参考文献：

1. Cheon J H, Kim A, Kim M, et al. Homomorphic encryption for arithmetic of approximate numbers[C]//International conference on the theory and application of cryptology and information security. Springer, Cham, 2017: 409-437.
2. 全同态加密：BGV
3. 全同态加密：BFV
4. CKKS explained series

文章目录

• CKKS
• • Canonical Embedding
  • Gaussian Distributions
  • SIMD
  • LHE
  • Rotate

CKKS

不论是 LSB 编码的 BGV，还是 MSB 编码的 BFV，它们的同态运算都是对 ${\mathbb{Z}}_t$ 上明文的精确计算，因为密文中的明文空间和噪声空间是分离的。例如，在 BGV 中是 $te+m$，在 BFV 中是 $\delta m+e$。但是，这种精确计算是在同余意义下的，如果将明文视为实数，那么实际上同态运算时的噪声破坏了明文的 MSB $\lfloor m/t\rfloor$，仅保留了 LSB $[m{]}_t$，如图：

而 CKKS 关注近似计算，它使得在密文中的明文空间和噪声空间是不分离的，噪声位于明文空间的 LSB 位置。也就是说，在 CKKS 中是 $m+e$，同态运算破坏明文的 LSB，但不破坏其 MSB。这也是合理的，可以将噪声破坏 LSB 视为浮点运算的精度误差。类似 BGV 做模切换，来使得噪声规模不会指数级增长；CKKS 也要做重缩放（rescaling），使得消息规模不会随电路深度而指数级增长，同时移除了 LSB 上的部分浮点误差。如图：

Canonical Embedding

符号：

• ${\Phi }_M(x)\in \mathbb{Z}[x]$，$M$ 次单位根的分圆多项式，度数为 $N=\varphi (M)$

• $R:=\mathbb{Z}[x]/({\Phi }_M(x))$，数域 $\mathbb{Q}[x]/({\varphi }_M(x))$ 的子环（离散子群）

• $R_q=R/qR$，商环 ${\mathbb{Z}}_q[x]/({\Phi }_M(x))$

• $S:=\mathbb{R}[x]/({\Phi }_M(x))$，分圆环（cyclotomic ring），其中元素 $a(x)$ 的系数构成向量 $\vec{a}=(a_0,\cdots ,a_{N-1})\in {\mathbb{R}}^N$

• $\Vert a\Vert :=\Vert \vec{a}{\Vert }_{\infty }$，环元素的无穷范数

• $\Vert a{\Vert }_1:=\Vert \vec{a}{\Vert }_1$，环元素的L1 范数

• Z M ∗ : = { x ∈ Z M : g c d ( x , M ) = 1 } \mathbb Z_M^* := \{x \in \mathbb Z_M:gcd(x,M)=1\} ZM∗​:={x∈ZM​:gcd(x,M)=1}，乘法群

• ${\xi }_M:=exp(-2\pi i/M)$，$M$ 次本原单位根

• 规范嵌入（canonical embedding）$\sigma :S\to {\mathbb{C}}^N$ 定义为
  $$\sigma (a):=(a({\xi }_M^j){)}_{j\in {\mathbb{Z}}_M^{\ast }}$$
  其中 $a\in \mathbb{Q}[x]/({\varphi }_M(x))\subset S$

• $\Vert a{\Vert }_{\infty }^{can}:=\Vert \sigma (a){\Vert }_{\infty }$，规范嵌入范数（canonical embedding norm）

• $CR{T}_M$，$M$ 次本原单位根 ${\xi }_M^j,j\in {\mathbb{Z}}_M^{\ast }$ 上的 Vandermonde 矩阵（可逆），使得 $CR{T}_M\cdot \vec{a}=(a({\xi }_M^j){)}_{j\in {\mathbb{Z}}_M^{\ast }}=\sigma (a)$（规范嵌入是线性变换）

• $\Vert U=(u_{ij}){\Vert }_{\infty }:={\max }_i{\sum }_j|u_{ij}|$，矩阵的无穷范数

• $c_M:=\Vert CR{T}_M^{-1}{\Vert }_{\infty }$，环常数（ring constant），仅与 $M$ 有关

性质：

• $\forall a,b\in S$，有 $\Vert a\cdot b{\Vert }_{\infty }^{can}\le \Vert a{\Vert }_{\infty }^{can}\cdot \Vert b{\Vert }_{\infty }^{can}$
• $\forall a\in S$，有 $\Vert a{\Vert }_{\infty }^{can}\le \Vert a{\Vert }_1$
• $\forall a\in S$，有 $\Vert a{\Vert }_{\infty }\le c_M\cdot \Vert a{\Vert }_{\infty }^{can}$

Gaussian Distributions

定义线性子空间：
H : = { z ⃗ = ( z j ) j ∈ Z M ∗ ∈ C N :   z j = z ˉ − j ,   ∀ j ∈ Z M ∗ } \mathbb H := \{ \vec z = (z_j)_{j \in \mathbb Z_M^*} \in \mathbb C^N:\, z_j = \bar z_{-j},\, \forall j \in \mathbb Z_M^* \} H:={z =(zj​)j∈ZM∗​​∈CN:zj​=zˉ−j​,∀j∈ZM∗​}

也就是所有满足共轭约束的向量。可以验证，作为内积空间（inner product space）$\mathbb{H}\cong {\mathbb{R}}^N$，关于幺正矩阵（unitary basis matrix，酉矩阵）
$$U=\left[\begin{array}{cc}\frac{1}{\sqrt{2}}I& \frac{i}{\sqrt{2}}J\\ \frac{1}{\sqrt{2}}J& \frac{-i}{\sqrt{2}}I\end{array}\right]\in {\mathbb{C}}^{N\times N}$$

其中 $I\in C^{N/2\times N/2}$ 是单位阵，$J$ 是其翻转矩阵（reversal matrix）
$$J=\left[\begin{array}{cccc}0& \cdots & 0& 1\\ 0& \cdots & 1& 0\\ & ⋮& & \\ 1& \cdots & 0& 0\end{array}\right]\in {\mathbb{C}}^{N/2\times N/2}$$

易知，共轭转置 $U^H=U^{-1}$，并且有：$\mathbb{H}=U\cdot {\mathbb{R}}^N$，$U^H\cdot \mathbb{H}={\mathbb{R}}^N$

对于 $r>0$，定义 Gaussian function 为 ${\rho }_r:{\mathbb{R}}^n\to (0,1]$ 为
$${\rho }_r(\vec{z})=\exp \left(\frac{-\pi \Vert \vec{z}{\Vert }_2^2}{r^2}\right)$$

对于 $\vec{r}=(r_1,\cdots ,r_N)\in ({\mathbb{R}}^{+}{)}^N$，$\mathbb{H}$ 上的 elliptical Gaussian distribution ${\Gamma }_{\vec{r}}$ 定义为：根据 ${\Gamma }_{r_i}$ 独立采样 $z_i\in \mathbb{R}$，然后输出 $U\cdot \vec{z}$

上述连续高斯分布同时诱导了环 $S:=\mathbb{R}[x]/({\varphi }_M(x))$ 上的分布 ${\Psi }_{\vec{r}}$，它的采样输出为：$\vec{e}:=CR{T}_M^{-1}\cdot U\cdot \vec{z}$，就是 $e(x)\in S$ 在基 $1,x,x^2,\cdots ,x^{N-1}$ 上的组合系数。

为了获得离散高斯分布，执行圆整操作 $\chi :=\lfloor {\Psi }_{\vec{r}}{\rceil }_{R^{\vee }}$，即把采样结果 $e\in S$ 最近的环元素 $e^{\prime }\in R^{\vee }$ 作为离散采样结果。其中 $R^{\vee }$ 是环 $R$ 的 dual fractional ideal（这啥？），我数学不好没看懂 (╥╯^╰╥)

SIMD

CKKS 使用 RLWE，类似 BGV 使用分圆多项式 ${\varphi }_M(x)$，根据 CRT 可以将密文分成 $N$ 个的槽（slot），从而可以实现 SIMD。

基于 RLWE 的密码方案的明文空间可以被视作 $S$ 的子集，其中的元素是 $\Vert m{\Vert }_{\infty }^{can}\ll q$ 的那些 $m(x)$

令 ${\xi }_M$ 是一个复平面上的 $M$ 次本原单位根。分圆环 $S:=\mathbb{R}[x]/({\Phi }_M(x))$，对于 $a\in S$，规范嵌入为 $\sigma (a):=(a({\xi }_M^j){)}_{j\in {\mathbb{Z}}_M^{\ast }}\in {\mathbb{C}}^N$。

确切地说，由于 $a\in S$ 是实系数多项式，因此 $a({\xi }^{-j})=a(\overline{{\xi }^j})=\overline{a({\xi }^j)}$，规范嵌入的像 $Im(\sigma )=\mathbb{H}\subset {\mathbb{C}}^N$，容易看出同构 $\mathbb{H}\cong S$

由于 $\mathbb{H}$ 中的元素满足共轭约束，因此令 $T$ 是 ${\mathbb{Z}}_M^{\ast }$ 的乘法子群，使得 Z M ∗ / T = { ± 1 } \mathbb Z_M^*/T = \{\pm 1\} ZM∗​/T={±1}，那么考虑自然投影（natural projection）$\pi :\mathbb{H}\to {\mathbb{C}}^{N/2}$
$$\pi ((z_j{)}_{j\in {\mathbb{Z}}_M^{\ast }}):=(z_j{)}_{j\in T}$$

那么关于映射 $\pi$，有同构 $\mathbb{H}\cong {\mathbb{C}}^{N/2}$

由于 $R=\mathbb{Z}[x]/(\varphi (x))$，因此它有一组 $\mathbb{Z}-$基 { 1 , x , ⋯   , x N − 1 } \{1,x,\cdots,x^{N-1}\} {1,x,⋯,xN−1}，这利用规范嵌入 $\sigma (\cdot )$ 可以得到一个秩 $N$ 的理想格（ideal lattice）$\sigma (R)$，基为 { σ ( 1 ) , σ ( x ) , ⋯   , σ ( x N − 1 ) } \{\sigma(1),\sigma(x),\cdots,\sigma(x^{N-1})\} {σ(1),σ(x),⋯,σ(xN−1)}

现在，我们已经有了 $S\to \mathbb{H}$ 的同构 $\sigma$，以及 $\mathbb{H}\to {\mathbb{C}}^{N/2}$ 的同构 $\pi$，那么就有同构映射
$$\pi \circ \sigma :(S,\Vert \cdot {\Vert }_{\infty }^{can})\to (C^{N/2},\Vert \cdot {\Vert }_{\infty })$$

由于 $R\subset S$ 是子环，因此 $\sigma (R)\subset \mathbb{H}$ 是离散子群，从而 $\pi (\sigma (R))\subset {\mathbb{C}}^{N/2}$ 是有限精度的浮点数向量集合。如图：

所以，任给一个复向量 $\vec{z}\in {\mathbb{C}}^{N/2}$，它的原像 ${\pi }^{-1}(\vec{z})$ 不一定落在格 $\sigma (R)$ 上，需要就近圆整 $\lfloor {\pi }^{-1}(\vec{z}){\rceil }_{\sigma (R)}$，得到最接近的格点，这就导致了圆整误差。为了提高浮点数精度，可以设置一个 scaling factor $\Delta \ge 1$，先 ${\vec{z}}^{\prime }=\Delta \cdot \vec{z}$，然后 ${\pi }^{-1}({\sigma }^{-1}({\vec{z}}^{\prime }))\in R$ 得到对应的明文。

CKKS 的编码、解码算法为：

LHE

CKKS 使用了：BGV 的密钥切换技术、模切换技术、打包技术，BFV 的重线性化技术。抽象的来说，CKKS 方案如下（注意 Enc 算法）：

CKKS 使用模切换过程，来移除密文中明文信息的被噪声淹没的 LSB 部分，叫做重缩放（rescaling）。固定 base $p>0$ 和模数 $q_0>0$（都不必是素数）。对于深度为 $L$ 的电路，设置梯子为 $q_l=q^l\cdot q_0$，第 $l$ 层的密文属于 $R_{q_l}^2$

同态运算时，密文中的消息和噪声的规模都会增长。为了方便管理密文，还要在 $c$ 上附加上一些标签：层级 $0\le l\le L$，消息上界 $v\in \mathbb{R}$，噪声上界 $B\in \mathbb{R}$

另外，同态运算之前，需要参与运算的两个密文 $(c,l,v,B),(c^{\prime },l^{\prime },v^{\prime },B^{\prime })$ 的 level 保证一致。假设 $l^{\prime }<l$，那么需要将 $c$ 降级到 $l^{\prime }$ 级的 $R_{q_{l^{\prime }}}$ 上：

1. 如果使用 RS 过程，$c\mapsto RS(c)$，那么消息从 $m$ 变化为 $\frac{q_{l^{\prime }}}{q_l}m$
2. 而直接简单模约简，$c\mapsto c\mathrm{mod}{q}_{l^{\prime }}$，这不会改变消息 $m$

如果选取 $M=2^{k+1}$，那么 ${\varphi }_M(x)=x^N+1$，其中 $N=2^k$，环 $R=\mathbb{Z}[x]/(x^N+1)$ 有良好的性质：

1. 此时 $R^{\vee }=N^{-1}\cdot R$，从而噪声 $e^{\prime }\in R^{\vee }$ 可以转化为 $e=N\cdot e^{\prime }\in R$，它的各个系数是相互独立的离散高斯采样。
2. 圆整运算可以高效计算，因为 $CR{T}_M$ 是正交阵，因此 $\lfloor a(x){\rceil }_{\sigma (R)}={\sum }_i\lfloor a_i{\rceil }_{\mathbb{Z}}\cdot x^i$（多项式圆整就是各项系数分别圆整）

CKKS 使用了多种分布（我不知道为何需要这么多。为了效率？为了安全性？）：

• $DG({\sigma }^2)$：实数 $\sigma >0$，采样 ${\mathbb{Z}}^N$ 上向量，各分量是方差为 ${\sigma }^2$ 的 $\mathbb{Z}$ 上独立的离散高斯采样
• $HWT(h)$：正整数 $h$，采样 { 0 , ± 1 } N \{0,\pm 1\}^N {0,±1}N 上向量（signed binary vectors），汉明重量为 $h$
• $ZO(\rho )$：实数 $0\le \rho \le 1$，采样 { 0 , ± 1 } N \{0,\pm 1\}^N {0,±1}N 上向量，它的各个分量以 $\rho /2$ 的概率为 $1,-1$，以 $1-\rho$ 的概率为 $0$

CKKS 方案如下：

我们说一个密文 $(c\in R_{q_l}^2,l,v,B)$ 是 $m\in S$ 的有效密文（valid encryption），如果 $\Vert m{\Vert }_{\infty }^{can}\le v$ 且 $<c,sk>=m+2\mathrm{mod}{q}_l$，其中 $e\in S$ 满足 $\Vert e{\Vert }_{\infty }^{can}\le B$。可以证明：

为了达到 $\lambda -$比特的安全性，需要使得 $N\ge \frac{\lambda +110}{7.2}\log (P\cdot q_L)$。由于 $q_L$ 是梯子中最大的模数，因此让 $P$ 接近于 $q_L$ 即可。对于 $\lambda =80$，文章中设置 $\sigma =3.2$，$h=64$。

下图展示了安全性和计算效率之间的 tradeoff：为了提高安全性，这需要提升分圆多项式的次数 $N$，即使我们不需要太多的（$N/2$个） 明文槽。

Rotate

根据数论知识，域扩张 $\mathbb{Q}({\xi }_M)/\mathbb{Q}$ 的 Galois 群 $Gal:=Gal(\mathbb{Q}({\xi }_M)/\mathbb{Q})$ 是个同构于 ${\mathbb{Z}}_M^{\ast }$ 的乘法群，其中的元素是自同构映射：
$${\kappa }_k:m(x)\mapsto m(x^k),\forall gcd(k,M)=1$$

一个明文多项式为 $m(x)\in R\subset \mathbb{Q}({\xi }_M)$，解码后对应的明文向量是 $\vec{z}=\pi (\sigma (m(x)))\in {\mathbb{C}}^{N/2}$。对于任意的 $i,j\in T\subset {\mathbb{Z}}_M^{\ast }$，令 $k=j^{-1}\cdot i\mathrm{mod}M$，那么计算 $m^{\prime }={\kappa }_k(m)$，满足
$$z_j^{\prime }=m^{\prime }({\xi }_M^j)=\kappa (m({\xi }_M^j))=m({\xi }_M^{jk})=m({\xi }_M^i)=z_i$$

也就是说，自同构映射 ${\kappa }_k$ 可以实现把明文信息从槽 $i$ 搬移到槽 $j$

定义向量 $(c_i{)}_I$ 上的自同构映射为：${\kappa }_k((c_i{)}_I):=({\kappa }_k(c_i){)}_I$，可以验证，如果 $c\in R_{q_l}^2$ 是明文 $m\in R$ 在私钥 $(1,s)$ 下的有效密文，那么 ${\kappa }_k(c)\in R_{q_l}^2$ 是明文 ${\kappa }_k(m)\in R$ 在私钥 $(1,{\kappa }_k(s))$ 下的有效密文。

类似 BGV 的 Pack / Unpack 技术，将密文的密钥切换变换 ${\tau }_{(1,s)\to (1,{\kappa }_k(s))}$ 和 ${\tau }_{(1,{\kappa }_k(s))\to (1,s)}$ 作为公钥发布，从而实现密文上各个槽里的明文信息的任意搬移。