全同态加密：GSW_gsw同态

参考文献：

1. Micciancio D, Peikert C. Trapdoors for lattices: Simpler, tighter, faster, smaller[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2012: 700-718.
2. Gentry C, Sahai A, Waters B. Homomorphic encryption from learning with errors: Conceptually-simpler, asymptotically-faster, attribute-based[C]//Annual Cryptology Conference. Springer, Berlin, Heidelberg, 2013: 75-92.

Gadget

2012年 Micciancio 和 Peikert 介绍了一种不是格基的陷门。首先构造了一类特殊的格族（family of lattices）Primitive Lattices，它们拥有快速、可并行的解码算法。令 primitive matrix $G\in {\mathbb{Z}}_q^{n\times w}$，它满足 $G\cdot {\mathbb{Z}}^w={\mathbb{Z}}_q^n$，其中 $k=\lceil {\log }_{2}q\rceil$，$w=nk$，

1. 在格 ${\Lambda }^{\perp }(G)$ 上，有一个已知的短格基 $S\in {\mathbb{Z}}^{w\times w}$，满足 $\Vert \tilde{S}\Vert \le \sqrt{5}$， ∥ S ∥ ≤ max ⁡ { 5 , k } \|S\| \le \max\{\sqrt 5,\sqrt k\} ∥S∥≤max{5 ​,k ​}。如果 $q=2^k$，那么 $\tilde{S}=2I$，从而 $\Vert \tilde{S}\Vert =2$ 以及 $\Vert S\Vert =\sqrt{5}$。

2. 函数
   $$f_G(x):=Gx(\mathrm{m}\mathrm{o}\mathrm{d}q)$$

   的原像采样（preimage sampling）算法，只需要 $O(n\cdot {\log }^{c}n)$ 的时间

3. 函数
   $$g_G(s,e):=s^{t}G+e^t(\mathrm{m}\mathrm{o}\mathrm{d}q)$$

   的陷门求逆（trapdoor inversion）算法，只需要 $O(n\cdot {\log }^{c}n)$ 的时间。

4. 并且，这两个算法都可以 $n$ 路并行，进一步降低为 $O({\log }^{c}n)$ 的时间。如果 $q=2^k$，那么这 $O({\log }^{c}n)$ 的运算就仅仅是 $k$ 比特整数的加法和位移。

如果令 $A^{\prime }=\left[\overline{A}\mid G\right]$， T = [ I − R 0 I ] T =

$$\begin{bmatrix}I&-R\\0&I\end{bmatrix}$$ T=[I0​−RI​]，设置 $A=A^{\prime }\cdot T=\left[\overline{A}\mid G-\overline{A}R\right]$，那么

1. 易知 $T^{-1}=\left[\begin{array}{cc}I& R\\ 0& I\end{array}\right]$，因此 $A$ 和 $A^{\prime }$ 之间的双向转换是容易的，花费是与 $R$ 的矩阵乘。
2. 函数 $f_A(x):=Ax(\mathrm{m}\mathrm{o}\mathrm{d}q)$ 和 $g_A(s,e):=s^{t}A+e^t(\mathrm{m}\mathrm{o}\mathrm{d}q)$ 都可以归约到 $f_G$ 和 $g_G$ 上，归约的花费仅仅是与 $R$ 的矩阵向量乘积。

博主只粗略浏览了论文的前两节（已在格密码综述里看过），旧内容见 格密码：陷门OWF（Short Basis、Gadget）。

GSW

2013年 Gentry, Sahai, Waters 三位大牛提出了一种不需要 evaluation key 的全同态加密方案，拉开了第三代全同态加密的帷幕。

Approximate Eigenvector

之前的 FHE 方案（BGV-type、FV-type）的乘法同态运算都“不自然”，需要密文的张量积、多项式乘积。那么，是否可以设计一种密码算法，它的同态运算就直接是环上的加法和乘法呢？GSW 提出了近似特征向量技术，将明文整数作为密文矩阵的特征值，而私钥是特征向量。

GSW 基于 LWE 问题，它在平均情况下的困难程度，至少是最坏情况下的一些格问题的困难程度。

整数环 ${\mathbb{Z}}_q$，明文 $\mu \in {\mathbb{Z}}_q$ 是 “small integer”，密文 $C\in {\mathbb{Z}}_q^{N\times N}$ 是 “small entries” 的方阵，私钥 $v\in {\mathbb{Z}}_q^N$ 是至少有一个 “big coefficient” 的向量。

我们说 $C$ 加密了 $\mu$，如果：
$$C\cdot v=\mu \cdot v+e$$

其中 $e$ 是 “small error” 的向量。令 $v_i$ 是 $v$ 中足够大的一项，令 $C_i$ 是第 $i$ 行向量（因为 $C_i\cdot v=\mu \cdot v_i+e_i$ 包含的整数 $\mu$ 精度最高， 仅当 $|e_i/v_i|>0.5$ 时才会出错），那么：
$$\mu =\lfloor \frac{⟨C_i,v⟩}{v_i}\rceil$$

假设 ${\mu }_1$ 的密文是 $C_1$，${\mu }_2$ 的密文是 $C_2$，那么有

• 同态加法就是环加法：$C^{+}=C_1+C_2$，
  C + ⋅ v = C 1 ⋅ v + C 2 ⋅ v = ( μ 1 + μ 2 ) ⋅ v + ( e 1 + e 2 )

  $$\begin{aligned} C^+ \cdot v &= C_1 \cdot v + C_2 \cdot v \\ &= (\mu_1+\mu_2) \cdot v + (e_1+e_2)\\ \end{aligned}$$ C+⋅v​=C1​⋅v+C2​⋅v=(μ1​+μ2​)⋅v+(e1​+e2​)​

• 同态乘法就是环乘法：$C^{\times }=C_1\cdot C_2$，
  C × ⋅ v = C 1 ⋅ ( C 2 ⋅ v ) = C 1 ⋅ ( μ 2 ⋅ v + e 2 ) = μ 2 ⋅ ( C 1 ⋅ v ) + C 1 ⋅ e 2 = ( μ 1 ⋅ μ 2 ) ⋅ v + ( C 1 ⋅ e 2 + μ 2 ⋅ e 1 )

  $$\begin{aligned} C^\times \cdot v &= C_1 \cdot (C_2 \cdot v)\\ &= C_1 \cdot (\mu_2 \cdot v + e_2)\\ &= \mu_2 \cdot (C_1 \cdot v) + C_1 \cdot e_2\\ &= (\mu_1 \cdot \mu_2) \cdot v + (C_1 \cdot e_2 + \mu_2 \cdot e_1)\\ \end{aligned}$$ C×⋅v​=C1​⋅(C2​⋅v)=C1​⋅(μ2​⋅v+e2​)=μ2​⋅(C1​⋅v)+C1​⋅e2​=(μ1​⋅μ2​)⋅v+(C1​⋅e2​+μ2​⋅e1​)​

因此 GSW 的同态运算，就简单是矩阵加法和矩阵乘法，这是 “natural” 运算。

对于矩阵乘来说，在 Strassen 算法下的复杂度为 $n^{2.807}$，在 Schonhage 的 Laser Method 下的复杂度目前为 $O(n^{2.3727})$（Williams 2012）。不过，似乎只有 Strassen 算法是实用的，任何渐进复杂度更低的矩阵乘算法都只适合 $n$ 特别大的（现代计算机无法承受的地步）矩阵。而且这些算法由于浮点数精度问题，超大矩阵的计算误差也是大问题。还是分块、并行的 GEMM 更具实用性。

Flattening

我们说密文 $C$ 是 $B$ - bounded，如果 ${\mu }_i$ 和 $C_i$，$e_i$ 的数量级都至多是 $B$。

若 $C_1,C_2$ 是 $B$ - bounded，那么

1. $C^{+}$ 是 $2B$ - bounded，深度为 $L$ 的加法电路，得到的密文的噪音大小为 $2^{L}B$
2. $C^{\times }$ 是 $(N+1)B^2$ - bounded，深度为 $L$ 的乘法电路，得到的密文的噪音大小为 $(N+1{)}^{2^L-1}{B}^{2^L}$

由于 $q/B$ 至多是关于 $N$ 的亚指数的（安全性），因此上述同态运算只能支持对数深度（log-depth）的电路。那么怎么才能限制噪声的增长呢？

我们说密文 $C$ 是 $B$ - strongly - bounded，如果 $\mu$ 和 $C$ 的数量级都至多是 $1$，$e$ 的数量级至多是 $B$。

假如 $C_1,C_2$ 是 $B$ - strongly - bounded，那么 $C^{\times }$ 将是 $(N+1)B$ - bounded，但 $C^{\times }$ 的系数的数量级将成为 $N$。要是可以使得 $C^{\times }$ 成为 $(N+1)B$ - strongly - bounded，那么深度为 $L$ 的乘法电路后的噪声大小为 $(N+1{)}^{L}B$，于是 $q/B$ 就可以支持多项式深度（poly-depth）的电路了！

与 BGV 和 BFV 一样，GSW 也使用二进制分解（或者说 Gadget 矩阵 $G$）来约束噪声的增长：

• $BitDecomp(a)$：输入 $a=(a_1,\cdots ,a_k)\in {\mathbb{Z}}_q^k$，令 $l=\lfloor {\log }_{2}q\rfloor +1$，$N=k\cdot l$，设 $a_i=a_{i,0}{a}_{i,1}\cdots a_{i,l-1}$ 是二进制分解，输出
  a ′ = G − 1 ( a ) = ( a 1 , 0 , ⋯   , a 1 , l − 1 , ⋯   , a k , 0 , ⋯   , a k , l − 1 ) ∈ { 0 , 1 } N a' = G^{-1}(a) =(a_{1,0},\cdots,a_{1,l-1},\cdots,a_{k,0},\cdots,a_{k,l-1}) \in \{0,1\}^{N} a′=G−1(a)=(a1,0​,⋯,a1,l−1​,⋯,ak,0​,⋯,ak,l−1​)∈{0,1}N

• $BitDecom{p}^{-1}(a^{\prime })$：输入 $a^{\prime }\in {\mathbb{Z}}_q^N$（不必是 { 0 , 1 } N \{0,1\}^N {0,1}N），设 $a_i={\sum }_{j=0}^{l-1}{2}^j{a}_{i,j}$ 是二进制合成，输出
  $$a=G\cdot a^{\prime }=(a_1,a_2,\cdots ,a_k)\in {\mathbb{Z}}_q^k$$

• $Flatten(a^{\prime })$：输入 $a^{\prime }\in {\mathbb{Z}}_q^N$（不必是 { 0 , 1 } N \{0,1\}^N {0,1}N），输出
  B i t D e c o m p ( B i t D e c o m p − 1 ( a ′ ) ) ∈ { 0 , 1 } N BitDecomp(BitDecomp^{-1}(a')) \in \{0,1\}^N BitDecomp(BitDecomp−1(a′))∈{0,1}N

• $Flatten(A)$：输入 $A\in {\mathbb{Z}}_q^{N\times N}$，设 $A_i$ 是行向量，输出
  $${\left(Flatten(A_1),\cdots ,Flatten(A_N)\right)}^T$$

• $Powersof2(b)$：输入 $b=(b_1,\cdots ,b_k)\in {\mathbb{Z}}_q^k$，输出
  $$b^{\prime }=G^t\cdot b=(b_1,2b_1,\cdots ,2^{l-1}{b}_1,\cdots ,b_k,2b_k,\cdots ,2^{l-1}{b}_k)\in {\mathbb{Z}}_q^N$$

可以验证如下事实：

1. 对于 $a,b\in {\mathbb{Z}}_q^k$，有
   $$⟨BitDecomp(a),Powersof2(b)⟩=b^t\cdot G\cdot G^{-1}(a)=⟨a,b⟩$$

2. 对于 $a^{\prime }\in {\mathbb{Z}}_q^N$ 和 $b\in {\mathbb{Z}}_q^k$，有
   $$⟨a^{\prime },Powersof2(b)⟩=b^t\cdot G\cdot a^{\prime }=⟨BitDecom{p}^{-1}(a^{\prime }),b⟩$$

3. 明显，$⟨a^{\prime },Powersof2(b)⟩=⟨Flatten(a^{\prime }),Powersof2(b)⟩$

采用增广形式的 LWE 样本。对于随机矩阵 $A\in {\mathbb{Z}}_q^{m\times (n+1)}$，设秘密向量为 $s\in {\mathbb{Z}}_q^{n+1}$，满足 $A\cdot s=e$ 是 $B$ - bounded 噪声，令 $v=Powersof(s)$，那么 $v$ 确实至少有一个 “big coefficient”，并且 $v$ 的随机性等同于 $s$ 的随机性。

令 $l=\lfloor {\log }_{2}q\rfloor +1$，$N=(n+1)\cdot l$，容易看出
$$C\cdot v=Flatten(C)\cdot v$$

也就是说，把密文 ”拍平“ 并不会改变明文。

对于明文 $\mu \in {\mathbb{Z}}_q$，随机选取 R ∈ { 0 , 1 } N × m R \in \{0,1\}^{N \times m} R∈{0,1}N×m，“拍平” 的密文为：
$$C=Flatten(\mu \cdot I_N+BitDecomp(R\cdot A))\in {\mathbb{Z}}_q^{N\times N}$$

容易验证 $C\cdot v=(\mu \cdot I_N+BitDecomp(R\cdot A))\cdot v=\mu \cdot v+R\cdot A\cdot s$，包含的噪音 $R\cdot e$ 很小。

如果 $m=O(n\log q)$，那么根据剩余哈希引理（leftover hash lemma） $R\cdot A$ 是统计均匀的（statistically uniform）。因此 $BitDecom{p}^{-1}(C)=BitDecom{p}^{-1}(\mu \cdot I_N)+R\cdot A$ 也是统计均匀的矩阵。

LHE

GSW 的方案如下：

同态运算为：

1. 加法：$Add(C_1,C_2)=Flatten(C_1+C_2)$，噪音为 $e_1+e_2$，增长因子为 $2$
2. 乘法：$Mult(C_1,C_2)=Flatten(C_1\cdot C_2)$，噪音为 ${\mu }_2\cdot e_1+C_1\cdot e_2$，增长因子为 ${\mu }_2+N$
3. 乘常数：$MultConst(C,\alpha )=Flatten\left(Flatten(\alpha \cdot I_N)\cdot C\right)$，噪音为 $Flatten(\alpha \cdot I_N)\cdot e$，增长因子为 $N$ 而非 $\alpha$
4. 与非门：$NAND(C_1,C_2)=Flatten(I_N-C_1\cdot C_2)$，噪音为 $-{\mu }_2\cdot e_1-C_1\cdot e_2$，由于 u 2 ∈ { 0 , 1 } u_2 \in \{0,1\} u2​∈{0,1}，增长因子为 $N+1$

在解密时 $x_i=C_i\cdot v=\mu \cdot v_i+R_i\cdot e$， 令错误为 $e^{\prime }=R_i\cdot e$，那么 $|e^{\prime }|$ 的数量级为 $\Vert e{\Vert }_1$，仅当 $|e^{\prime }/v_i|<0.5$ 时才不会出错。因为 $v_i\in (q/4,q/2]$，所以只要 $e^{\prime }<q/8$，那么解密就是正确的。

如果布尔电路仅由与非门组成，那么 $L$ 层计算后的噪声大小为 $(N+1{)}^{L}B$ - bounded，那么令 $q/B>8(N+1{)}^L$ 即可保证噪音是 $q/8$ - bounded，从而解密正确。

给定安全参数 $\lambda$，维度 $n$ 应随着 $\log (q/B)$ 线性增长。GSW 将 $n$ 视作一个定值，选取不算太大的 $B$，记 $\kappa =\log q$，设置 $\kappa =O(L\log N)=O(L\log n)$

由于 $N=O(n\kappa )=\tilde{O}(nL)$，因此同态运算的渐进复杂度为 $\tilde{O}((nL{)}^w)$，其中 $w<2.3727$。这个渐进复杂度优于基于 LWE 的 BGV 和 BFV 的 $\tilde{O}(n^3{L}^2)$，但是比基于 RLWE 的 BGV / BFV 慢一些对数因子。GSW 可以显著降低存储开销，从伪立方降低到了伪平方。

IBHE & ABHE

之前的 FHE 都无法转化为基于身份的加密（IBE）和基于属性的加密（ABE），主要是因为同态计算需要 evaluation key，这个密钥无法根据身份 ID 来生成。

GSW 的同态运算完全不需要 evaluation key，只需要知道公开参数即可。因此，只要管理员生成 $MSK$，公布 $MPK$，然后

• 对于任意的 $pk=(MPK,ID)$，管理员计算 $s{k}_{ID}\leftarrow KeyGen(MSK,ID)$，那么就把 GSW 转化为了 IBHE。

• 类似的，对于任意的属性 $x$，令公钥为 $pk=(MPK,x)$，对于访问策略 $y$，管理员计算 $s{k}_y\leftarrow KeyGen(MSK,y)$，那么仅当 $R(x,y)=1$ 时才可以正确解密。这就把 GSW 转化为了 ABHE。