Large-Precision Sign using PBS

参考文献：

1. [CLOT21] Chillotti I, Ligier D, Orfila J B, et al. Improved programmable bootstrapping with larger precision and efficient arithmetic circuits for TFHE[C]//Advances in Cryptology--ASIACRYPT 2021: 27th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, December 6--10, 2021, Proceedings, Part III 27. Springer International Publishing, 2021: 670-699.
2. [LMP22] Liu Z, Micciancio D, Polyakov Y. Large-precision homomorphic sign evaluation using FHEW/TFHE bootstrapping[C]//International Conference on the Theory and Application of Cryptology and Information Security. Cham: Springer Nature Switzerland, 2022: 130-160.

文章目录

• [Homomorphic Floor Function](#Homomorphic Floor Function)
• • [Using 2 PBS](#Using 2 PBS)
  • [Using 3 PBS](#Using 3 PBS)
• [PBS of Arbitrary Function](#PBS of Arbitrary Function)
• [Homomorphic Digit Decomposition](#Homomorphic Digit Decomposition)
• [Parameter Selection](#Parameter Selection)

[CLOT21] 提出了 WoP-PBS，它基于事实 ( − 1 ) ⋅ ( − m ) = m (-1) \cdot (-m)=m (−1)⋅(−m)=m，先将 m m m 扩展为 β ∥ m \beta\|m β∥m，然后使用 GenPBS 分别计算出 ( − 1 ) β ⋅ f ( m ) (-1)^\beta \cdot f(m) (−1)β⋅f(m) 和 ( − 1 ) β (-1)^\beta (−1)β，最后使用 FV-like 同态乘法，将它们组合成 f ( m ) f(m) f(m)。这需要底层的 LWE 同时支持加法和乘法，并且同态乘法导致了噪声增长。因此，模数（正确性）和维度（安全性）都会相应的变大，导致它比一般的 FHEW/TFHE 的效率更至少一倍。

[LMP22] 也是将 m m m 扩展到 β ∥ m \beta\|m β∥m，单它首先将 β \beta β 消除掉使之成为 0 ∥ m 0\|m 0∥m，接着使用原始的 PBS 就可以计算出正确的 f ( m ) f(m) f(m)。在这个过程中，并不需要使用同态乘法，因此它的噪声就是 PBS 本身的噪声，常规的参数就足够使用。

Homomorphic Floor Function

首先，[LMP22] 研究了如何对于高精度 LWE 密文执行自举。这里的 "精度" 指的是 MSD 编码的消息的比特长度。我们先给出一些参数定义：

• LWE：
  • 维度 n n n，不需要是二的幂
  • 模数 Q Q Q，是二的幂，用于 LWE 同态运算
  • 模数 q q q，是二的幂，用于 PBS 自举
  • 缩放因子 α \alpha α，是二的幂，用于纠错
  • 噪声界 β \beta β，是二的幂
• ACC：
  • 多项式长度 N N N，是二的幂
  • RLWE 密文模数 Q ′ Q' Q′，是满足 2 N ∣ Q ′ − 1 2N \mid Q'-1 2N∣Q′−1 的素数
  • 输入 LWE 密文模数 q ∣ 2 N q \mid 2N q∣2N
  • 输出 LWE 密文模数 Q Q Q

FHEW/TFHE 要求 LWE 的密文模数满足 Q ∣ 2 N Q \mid 2N Q∣2N，随着明文精度的增加（ k k k 比特），多项式长度 N N N 指数级增加（ 2 k 2^k 2k 倍）。对于通常的参数集 N = 1024 / 2048 N=1024/2048 N=1024/2048，只能支持至多 3 , 4 3,4 3,4 比特的明文精度。[LMP22] 为了计算高精度的 Sign 函数，通过不断移除 LSD（保持 MSB 不变），直到密文模数 Q Q Q 倍缩减到 q q q 规模，从而可以使用常规参数集执行 PBS。

这个过程中，一个关键步骤是同态 Floor 函数 。假设 LWE 密文 ( c , d ) ∈ Z Q n + 1 (c,d) \in \mathbb Z_Q^{n+1} (c,d)∈ZQn+1 的相位是：
ψ = α ⋅ m + e ( m o d Q ) \psi = \alpha \cdot m + e \pmod Q ψ=α⋅m+e(modQ)

其中 ∣ e ∣ ≤ β ≪ q |e| \le \beta \ll q ∣e∣≤β≪q， m ∈ Z Q / α m \in \mathbb Z_{Q/\alpha} m∈ZQ/α，根据不同的场景 α \alpha α 选取不同的值。

注意到 Q > q > α Q>q>\alpha Q>q>α 都是二的幂次。如果我们将 LWE 密文模掉 q q q，获得的 ( a , b ) ∈ Z q n + 1 (a,b) \in \mathbb Z_q^{n+1} (a,b)∈Zqn+1：
[ m ′ ] q = α ⋅ [ m ] q / α + e ( m o d q ) [m']q = \alpha \cdot [m]{q/\alpha} + e \pmod q [m′]q=α⋅[m]q/α+e(modq)
使用 PBS 将它提升回 ( a ′ , b ′ ) ∈ Z Q n + 1 (a',b') \in \mathbb Z_Q^{n+1} (a′,b′)∈ZQn+1，并从原始密文中把它减掉 ，就清除了 m m m 的最低 log ⁡ q / α \log{q/\alpha} logq/α 比特。密文 ( c ′ , d ′ ) (c',d') (c′,d′) 的相位是：
ψ ′ = α ⋅ ( ⌊ α q m ⌋ ⋅ q α ) + e ′ ( m o d Q ) \psi' = \alpha \cdot \left(\left\lfloor \frac{\alpha}{q} m \right\rfloor \cdot \frac{q}{\alpha} \right) + e' \pmod Q ψ′=α⋅(⌊qαm⌋⋅αq)+e′(modQ)

现在，我们可以把 α , Q \alpha,Q α,Q 同时缩小 q / α q/\alpha q/α 倍，得到的密文 ( c ′ ′ , d ′ ′ ) ∈ Z ( α / q ) ⋅ Q n + 1 (c'',d'') \in \mathbb Z_{(\alpha/q) \cdot Q}^{n+1} (c′′,d′′)∈Z(α/q)⋅Qn+1 相位的 MSB 保持和 ( c , d ) ∈ Z Q n + 1 (c,d) \in \mathbb Z_Q^{n+1} (c,d)∈ZQn+1 的一样。

我们将这个长度 log ⁡ ( q / α ) \log(q/\alpha) log(q/α) 的小块明文称为 LSD ，我们的目标是将它清零。然而，函数 f : m ∈ Z q / α ↦ m ∈ Z Q / α f:m \in \mathbb Z_{q/\alpha} \mapsto m \in \mathbb Z_{Q/\alpha} f:m∈Zq/α↦m∈ZQ/α 并非反循环的 ，导致了原始的 PBS 无法实现从 ( a , b ) (a,b) (a,b) 到 ( a ′ , b ′ ) (a',b') (a′,b′) 的自举过程。[LMP22] 给出了两种实现，通过 2 , 3 2,3 2,3 次 PBS 来实现它。用到的三个函数为：

为了构造 LUT 的方便，下面的推导中总是使得 PBS 输入的密文噪声是正整数 ，范围是 [ 0 , 2 β ) [0,2\beta) [0,2β)。这可通过 ( c , d ) → ( c , d + β ) (c,d) \to (c,d+\beta) (c,d)→(c,d+β) 来实现。只要满足 α ≥ 2 β \alpha \ge 2\beta α≥2β，就可以准确解密。FHEW/TFHE 中的 LWE 私钥 s ∈ { 0 , ± 1 } n s \in \{0,\pm1\}^n s∈{0,±1}n 服从三元分布。

Using 2 PBS

[LMP22] 的第一个方法：使用两次 PBS，但是对于噪声的约束较强， α ≥ 4 β \alpha \ge 4\beta α≥4β

基本思路：分别提取 ( [ c ] q , [ d ] q ) ([c]_q,[d]_q) ([c]q,[d]q) 相位（加密了 LSD）的 MSB 和其他位置，

1. 先提取 ( [ c ] q , [ d ] q ) ([c]_q,[d]_q) ([c]q,[d]q) 的 MSB，将它从 ( c , d ) ∈ Z Q n + 1 (c,d) \in \mathbb Z_Q^{n+1} (c,d)∈ZQn+1 中移除。现在 ( [ c ′ ] q , [ d ′ ] q ) ([c']_q,[d']_q) ([c′]q,[d′]q) 的相位只位于半个环面上。
2. 再提取 ( [ c ′ ] q , [ d ′ ] q ) ([c']_q,[d']_q) ([c′]q,[d′]q) 的消息，将它从 ( c ′ , d ′ ) ∈ Z Q n + 1 (c',d') \in \mathbb Z_Q^{n+1} (c′,d′)∈ZQn+1 中移除。现在 ( [ c ′ ′ ] q , [ d ′ ′ ] q ) ([c'']_q,[d'']_q) ([c′′]q,[d′′]q) 的相位是零。
3. 将 ( c ′ ′ , d ′ ′ ) (c'',d'') (c′′,d′′) 缩放 q / α q/\alpha q/α，降低密文模数。

假定 PBS 输出的噪声界是 β \beta β，初始输入 ( c , d ) c,d) c,d) 的噪声上界也是 β \beta β，

• HomFloor：
  • 输入噪声范围 ( − β , β ) (-\beta,\beta) (−β,β)，执行 step 2 噪声范围 ( 0 , 2 β ) (0,2\beta) (0,2β)，
  • 执行 step 4,5，噪声范围是 ( 0 , 4 β ) (0,4\beta) (0,4β)，这里需要 α ≥ 4 β \alpha \ge 4 \beta α≥4β，使得这个噪声不会影响到我们刚刚消除掉的 MSB ，从而此时的 ( c , d ) (c,d) (c,d) 相位是 m ~ q + x \tilde mq+x m~q+x，其中 x ∈ [ 0 , q / 2 ) x \in [0,q/2) x∈[0,q/2) 包含了 LSD 以及噪声
  • 执行 step 6 和 step 7，获得相位 x + e x+e x+e 的密文，从 ( c , d ) (c,d) (c,d) 中减掉后，返回的相位是 m ~ q + e \tilde mq+e m~q+e（注意函数 f 1 : x ∈ Z q / 2 ↦ x ∈ Z q / 2 f_1:x\in \mathbb Z_{q/2} \mapsto x \in \mathbb Z_{q/2} f1:x∈Zq/2↦x∈Zq/2，整个 x x x 都被清零，包括本来的噪声），满足 ∣ e ∣ < β |e| < \beta ∣e∣<β
• HomSign：
  • 输入噪声范围 ( − β , β ) (-\beta,\beta) (−β,β)，执行 HomFloor 输出的噪声范围也是 ( − β , β ) (-\beta,\beta) (−β,β)，
  • 执行 step 13 的模切换，噪声规模是 α / q ⋅ β + ( ∥ s ∥ 1 + 1 ) / 2 \alpha/q \cdot \beta + (\|s\|_1+1)/2 α/q⋅β+(∥s∥1+1)/2，
  • 假如满足 ∥ s ∥ 1 = O ( n ) ≤ β \|s\|_1=O(n)\le \beta ∥s∥1=O(n)≤β，并且假设 q ≥ 4 α q\ge4\alpha q≥4α 以及 β ≥ 2 \beta\ge 2 β≥2 ，那么就有 α / q ⋅ β + ( ∥ s ∥ 1 + 1 ) / 2 < β \alpha/q \cdot \beta + (\|s\|_1+1)/2 < \beta α/q⋅β+(∥s∥1+1)/2<β，因此可以正确地执行 HomFloor
  • 执行 step 17 虽然噪声规模可能超过 α \alpha α，但是并不会影响 MSB 的值，因此可以正确地执行 Boot，最终的噪声范围是 ( − β , β ) (-\beta,\beta) (−β,β)

当然，上述的分析是最坏情况的。如果使用平均情况，那么 ∥ s ∥ 2 = O ( n ) \|s\|_2 = O(\sqrt{n}) ∥s∥2=O(n )，独立密文的加和噪声界 2 β \sqrt{2}\beta 2 β，可以将 β \beta β 和 α \alpha α 都降低一些。

Using 3 PBS

为了给出通用的算法（尤其是 CKKS 的噪声和明文混合在一起），[LMP22] 给出了第二个方法：使用三次 PBS，支持任意的噪声， α ≥ 2 β \alpha \ge 2\beta α≥2β

基本思路：

1. 首先消除 ( [ c ] q , [ d ] q ) ([c]_q,[d]_q) ([c]q,[d]q) 相位的第二高比特。现在（正的）噪声向上传播时，遇到被清零的第二高比特后，不再继续向 MSB 传递影响。
2. 利用上一小节的算法，清理掉 LSD，然后模切换。

假定 PBS 输出的噪声界是 β \beta β，初始输入 ( c , d ) c,d) c,d) 的噪声上界也是 β \beta β，

• HomFloorAlt：
  • 输入噪声范围 ( − β , β ) (-\beta,\beta) (−β,β)，相位是 m ~ q + b q / 4 + x \tilde mq+bq/4+x m~q+bq/4+x，其中 b ∈ { 0 , 1 , 2 , 3 } , x ∈ [ 0 , q / 4 ) b \in \{0,1,2,3\},x \in [0,q/4) b∈{0,1,2,3},x∈[0,q/4)，这里的 x x x 包含了噪声项
  • 执行 step 3,4 将 LSD 的第二高比特置为零，相位形如 m ~ q + b ~ q / 2 + x + e \tilde mq+\tilde bq/2+x+e m~q+b~q/2+x+e，其中 b ~ ∈ { 0 , 1 } \tilde b \in \{0,1\} b~∈{0,1}，噪声为 e ∈ [ 0 , 2 β ) e \in [0,2\beta) e∈[0,2β)
  • 假设满足 q ≥ 8 β q \ge 8\beta q≥8β ，那么 x + e < q / 4 + 2 β ≤ q / 2 x+e<q/4+2\beta\le q/2 x+e<q/4+2β≤q/2，它们不会改变 b b b 的值，因此并不会继续向更高的 m ~ \tilde m m~ 传播影响
  • 执行 step 6,7 清理掉 b b b 的值，现在的相位是 m ~ q + x + e + e ′ \tilde mq+x+e+e' m~q+x+e+e′，它的 LSD 是 x + e + e ′ x+e+e' x+e+e′，其中 e ′ ∈ [ 0 , 2 β ) e' \in [0,2\beta) e′∈[0,2β)
  • 进一步假设 q ≥ 16 β q \ge 16\beta q≥16β ，那么满足 x + e + e ′ < q / 4 + 4 β ≤ q / 2 x+e+e' < q/4+4\beta \le q/2 x+e+e′<q/4+4β≤q/2，它落在了半环内
  • 执行 step 9 清理掉它们，新的噪声是 e ′ ′ ∈ ( − β , β ) e'' \in (-\beta,\beta) e′′∈(−β,β)
• HomSign：
  • 简单使用 HomFloorAlt 作为子例程，分析是一样的

PBS of Arbitrary Function

利用上述 HomFloor 的计算思路，为了利用 PBS 计算任意函数，我们可以将 m ∈ Z q / α m\in \mathbb Z_{q/\alpha} m∈Zq/α 扩展到 b ∥ m ∈ { m , m + q / α } ⊆ Z 2 q / α b\|m\in\{m,m+q/\alpha\} \subseteq \mathbb Z_{2q/\alpha} b∥m∈{m,m+q/α}⊆Z2q/α（随机的 b ∈ { 0 , 1 } b\in \{0,1\} b∈{0,1}），然后提取 sign 消除为 ( 0 ∥ m ) 2 = m (0\|m)_2=m (0∥m)2=m，接着使用半环上的函数执行 PBS 即可。

现在我们假定输入的 LWE 密文模数是 q q q，满足 2 q ∣ 2 N 2q \mid 2N 2q∣2N 可以被原始 PBS 支持。这导致相较于 HomFloor 中的 PBS，这里的 q q q 更小，明文精度丢失了 1 1 1 比特。

Homomorphic Digit Decomposition

为了执行 [GBA21] 的 Tree-based PBS（包括高精度 LWE 密文的自举），我们需要同态数字分解算法。因为 HomFloor 事实上就是在计算各个 Digit，并将它们从高精度 LWE 密文中减去的过程，因此仅需追踪此过程中产生的 ( [ c ] q , [ d ] q ) ([c]_q,[d]_q) ([c]q,[d]q) 即可。

输入 LWE 密文的相位 α ⋅ m + e \alpha \cdot m+e α⋅m+e，输出 k = log ⁡ ( Q / α ) / log ⁡ ( q / α ) k=\log(Q/\alpha)/\log(q/\alpha) k=log(Q/α)/log(q/α) 个密文，它们的相位是 α ⋅ m i + e i \alpha \cdot m_i+e_i α⋅mi+ei，满足 m = ∑ i = 0 k − 1 m i ⋅ ( q / α ) i m=\sum_{i=0}^{k-1} m_i \cdot (q/\alpha)^i m=∑i=0k−1mi⋅(q/α)i

Parameter Selection

略。。。