BFV同态加密方案初步学习

BFV是把Bra12的LWE版本推到了RLWE版本，Bra12也可以叫做BFV。

经典的RLWE的公钥加密算法回顾

对比以前的Regev的LWE公钥加密方案，其实几乎只是把明文空间换了，也就是在最大比特编码的时候把2换成t，即， Δ = ⌊ q / t ⌋ \Delta = \lfloor q/t \rfloor Δ=⌊q/t⌋。同时这里的 q q q是没有限制的，也就是可以使用2的幂次来简化运算。

这里可以这样看 s = ( 1 , s ) \mathbf s = (1,\mathbf s) s=(1,s), c t = ( c 0 , c 1 ) \mathbf {ct}=(\mathbf c_0,\mathbf c_1) ct=(c0,c1)。
对于正确性验证
c 0 + c 1 ⋅ s = p 0 ⋅ u + e 1 + Δ ⋅ m + p 1 ⋅ u + e 2 = − a ⋅ s ⋅ u + e ⋅ u + e 1 + Δ ⋅ m + a ⋅ s ⋅ u + e 2 ⋅ s = Δ ⋅ m + e ⋅ u + e 1 + e 2 ⋅ s ( m o d q ) \begin{aligned}\mathbf c_0+\mathbf c_1 \cdot \mathbf s &= \mathbf p_0 \cdot \mathbf u +\mathbf e_1 + \Delta \cdot \mathbf m + \mathbf p_1 \cdot \mathbf u +\mathbf e_2 \\ &= -\mathbf a \cdot \mathbf s \cdot \mathbf u + \mathbf e \cdot \mathbf u +\mathbf e_1 + \Delta \cdot \mathbf m + \mathbf a \cdot \mathbf s \cdot \mathbf u + \mathbf e_2 \cdot \mathbf s \\ &= \Delta \cdot \mathbf m +\mathbf e \cdot \mathbf u +\mathbf e_1 + \mathbf e_2 \cdot \mathbf s (\mod q) \end{aligned} c0+c1⋅s=p0⋅u+e1+Δ⋅m+p1⋅u+e2=−a⋅s⋅u+e⋅u+e1+Δ⋅m+a⋅s⋅u+e2⋅s=Δ⋅m+e⋅u+e1+e2⋅s(modq)
可以看到这里的噪声似乎与 u \mathbf u u和 s \mathbf s s有关，如果将这两个取的小一点，能够一定程度上减低噪声。
另外，将噪声用 v = e ⋅ u + e 1 + e 2 ⋅ s \mathbf v = \mathbf e \cdot \mathbf u +\mathbf e_1 + \mathbf e_2 \cdot \mathbf s v=e⋅u+e1+e2⋅s表示，能够得到 [ c 0 + c 1 ⋅ s ] q = Δ ⋅ m + v [\mathbf c_0+\mathbf c_1 \cdot \mathbf s ]_q =\Delta \cdot \mathbf m + \mathbf v [c0+c1⋅s]q=Δ⋅m+v，与此同时若取样的 χ ≤ B \chi \le B χ≤B的话，我们将得到噪声的界限，即 v ≤ 2 ⋅ B 2 ⋅ δ R + B \mathbf v \le 2\cdot B^2 \cdot \delta_R+B v≤2⋅B2⋅δR+B，其中 δ R \delta_R δR表示扩张因子
δ R = max ⁡ { ∥ a ⋅ b ∥ ∥ a ∥ ⋅ ∥ b ∥ : a , b ∈ R } \delta_{R}=\max \left\{\frac{\|a \cdot b\|}{\|a\| \cdot\|b\|}: a, b \in R\right\} δR=max{∥a∥⋅∥b∥∥a⋅b∥:a,b∈R}，其中的 ∣ ∣ a ∣ ∣ = m a x i ∣ a i ∣ ||a||=max_i|a_i| ∣∣a∣∣=maxi∣ai∣为无穷范数。

同态方案

方案是基于前面的LPR.ES方案的，作为优化，该方案增加了一个重线性化，将 u \mathbf u u和 s \mathbf s s的取值范围变为 R 2 \mathbb R_2 R2，即它们的范数为1，其他基本一致
借用BV11里面的思想，将解密过程看作一个解密函数，即得到，
[ c t ( x ) ] q = [ c 0 + c 1 ⋅ x ] q [\mathbf {ct}(\mathbf x)]_q=[\mathbf c_0+\mathbf c_1 \cdot \mathbf x ]_q [ct(x)]q=[c0+c1⋅x]q
代入密钥就能得到明文
[ c t ( s ) ] q = Δ ⋅ m + v [\mathbf {ct}(\mathbf s)]_q= \Delta \cdot \mathbf m + \mathbf v [ct(s)]q=Δ⋅m+v

同态乘法

来看看核心的乘法运算

该定理表明，乘法时，噪声不是呈平方增长，而是大致上乘以了一个系数 2 ⋅ t ⋅ δ R 2 ⋅ ∣ ∣ s ∣ ∣ 2\cdot t\cdot \delta_R^2\cdot||\mathbf s|| 2⋅t⋅δR2⋅∣∣s∣∣，也就是线性增长，从表达式里能看到，对噪声有显著影响的是 t t t和 s \mathbf s s的范数。（具体引理证明感兴趣可以去原文看看