15em[m]\kern-0.15em]'$ 。又仅剩余 $k_1$ 次同态加法和 $k_2$ 次同态乘法运算了。
再使用步骤3,4,5，继续换衣服，则又可以同态运算 $n$ 次，而不泄露明文 $m$ 和私钥 $sk_1$ 。

Bootstrapping自举：每同态运算 $n$ 次后，则换衣服，则再同态运算 $n$ 次，则再换衣服，以此类推。

由于每层电路（ $k_1$ 次加法和 $k_2$ 次乘法运算的组合）都需要密钥对 $pk_1, sk_1)$ ，所以层次型全同态加密算法的公钥 $(pk_1, pk_2, \cdots, pk_{L+1})$ 和 $(sk_1, sk_2, \cdots, sk_L)$ 构成。如果是循环安全的，每层电路就可以使用相同的密钥对，减少密钥数量。尽管同态解密是实现全同态加密的基石，但同态解密的效率很低，其复杂度为 $\mathcal{O}(\lambda^3)$ 。

Bootstrapping自举/同态解密【换衣服】是一种通用的管理噪声的技术，可以应用于所有FHE算法， 只要解密电路的深度小于算法本身的同态计算电路的深度。

2.2 位展开

当噪声主要依赖于某一个向量 $\mathbf{x} \in \mathbb{Z}_q^n$ 时，为降低噪声的影响，可将该向量位展开，即将向量中的每个元素展开成二进制形式，从而向量 $\mathbf{x}$ 的范数 $l_1 (\mathbf{x})$ 的最大值从 $n q$ 变成 $n\log q$ ，降低噪声。

BitDecomp(x): $\mathbf{x} \in \mathbb{Z}^n$ ，令 $\mathbf{w}_i \in \{0, 1\}^n$ ，满足： $\mathbf{x} = \sum_{i=0}^{\lceil \log q \rceil - 1} 2^i \cdot \mathbf{w}_i (\mod q)$ ，
输出：
$(\mathbf{w}_0, \mathbf{w}_1, \cdots, \mathbf{w}_{\lceil \log q \rceil - 1}) \in \{0, 1\}^{n \lceil \log q \rceil}$

BitDecomp $^{-1}$ (y):是BitDecomp $(x)$ 的逆运算。令：
$\mathbf{y} = (\mathbf{w}_0, \mathbf{w}_1, \cdots, \mathbf{w}_{\lceil \log q \rceil - 1})$
则BitDecomp $^{-1}$ ( $\mathbf{y}$ ) 输出：
$\sum_{i=0}^{\lceil \log q \rceil - 1} 2^i \cdot \mathbf{w}_i (\mod q)$
即使向量 $\mathbf{w}$ 中的元素不是0和1，该定义依然成立。

Flatten( $\mathbf{y}$ ): 令Flatten( $\mathbf{y}$ ) = BitDecomp(BitDecomp $^{-1}$ ( $\mathbf{y}$ ))，则 Flatten( $\mathbf{y}$ ) 是一个元素为 0 和 1 构成的向量。因此，Flatten 能够将一个元素不是 0 和 1 的向量转化成一个元素为0和1的向量，而维数不变。Gentry等在2013年提出使用 Flatten 技术作为密文噪声管理。
向量位展开后，为了使得向量的内积保持不变，需要另外一个向量变成如下形式：
Powersof2(y): 输入 $\mathbf{y} \in \mathbb{Z}^n$ ，输出
$(\mathbf{y}, 2\mathbf{y}, \cdots, 2^{\lceil \log q \rceil - 1}\mathbf{y}) \mod q \in \mathbb{Z}^{n \cdot \lceil \log q \rceil}$

对于所有 $\mathbf{x} \in \mathbb{Z}_q^n$ 和 $\mathbf{y} \in \mathbb{Z}_q^n$ ，有如下性质：
$\langle\mathbf{x}, \mathbf{y}\rangle = \langle\text{BitDecomp}(\mathbf{x}), \text{Powersof2}(\mathbf{y})\rangle =\langle\text{Powersof2}(\mathbf{x}), \text{BitDecomp}(\mathbf{y})\rangle$

同理，对于任何一个 $\cdot \lceil \log q \rceil$ 维向量 $\mathbf{a}$ ，有：
$\langle\mathbf{a}, \text{Powersof2}(\mathbf{y})\rangle = \langle\text{BitDecomp}^{-1}(\mathbf{a}), \mathbf{y}\rangle =\langle\text{Flatten}(\mathbf{a}), \text{Powersof2}(\mathbf{y})\rangle$