68、基于LWE的简单BGN型密码系统

基于LWE的简单BGN型密码系统

1. 参数设置

固定安全参数 $n$ 和任意 $c = c(n) > 0$，设置参数 $q$、$m$、$\beta$ 如下：
- $q > 2^{20}(c + 4)^3n^{3c + 4}\log^5 n$，且 $q$ 为素数
- $m = \lfloor8n\log q\rfloor$
- $\beta = \frac{1}{27n^{1 + \frac{3c}{2}}\log n\log q\sqrt{qm}}$

使用这些参数的加密方案在矩阵环 $\mathbb{Z}_2^{m\times m}$ 上支持 $n^c$ 次加法和一次乘法（顺序任意）。

1.1 线性组合与加法

对于非恒定的 $c$，允许 $n^c$ 次加法。若有密文矩阵 $C_1, C_2, \cdots$，只要 $|\sum \alpha_i| < n^c$，就可以同态计算 $\sum \alpha_iC_i$。

1.2 证明过程

设 $C$ 是由 $\ell\leq n^c$ 个密文相加得到的矩阵，$C = \sum_{i = 1}^{\ell}(AS_i + 2X_i + B_i)$。记 $X = \sum_{i = 1}^{\ell} X_i$，$B = \sum_{i = 1}^{\ell} B_i$，分析矩阵 $T(2X + B)$ 中元素的大小：
1. 已知 $T$ 的每一行的欧几里得范数至多为 $20n\log q$，根据 Fact 1（$g = \log n - 1$），$TX_i$ 的每个元素至多为 $20\beta q(\log n