RNS-CKKS同态加密

本文提出了CKKS的RNS变体。首先本文引入了一种新的密文模结构，该结构允许对分圆多项式进行RNS分解，并对每个RNS分量进行NTT转换，实际上就是近似模组成的模链。同时本文还提出了一种不需要RNS组合的近似模交换技术，即在密文在RNS表示下可以使用近似模交换技术变得到模交换后的结果。实际上可以看到，这里全部使用到了CKKS的核心概念，误差是明文的一部分，只要误差足够小就可以接受。

lucky_wjie

2519人浏览 · 2024-03-22 20:19:07

lucky_wjie · 2024-03-22 20:19:07 发布

Abstract

本文提出了CKKS的RNS变体。

首先本文引入了一种新的密文模结构，该结构允许对分圆多项式进行RNS分解，并对每个RNS分量进行NTT转换，实际上就是近似模组成的模链。

同时本文还提出了一种不需要RNS组合的近似模交换技术，即在密文在RNS表示下可以使用近似模交换技术变得到模交换后的结果。

实际上可以看到，这里全部使用到了CKKS的核心概念，误差是明文的一部分，只要误差足够小就可以接受。

1.预备知识

1.1CKKS17的知识

1.2 CRT和RNS

给定大整数 $q=∏i=1kqiq=\prod_{i=1}^kq_i$ ，其中 $q_i$ 之间两两互素。CRT阐述了一个环同构的存在，即:
$\mathbb{Z}_q \simeq \prod_{i=1}^k \mathbb{Z}_{q_i}$
根据该环同构，CRT蕴含了一个余数系统(RNS)，即可以将模 $q$ 上的大整数运算同构到模 ${q_1,q_2,...,q_k}$ 上的平行小整数运算，即:
$\ (mod \ q) \simeq (a_1,a_2,...,a_k),其中a_i\equiv a \ (mod \ q_i)$
根据 $CRT$ ，由 $RNS$ 表示的数字 $a_1,a_2,...,a_k$ 可以在模 $q$ 的意义下，唯一恢复得到 $a$ ，计算过程如下:
$a=\sum_{i=1}^k Q_i·[Q_i^{-1}]_{q_i}·a_i \ \ \ (mod \ q)$
其中 $Q_i=q/q_i$ ， $Q_i^{-1}]_{q_i}$ 表示 $Q_i$ 在模 $q_i$ 下的逆。

1.3 Fast RNS Base Conversion(该算法首先被提出在RNS-FV中)

给定两组基链，分别为 $C={q_1,q_2,...,q_k}$ 和 $B={m_1,m_2,...,m_l}$ ，且满足 $q=∏i=1kq=\prod_{i=1}^k$ 和 $m=∏j=1lmjm=\prod_{j=1}^lm_j$ 。给定 $\ (mod \ q)$ 对基链C的RNS表示 $a_1,a_2,...,a_k)$ 。则Fast RNS Base Conversion的目的为将 $a_1,a_2,...,a_k)$ 直接转换为在基链 $B$ 下的RNS表示，而不需要进行RNS组合操作，该算法定义如下:
$FastBConv(a,C,B)=(\sum_{i=1}^k Q_i·[Q_i^{-1}]_{q_i}·a_i \ \ mod \ m_j)_{1\leq j\leq l}$
不妨假设 $\ mod \ q$ 在基链 $B$ 下的RNS表示为 $b_1,b_2,...,b_l)$ 。则我们本意希望的是这个RNS表示满足如下计算:
$b_i = a \ \ \ mod \ m_j$
但实际上我们知道
$\sum_{i=1}^k Q_i·[Q_i^{-1}]_{q_i}·a_i = a+e·q$
故实际上经过 $F a s tBC o n v (*)$ 算法后我们得到的是 $a + e \cdot q$ 在基链 $B$ 下的RNS表示 $b_1,b_2,...,b_l)$ ，实际上满足如下计算:
$b_i = a+e·q \ \ \ mod \ m_j$
若此时将 $b_1,b_2,...,b_l)$ 恢复成模 $m$ 的大整数，则得到的大整数是 $\ \ (mod \ m)$ 。

也就是说FastBConv算法会引入些许误差，这实际上是通过误差换时间的想法。

此时在回到CKKS的思想上，只要这个误差足够小，那么在CKKS算法中就可以接受。

1.4 近似基链——为RNS-CKKS特意引入的新的密文模结构

(1) 首先回顾CKKS17中RS操作的概念。

选择缩放因子 $Δ=q>0\Delta = q>0$ ，设置密文模结构为:
$Q_l=q^l, 其中0\leq l\leq L$
给定明文多项式 $m$ 的 $l$ 级密文 $\in R_{Q_l}^2$ 。

则CKKS17中 $RS$ 操作为计算:
$ct_{rs}=\lfloor q^{-1}·ct\rceil \in R_{Q_{l-1}}^2$
即 $RS$ 操作会得到 $q^{-1}·m$ 的近似加密 $ct_{rs}$ ，且这是 $l - 1$ 级的密文。

可以看到 $RS$ 每次操作后，密文内部的缩放因子 $Δ\Delta$ 是不变的。

(2) 现在定义RNS-CKKS中的近似基概念

RNS表示的先决条件就是基链中的元素是互素的。

首先我们仍然选择缩放因子为 $Δ=q>0\Delta=q>0$ ，同时我们设置一个预定义的精度 $η\eta$ ，然后我们选择一组基如下:
$C=\{q_0,q_1,...,q_L\}$
$C$ 中的每个元素都需要满足以下条件:
$q_i/q \in (1-2^{-\eta},1+2^{-\eta}),其中q_i遍历C$
发现 $C$ 中的每个元素都是缩放因子 $Δ\Delta$ 的近似，这就是近似基的由来。

重新设置密文模结构如下:
$Q_l=\prod_{i=0}^l q_i$
如此一来每次 $RS$ 操作的元素就变成了 $C$ 中的元素。

很明显可以观察到，现在每次 $RS$ 操作后，密文内部的缩放因子会发生改变，换句话说，这就是RS操作引入的误差，还是利用CKKS的核心思想，只要这个误差足够小，那我们就可以接受。

1.5 近似模交换

(1) 模交换（Modulus—Switching）

MS操作被介绍在BGV12中，

简单来说就是将模 $Q_1$ 下的密文转换为模 $Q_2$ 下的密文。

(2) 基的选择

给出RNS-CKKS中基的选择如下:
$\begin{cases} B=\{p_0,p_1,...,p_{k-1}\} \\ C=\{q_0,q_1,...,q_{l-1}\} \\ D=\{p_0,p_1,...,p_{k-1}, q_0,q_1,...,q_{l-1}\} \\ \end{cases}$
其中， $P=∏i=0k−1piP=\prod_{i=0}^{k-1}p_i$ , $Q=∏j=0l−1qjQ=\prod_{j=0}^{l-1}q_j$ 。

(3) 近似模交换（ $\ \ Modulus \ \ Switching$ ）

RNS-CKKS中的模交换分为两个步骤，分别为 $\ \ Modulus \ \ Raising$ 和 $\ \ Modulus \ \ Reduction$

首先介绍 $\ \ Modulus \ \ Raising$ 算法:

$\ Modulus \ Raising$

$1. in p u t$ :
$[a]_C=(a^{(0)},a^{(1)},...,a^{(l-1)}),where \ a\in \ \mathbb{Z}_Q$
$procedure:ModUp_{C\rightarrow D}([a]_C)$ :
$(\tilde a^{(0)},\tilde a^{(1)},...,\tilde a^{(k-1)})\leftarrow Con_{C\rightarrow D}([a]_C)$
$3. re t r u n$ :
$(\tilde a^{(0)},\tilde a^{(1)},...,\tilde a^{(k-1)},a^{(0)},a^{(1)},...,a^{(l-1)})$

算法分析:

最后得到的RNS表示实际上是 $a~=a+e⋅Q\tilde a=a+e·Q$ 在 $D$ 上的RNS表示。
当误差足够小，我们可以近似的认为得到的是 $a$ 在 $D$ 上的RNS表示。

算法功能描述:

该算法输入 $a∈ZQa\in \mathbb{Z}_Q$ 在 $C$ 上的RNS表示，近似返回 $\in \mathbb{Z}_{PQ}$ 在 $D$ 上的RNS表示。

然后介绍 $\ \ Modulus \ \ Reduction$ 算法:

$\ Modulus \ Reduction$

$1. in p u t$ :
$[\tilde{b}]_D=(\tilde b^{(0)},\tilde b^{(1)},...,\tilde b^{(k+l-1)})=([\tilde b]_B,[\tilde b]_C),其中 \ \tilde b \in \mathbb Z_{P·Q}$
$procedure:ModDown_{D \rightarrow C}([\tilde b]_D)$

$提取[\tilde{b}]_D的前k个元素，可以得到$ :
$[\tilde{b}\ \ mod \ P]_B=(\tilde b^{(0)},\tilde b^{(1)},...,\tilde b^{(k-1)})$
$2.2 进行基变换$ ：
$(\tilde a^{(0)},\tilde a^{(1)},...,\tilde a^{(l-1)})\leftarrow Con_{B\rightarrow C}([\tilde{b}\ \ mod \ P]_B)$
$2.3 计算$ :
$b^{(j)}=P^{-1}·(\tilde{b}^{k+j}-\tilde{a}^{(j)}) \ \ mod \ q_j, for \ \ \ all\ \ \ 0 \leq j \leq l-1$
$3. re t r u n$ :
$b]_C=(b^{(0)},b^{(1)},...,b^{(l-1)})$

算法分析:

由 $[b~]D[\tilde{b}]_D$ 可以计算得到 $b~∈ZP⋅Q\tilde{b} \in \mathbb{Z}_{P·Q}$ ，而由 $[b~]B[\tilde{b}]_B$ 只能得到 $P∈ZP\tilde{b} \ \ mod \ P \in \mathbb{Z}_P$ ，由 $[b~]C[\tilde{b}]_C$ 只能得到 $Q∈ZQ\tilde{b} \ \ mod \ Q \in \mathbb{Z}_Q$ 。
在2.3步骤的计算中，每一次计算的值为:

$b^{(j)}=P^{-1}·(\tilde{b}-(\tilde{b} \ \ mod \ P)-e·P \ \ (mod \ q_j)$

也就是说最后输出的结果为:

$[b]_C=[P^{-1}·(\tilde{b}-(\tilde{b} \ \ mod \ P)-e·P)]_C$

即此时我们可以根据 $b]_C$ 计算得到:

$b=P^{-1}·(\tilde{b}-(\tilde{b} \ \ mod \ P)-e·P)\in \mathbb{Z}_Q$

实际上这是一个近似值:

$b\approx P^{-1}·\tilde{b}$

算法功能描述:

该算法输入 $b~\tilde{b}$ 在 $D$ 上的RNS表示，近似返回 $b≈P−1⋅b~b\approx P^{-1}·\tilde{b}$ 在 $C$ 上的RNS表示。

(4) 算法扩展

$ModUpC→D(⋅)ModUp_{C\rightarrow D}(·)$ 和 $ModDownD→C(⋅)ModDown_{D\rightarrow C}(·)$ 可以直接扩展到多形式环中，如下所示:
$\begin{cases} ModUp_{C\rightarrow D}(·)&:\prod_{j=0}^{l-1}R_{q_j}\rightarrow \prod_{i=0}^{k-1}R_{p_i} \times \prod_{j=0}^{l-1}R_{q_j} \\ ModDown_{D\rightarrow C}(·)&:\prod_{i=0}^{k-1}R_{p_i} \times \prod_{j=0}^{l-1}R_{q_j} \rightarrow \prod_{j=0}^{l-1}R_{q_j}\\ \end{cases}$
该算法可以实现近似模交换的功能:
$b=ModDown_{D \rightarrow C}(ModUp_{C\rightarrow D}(a))\approx P^{-1}·a$

2. RNS-CKKS算法

将CKKS算法表达到RNS域上，核心是:

$(1)$ 近似模数的选择:

近似模数的选择可以将CKKS的公钥 $p k$ ，计算密钥 $e v k$ ，密文 $c t$ ，放到RNS域上，即普通的RNS分解即可。

$(2) $近似模交换算法:

该算法主要用在KS操作中，KS操作的对象是一个密文和一个计算密钥。

首先通过 $M o d U p (*)$ 算法将 $C_l$ 基上需要进行密钥交换的密文放到 $D_l$ 基上。然后同 $D_l$ 基上的计算密钥进行RNS组件级的乘法。然后通过 $M o d Do w n (*)$ 算法将 $D_l$ 基上的密文重新放到 $C_l$ 基上并乘以 $P^{-1}$ 。

一个 $M o d Do w n (*)$ 算法被用在 $RS (c t)$ 算法中，可以将一个 $C_l$ 基上的密文放到 $C_{l-1}$ 基上并乘以 $q_l^{-1}$ 。

$Setup(q,L,η,1λ)Setup(q,L,\eta,1^{\lambda})$ :

初始化操作

$KSGen(s_1,s_2)$ :

给定两个秘密多项式 $s1,s2∈Rs_1,s_2 \in R$ ，均匀采样 $e′←χerre'\leftarrow \chi _{err}$ 。

以RNS的形式均匀采样元素:
$(a'^{(0)},a'^{(1)},...,a'^{(k+L)})\leftarrow (\prod_{i=0}^{k-1}R_{p_i} \times \prod_{j=0}^{L}R_{q_j})$
输出swk:
$(swk^{(0)}=(b'^{(0)},a'^{(0)}),...,swk^{(k+L)}=(b'^{(k+L)},a'^{(k+L)}))\leftarrow (\prod_{i=0}^{k-1}R_{p_i} \times \prod_{j=0}^{L}R_{q_j})$
其中每一项满足下述关系:
$\begin{cases} b'^{(i)} \leftarrow -a'^{(i)}·s_2+e' \ \ \ (mod \ \ p_i) , \ for \ 0\leq i < k \\ b'^{(k+j)} \leftarrow -a'^{(k+j)}·s_2+[P]_{q_i}·s_1+e' \ \ \ (mod \ \ q_i) , \ for \ 0\leq j < L \\ \end{cases}$

$Key G e n$ :

$s k G e n$ : 采样 $s←χkeys\leftarrow \chi_{key}$ ，设置密钥为 $sk←(1,s)sk\leftarrow (1,s)$ 。

$p k G e n$ : 采样 $e←χerre\leftarrow \chi _{err}$ 。

以RNS的形式均匀采样元素:
$(a^{(0)},a^{(1)},...,a^{(L)})\leftarrow (\prod_{j=0}^{L}R_{q_j})$
输出 $p k$ :
$pk\leftarrow (pk^{(j)}=(b^{(j)},a^{(j)})\in R_{q_j}^2)_{0\leq j \leq L}$
其中 $qj)b^{(j)}\leftarrow -a^{(j)}·s+e\ \ (mod \ q_j)$

$r l k G e n :$
$\leftarrow KSGen(s^2,s)$

$Enc_{pk}(m)$ :

给定消息 $m∈Rm\in R$ ，采样 $v←χencv\leftarrow \chi_{enc}$ 和 $e0,e1←χerre_0,e_1\leftarrow \chi_{err}$ 。输出:
$ct=(ct^{(0)},ct^{(1)},...,ct^{(L)})\in \prod_{j=0}^LR_{q_j}^2$
其中
$ct^{(j)}\leftarrow v·pk^{(j)}+(m+e_0,e_1) \ \ \ (mod \ q_j)$
可以看到消息是没有被RNS分解的。也就是说单独一个RNS组件上就可以解密得到消息 $m$ 。

$Dec_sk(m)$ :
$ct^{(0)},sk> \ \ \ (mod \ q_0)$

$A dd (c t, c t^{'})$

$Mult_{evk}(ct,ct')$ :乘法操作涉及到重线性化操作，即KS操作。

$RS (c t)$ :

$Rotate_{evk}(ct)$ :旋转操作即KS操作。

3.KS算法分析

KS算法包括重线性化操作、旋转操作和共轭操作，下面来详细介绍RNS-CKKS中的KS算法。

由于后续的文章里有对KS算法的优化，而且需要考虑全局的情况，因此这里会对KS算法进行RNS组合，二者对比分析。

3.1 重线性化操作

$RNS$ 分解形式的重线性化操作分析:

给定两个 $l$ 级别的密文 $ct=(ct(j)=(c0(j),c1(j)))0≤j≤lct=(ct^{(j)}=(c_0^{(j)},c_1^{(j)}))_{0\leq j \leq l}$ 和 $ct′=(ct′(j)=(c0′(j),c1′(j)))0≤j≤lct'=(ct'^{(j)}=(c_0'^{(j)},c_1'^{(j)}))_{0\leq j \leq l}$ 。

$do:1.\ For\ \ 0\leq j \leq l \ \ do :$
$d_0^{(j)}\leftarrow c_0^{(j)}c_0'^{(j)} \ \ \ (mod \ q_j) \\ d_1^{(j)}\leftarrow c_0^{(j)}c_1'^{(j)}+ c_1^{(j)}c_0'^{(j)} \ \ \ (mod \ q_j) \\ d_2^{(j)}\leftarrow c_1^{(j)}c_1'^{(j)} \ \ \ (mod \ q_j)$

$2.$ 计算:

$ModUp_{C_l\rightarrow D_l}(d_2^{(0)},d_2^{(1)},...,d_2^{(l)})=(\tilde{d}_2^{(0)},...,\tilde{d}_2^{(k-1)},d_2^{(0)},...,d_2^{(l)})$

如同在CKKS中的重线性化一样，同计算密钥直接计算的是 $d_2$ ，所以这里也需要将 $C_l$ 基上的 $d_2$ 放到重线性化公钥 $r l k$ 所在的 $D_l$ 基上。然后二者执行RNS组件级的乘法。

为什么一定要放到 $D_l$ 基上呢？

如果我们仔细分析 $M o d Do w n (*)$ 算法，可以发现该算法执行完毕后，舍弃的一些基的乘积，正好是算法结束后需要除以掉的部分。在KS操作中，发现舍弃掉的基为 ${p_0,p_1,...,p_{k-1}\}$ ，故这个值是 $P=∏i=0k−1P=\prod_{i=0}^{k-1}$ ，而在RS操作中这个值就是 $q_l$ 。

$3.$ 计算:
$\tilde{ct}=(\tilde{ct}^{(0)}=(\tilde{c}_0^{(0)},\tilde{c}_1^{(0)}),...,\tilde{ct}^{(k+l)}=(\tilde{c}_0^{(k+l)},\tilde{c}_1^{(k+l)}))\in \prod_{i=0}^{k-1}R_{p_i}^2\times \prod_{j=0}^l R_{q_j}^2$
其中
$\tilde{ct}^{(i)}=\tilde{d}_2^{(i)}·rlk^{(i)} \ \ \ (mod \ p_i)$

$\tilde{ct}^{(k+j)}=d_2^{(j)}·rlk^{(k+j)} \ \ \ (mod \ q_j)$

$4.$ 计算:
$(c^00,...,c^0l)←ModDownDl→Cl(c~00,...,c~0k+l)(c^10,...,c^1l)←ModDownDl→Cl(c~10,...,c~1k+l) (\hat{c}_0^{0},...,\hat{c}_0^{l})\leftarrow ModDown_{D_l\rightarrow C_l}(\tilde{c}_0^{0},...,\tilde{c}_0^{k+l}) \\ (\hat{c}_1^{0},...,\hat{c}_1^{l})\leftarrow ModDown_{D_l\rightarrow C_l}(\tilde{c}_1^{0},...,\tilde{c}_1^{k+l})$
$5.$ 输出:
$ct_{mult}=(ct_{mult}^{(0)},ct_{mult}^{(1)},...,ct_{mult}^{(l)})$
其中
$ctmult(j)←(d0(j),d1(j))+(c^0j,c^1j) (mod qj) ct_{mult}^{(j)}\leftarrow (d_0^{(j)},d_1^{(j)})+(\hat{c}_0^{j},\hat{c}_1^{j}) \ \ \ (mod \ q_j)$