Full-RNS BGV/BFV

参考文献：

[BV11] Brakerski Z, Vaikuntanathan V. Fully homomorphic encryption from ring-LWE and security for key dependent messages[C]//Annual cryptology conference. Berlin, Heidelberg: Springer Berlin Heidelberg, 2011: 505-524.
[GHS12] Gentry C, Halevi S, Smart N P. Homomorphic evaluation of the AES circuit[C]//Annual Cryptology Conference. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 850-867.
[CP16] Crockett E, Peikert C. Λολ: Functional Lattice Cryptography[C]//Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016: 993-1005.
[BEHZ16] Bajard J C, Eynard J, Hasan M A, et al. A full RNS variant of FV like somewhat homomorphic encryption schemes[C]//International Conference on Selected Areas in Cryptography. Cham: Springer International Publishing, 2016: 423-442.
[HPS19] Halevi S, Polyakov Y, Shoup V. An improved RNS variant of the BFV homomorphic encryption scheme[C]//Topics in Cryptology–CT-RSA 2019: The Cryptographers’ Track at the RSA Conference 2019, San Francisco, CA, USA, March 4–8, 2019, Proceedings. Springer International Publishing, 2019: 83-105.
[KPZ21] Kim A, Polyakov Y, Zucca V. Revisiting homomorphic encryption schemes for finite fields[C]//Advances in Cryptology–ASIACRYPT 2021: 27th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, December 6–10, 2021, Proceedings, Part III 27. Springer International Publishing, 2021: 608-639.

文章目录

RNS Basis Extension
- $\gamma$ -correction technique
- Retrieve the Overflow
Modulus-Switching and Scaling in RNS
- Simple Reduction
- Modulus-Switching for BGV
- Scaling for BFV
- - Simple scaling
  - Complex scaling
  - Scaling between Arbitrary RNS Bases
Key-Switch in RNS
- Brakerski-Vaikuntanathan
- Gentry-Halevi-Smart
- Hybrid
- Complexities and Size

RNS Basis Extension

一般地，FHE 需要很大的模数 $Q$ ，将它写作 $Q=\prod_{i=1}^L q_i$ ，满足 $q_i=1\pmod{2N}$ ，我们简记 $Q_i=q_1\cdots q_i$ ，集合 ${q_i\}$ 称为 RNS basis，它们的大小至多为 $64$ 比特。我们希望 FHE 的全部运算都是单精度的（现代计算机的机器字），也就是全部运算都在 RNS 下完成，而不需要多精度算术。

不同的 RNS 之间的转换，将环元素 $\in \mathcal R_Q$ 从模数 $Q=q_1\cdots q_k$ 下的 $a]_Q$ 转换到模数 $P=p_1\cdots p_l$ 下的 $a]_Q]_P$ ，可以直接在 RNS 下计算：
$\text{FastBaseExt}(a,Q,P) = \left\{ \sum_{i=1}^k \left[ a \cdot \left(\dfrac{Q}{q_i}\right)^{-1} \right]_{q_i} \cdot \dfrac{Q}{q_i} \pmod{p_j} \right\}_{j=1,\cdots,l}$
我们简记 $q_i^*:=Q/q_i$ 和 $\tilde q_i:=(Q/q_i)^{-1} \pmod{q_i}$ ，满足 $q_i^* \cdot \tilde q_i\equiv 1 \pmod{q_i}$ ，那么根据 CRT 合成定理，
$\sum_i [a \cdot \tilde q_i]_{q_i} \cdot q_i^* = [a]_Q + u \cdot Q \in \mathbb Z$
其中的 $\|u\|_\infty \le k/2$ 称为 $Q$ -overflow，因此算法 $\text{FastBaseExt}(a,Q,P)$ 输出的只是 $a]_Q]_P$ 的近似值 $[[a]_Q + u \cdot Q]_P$

在有些实例中， $u$ 的影响几乎可忽略；但是还有一些实例中， $u$ 可能会导致较为显著的噪声增长，需要想办法去除它。

我们滥用符号， $Q, P$ 代表对应的 RNS basis 集合， $a]_Q$ 代表它的 RNS 表示。

$\gamma$ -correction technique

BFV 的一个关键计算是
$\left\lfloor \dfrac{P}{Q}[a]_Q \right\rceil = \dfrac{P \cdot[a]_Q - [Pa]_Q}{Q} \in \mathcal R_P$
因为上述运算是整除法，因此可以用模乘逆元替代， $\cdot[a]_Q - [Pa]_Q) \cdot Q^{-1} \pmod P$

[BEHZ16] 采取整数指令，额外引入和 $P, Q$ 互素的整数 $\gamma$ ，假设 $[a]_Q=Q/P \cdot m+e+Qr$ ，将 $a]_Q$ 加倍 $\gamma$ ，那么
$\begin{aligned} &\,\, \text{FastBaseExt}(\gamma Pa,Q,\gamma P) \cdot [-Q^{-1}]_P\\ =&\,\, [[\gamma Pa]_Q + u \cdot Q]_{\gamma P} \cdot [-Q^{-1}]_{\gamma P}\\ =&\,\, \left\lfloor \dfrac{\gamma P}{Q}[a]_Q \right\rceil - u\\ =&\,\, \gamma \cdot (m + Pr) + \left\lfloor \dfrac{\gamma Pe}{Q} \right\rceil - u \end{aligned}$
当 $\gamma$ 满足某条件时（文章中写的我看不懂，它没解释），RNS 的关于 $\gamma$ 的部分，满足
$\left[ \left\lfloor \dfrac{\gamma Pe}{Q} \right\rceil - u \right]_\gamma = \left\lfloor \dfrac{\gamma Pe}{Q} \right\rceil - u \in \mathcal R$
于是，纠错方式为：
$[m]_P = \left(\left[ \gamma \cdot (m + Pr) + \left\lfloor \dfrac{\gamma Pe}{Q} \right\rceil - u \right]_P - \left[ \left\lfloor \dfrac{\gamma Pe}{Q} \right\rceil - u \right]_\gamma\right) \cdot [\gamma^{-1}]_P$

不过，[BEHZ16] 的这个方法只能缓解，并没有根本地解决 $Q$ -overflow 的问题。而 [HPS19] 的方法可以完全移除它。

Retrieve the Overflow

[HPS19] 采取浮点指令，直接计算 $u$ 的值（精度受限的），
$\begin{aligned} u &= \left\lfloor \dfrac{\sum_i [a \cdot \tilde q_i]_{q_i} \cdot q_i^*}{Q} \right\rceil = \left\lfloor \sum_{i=1}^k \dfrac{[a \cdot \tilde q_i]_{q_i}}{q_i} \right\rceil \end{aligned}$
于是 $[a]_Q = (\sum_i [a \cdot \tilde q_i]_{q_i} \cdot q_i^*) - u \cdot Q$ ，纠错方式为：
$[[a]_Q]_P = \text{FastBaseExt}(a,Q,P) -u\cdot [Q]_P$

具体步骤：预计算 $[q_i^*]_{p_j},\forall i \in [k],\forall j \in [l]$ ，预计算 $[\tilde q_i]_{q_i},\forall i \in [k]$ ，预计算 $[Q]_{p_j},\forall j \in [l]$

输入 $a]_Q$ 的 RNS 表示 $(a_1,\cdots,a_k)$ ，其中 $a_i=[a]_{q_i}$
使用单精度整数指令，计算 $y_i=[a_i \cdot \tilde q_i]_{q_i}$
使用单精度浮点指令，计算 $z_i = y_i/q_i$
计算出 $u=\lfloor \sum_i z_i \rceil \in\mathbb Z_k$
在 $Q$ 的 RNS 下，计算 $x_i = a_i \cdot [\tilde q_i]_{q_i} \pmod{q_i}$
在 $P$ 的 RNS 下，计算 $A_j'=\sum_i x_i \cdot [q_i^*]_{p_j} \pmod{p_j}$
纠正错误， $A_j=A_j' - u \cdot [Q]_{p_j}$
输出 $[a]_{P} = \{A_1,\cdots,A_l\}$ ，易知 $[a]_Q \cup [a]_P = [a]_{PQ}$

因为浮点数精度是有限的，因此实际计算出的数值为 $z_i^*=z_i+\epsilon_i$ ，最终得到 $u^*=\lfloor\sum_i z_i^*\rceil$ ，总噪声是 $\epsilon=\sum_i \epsilon_i$ ，使用 IEEE-754 double 那么有 $\epsilon < k \cdot 2^{-53}$ 。我们定义 $\mathbb Z+[0.5-\epsilon, 0.5+\epsilon]$ 是 possible-error region，一旦 $\sum_i z_i^*$ 落入这个区间，就应当采取高精度算术。不过，即使忽略它也影响不大，仅仅对噪声增长有一个极小的贡献。

Modulus-Switching and Scaling in RNS

Simple Reduction

输入 $\in \mathbb Z_{PQ}$ 的 RNS 表示，记为 $(x_1,\cdots,x_k,x_1',\cdots,x_l')$ ，分别对应到 $Q=\prod_i q_i$ 和 $P=\prod_j p_j$

RNS 下的模约减：为了计算 $\pmod Q$ ，简单删除 $P$ 的分量，输出 $[x]_Q=(x_1,\cdots,x_k)$

RNS 下的整除法：假设 $P ∣ x$ （易知 $x_j'=0$ ），为了计算 $x / P$ ，预计算 $P]_{q_i}$ ，在线计算 $[x/P]_Q = ([x_1\cdot P]_{q_1},\cdots,[x_k\cdot P]_{q_k})$

注意 RNS 系统不是数位系统（positional system），不能计算 $\mathbb Z$ 上的带余除法，也不能执行比较和舍入运算。因此，对于 BGV、BFV 中的某些必要运算（BGV 模切换、BFV 乘法缩放、秘钥切换、解密），需要设计特殊的解决方案。

Modulus-Switching for BGV

[GHS12] 给出了 BGV 的 Double-CRT 实现，对于 $t = 2$ 平凡明文模数，因为 $q_i=1\pmod t$ 导致实现简单。根据数论，

$\equiv b \pmod q \to ka \equiv kb \pmod{kq}$
$\equiv b \pmod{q} \to a/d \equiv b/d \pmod{q/d},d=\gcd(a,b,q)$
$\equiv b \pmod q,d\mid q \to a \equiv b \pmod{d}$
$\equiv b \pmod{m_i} \to a \equiv b \pmod{lcm(m_i)}$

对于一般的明文模数 $t$ ，令它是大素数（例如 $t=2^{16}+1$ ），给定密文 $\in \mathcal R_{Q_k}^2$ ，我们计算特殊的 $c^\dagger \in \mathcal R^2$ （系数在 $\mathbb Z$ 上），满足

解密条件： $c^\dagger \equiv c \cdot q_k \pmod t$ ，

LSD编码，因为 $\cdot s \equiv m+te \pmod{Q_k}$ ，假如小噪声 $m + t e$ 不回绕 $Q_{k-1}$ ，从而 $cs]_{Q_k}=[cs]_{Q_{k-1}}$ 就是 $\in \mathbb Z^N$ 的精确值，进而得到 $cs]_{Q_{k-1}}]_t = [m+te]_t = [m]_t$

假如噪声 $q_k(m+te)$ 不回绕 $Q_{k}$ ，那么 $[[c^\dagger s]_{Q_{k}}]_t = [q_k(m+te)]_t=[q_km]_t$
噪声条件： $\delta=c^\dagger-c$ 的范数较小
整除条件： $q_k\mid c^\dagger$ ，注意 $\mathbb Z$ 上的整除恰好是 $\mathbb Z_{Q_{k-1}}$ 上的乘以逆元，

于是 $c'=c^\dagger/q_k$ 的系数落在 $Q_{k-1}/2,Q_{k-1})$ 内，并且满足 $[c's]_{Q_{k-1}}=[q_k^{-1}c^\dagger s]_{Q_{k-1}}=[cs]_{Q_{k-1}}$ ，从而 $c^{'}$ 是 $m$ 的密文

我们希望先计算出小差距 $\delta \equiv (q_k-1) \cdot c \pmod t$ ，然后再求出 $c^\dagger$ ，最后计算出 $c'=c^\dagger/q_k$ ，但是输入的 RNS 表示中不存在 $c]_t$ ，导致 $\delta$ 难以计算。[GHS12] 转而计算密文：
$\hat c=[q_k]_t \cdot c \pmod{Q_k}$
它加密了扭曲的消息 $[q_k]_t \cdot m$ （对于 $t = 2$ 特殊情况，恰好不扭转），寻找 $c^\dagger$ 的条件改变为：

解密条件： $c^\dagger \equiv \hat c \pmod t$ ，它使得 $[[c^\dagger s]_{Q_k}]_t = [q_km]_t$
噪声条件： $\delta=c^\dagger-\hat c$ ，注意这儿的变化导致 $\delta \equiv 0 \pmod t$
整除条件： $q_k \mid c^\dagger$ ，计算出 $c'=c^\dagger/q_k$ 它满足 $c's]_{Q_{k-1}}]_t=[q_km]_t$ （似乎不太对）

此时的 $\delta$ 容易计算，算法如下：

输入 $\pmod{Q_k}$ 的 RNS 表示（加密了 $m]_t$ ）
先计算 $\hat c=[q_k]_t \cdot c$ 的 RNS 表示，然后计算 $[\hat c]_{q_k}$ 的系数表示 $\bar c$
我们计算差距 $\delta \in [-q_kt/2.q_kt/2)^N$ ，使得它满足 $\delta \equiv 0 \pmod t$ 以及 $\delta \equiv -\bar c \pmod{q_k}$
计算出 $c^\dagger=\hat c+\delta$ ，易知 $c^\dagger \equiv \hat c \pmod t$ 以及 $c^\dagger \equiv 0 \pmod{q_k}$
最后计算整除 $c'=c^\dagger/q_k \pmod{Q_{k-1}}$ ，通过各分量乘以逆元 $[q_k^{-1}]_{q_i},\forall i\le k-1$
输出 $\pmod{Q_{k-1}}$ 的 RNS 表示（加密了 $q_km]_t$ ）

由于每次模切换都会扭曲消息，因此我们需要实时地追踪它，在同态加法/乘法时也需要调整这个扭曲因子。

Scaling for BFV

[HPS19] 给出了 BFV 的两种缩放程序，前者可用于解密，后者用于 GHS 秘钥切换。

Simple scaling

输入： $\in \mathbb Z_Q$ 的 RNS 表示 $(x_1,\cdots,x_k)$ ，任意的正整数 $t$ （单精度整数）

输出： $y=\lfloor t/Q \cdot x\rceil \in \mathbb Z_t$

类似 CRT Basis Extension 的思路，将 $x]_Q$ 重建为 $x$ ，观察提取出可预计算的部分，
$\begin{aligned} y &= \left\lfloor \dfrac{t}{Q} \cdot x \right\rceil = \left\lfloor \dfrac{t}{Q} \cdot \sum_{i=1}^k x_i \cdot q_i^* \cdot \tilde q_i - u \cdot t \right\rceil\\ &= \left\lfloor \sum_{i=1}^k x_i \cdot \left(\dfrac{t}{q_i} \cdot \tilde q_i\right) \right\rceil - u \cdot t\\ \end{aligned}$
我们预计算其中的常数，分为整数和小数两部分，
$\dfrac{t\tilde q_i}{q_i} = \omega_{i}+\theta_{i},\,\, \omega_{i} \in \mathbb Z_{t},\,\, \theta_{i} \in [-0.5,0.5)$
缩放步骤为：

使用单精度整数指令，计算 $w=[\sum_i x_i \cdot \omega_{i}]_{t}$
使用单精度浮点指令，计算 $v=\lfloor \sum_i x_i \cdot \theta_{i} \rceil \in \mathbb Z_{k}$
合并为 $y=[w+v]_{t}$

同样的，实际计算时存在误差 $\theta_{i}^*=\theta_{i}+\epsilon_{i},\,\, |\epsilon_{i}|<2^{-53}$ ，累计为 $\epsilon=\sum_i x_i \epsilon_{i}$ ，其中 $x_i=[x]_{q_i} \in [-q_i,q_i)$ ，于是 $|\epsilon_j|<2^{-54} \cdot \sum_i q_i$ ，我们应当选取合适的 $k$ 和 $q_i$ ，使得 $|\epsilon_j|<1/4$ 保证舍入是正确的。可能 IEEE-754 double 精度不够，需要使用不标准的 C/C++ long double 或者高精度算术。

Complex scaling

输入： $\in \mathbb Z_{PQ}$ 的 RNS 表示，某正整数 $t$ ，满足 $\in [-PQ/2t, PQ/2t)$ 落在较小范围内

输出： $y=\lfloor t/Q \cdot x\rceil \in \mathbb Z_Q$

抽象地，这可以分为两步完成，

利用 Simple scaling 过程，设置 $Q^{'} = PQ, t^{'} = tP$ ，获得 $\lfloor t'/Q' \cdot x\rceil = \lfloor t/Q \cdot x\rceil \in \mathbb Z_{tP}$ ，丢弃 $t$ 的部分（等价于简单取模）获得 $y'=\lfloor t/Q \cdot x\rceil \in [-P/2,P/2)$ （因为 $x$ 的范围小， $y^{'}$ 是不取模的结果）
利用 RNS Basis Extension 过程，从 $y']_P$ 扩展出 $y']_{PQ}$ ，丢弃 $P$ 的部分，输出 $y=[y']_Q$

其中的 step 1 使用的 $t^{'}$ 是高精度数字，需要先做 RNS 分解，然后分别执行 Simple scaling 过程，不过我们实际上只需要 $y']_{P}$ 而非 $y']_{tP}$ ，并且 $P|\gcd(Q',t')$ ，其实存在更快的算法。

简记 $Q_i^*=Q/q_i=q_i^*P, P_j=Q/p_j=Qp_j^*$ ，计算 $\tilde Q_i=[(Q_i^*)^{-1}]_{q_i}, \tilde P_j=[(P_j^*)^{-1}]_{p_j}$ ，简记 $x_i=[x]_{q_i}, x_j'=[x]_{p_j}$ ，那么
$\begin{aligned} y' &= \left\lfloor \dfrac{t'}{Q'} \cdot x \right\rceil = \left\lfloor \dfrac{t}{Q} \cdot \left(\sum_{i=1}^k x_i \cdot Q_i^* \cdot \tilde Q_i + \sum_{j=1}^l x_j' \cdot P_j^* \cdot \tilde P_j\right) - u \cdot tP \right\rceil\\ &= \left\lfloor \sum_{i=1}^k x_i \cdot \left(\dfrac{t}{q_i} \cdot \tilde Q_iP\right) + \sum_{j=1}^l x_j' \cdot \left(t \cdot \tilde P_jp_j^*\right) \right\rceil - u \cdot tP\\ \end{aligned}$
计算 $y']_P$ 的 RNS 表示，
$[y']_{p_j} = \left[ \left\lfloor \sum_{i=1}^k x_i \cdot \left(\dfrac{t}{q_i} \cdot \tilde Q_iP\right) \right\rceil + x_j' \cdot \left(t \cdot \tilde P_jp_j^*\right) \right]_{p_j}$
需要预计算
$\dfrac{t\tilde Q_iP}{q_i} = \omega_{i}+\theta_{i},\,\, \omega_{i} \in \mathbb Z_{P},\,\, \theta_{i} \in [-0.5,0.5)$
继续将 $w_i$ 分解为单精度整数 $w_{ij}:=[w_i]_{p_j},\forall i\in [k],\forall j \in [l]$ ，另外预计算 $\lambda_j:=[t\tilde P_jp_j^*]_{p_j}, \forall j \in [l]$

输入 $(x_1,\cdots,x_k,x_1',\cdots,x_l')$ ，则 step 1 的步骤为：

使用浮点数指令，计算 $v=\lfloor \sum_i x_i\theta_i \rceil \in \mathbb Z_k$ ，这个是共用的
使用整数指令，计算 $w_j=[\sum_i x_iw_{ij} + \lambda_jx_j']_{p_j}$ ，第二项累加被 $\pmod{p_j}$ 基本消除
合并为 $y']_{p_j}=[v+w_j]_{p_j}$

Scaling between Arbitrary RNS Bases

[KPZ21] 给出了另一种 Simple scaling 的实现，

输入： $\in \mathbb Z_{Q}$ 的 RNS 表示，与 $Q$ 互素的多精度整数 $P$

输出： $\lfloor P/Q \cdot [x]_Q\rceil \pmod P$

在 [BEHZ16] 中，它将舍入运算可以写作整除法，
$\left\lfloor \dfrac{P}{Q} \cdot [x]_Q \right\rceil = \dfrac{P \cdot[x]_Q - [Px]_Q}{Q}$
因此它等价于在 $\mathbb Z_P$ 中乘以逆元，
$\left[ \left\lfloor \dfrac{P}{Q} \cdot [x]_Q \right\rceil \right]_P = \Big[- [Px]_Q\Big]_P \cdot [Q^{-1}]_P$
根据 CRT 组合公式，
$[Px]_Q = \sum_{i=1}^k [Px]_{q_i} \cdot [\tilde q_i]_{q_i} \cdot q_i^* - u \cdot Q$
因此最终结果的 RNS 表示的计算公式为：
$\Big[- [Px]_Q\Big]_{p_j} \cdot [Q^{-1}]_{p_j} = \left[ u - \sum_{i=1}^k [Px]_{q_i} \cdot [\tilde q_i]_{q_i} \cdot q_i^{-1} \right]_{p_j}$
其中 $\|u\|_\infty \le k/2$ ，可以使用 [HPS19] 的浮点数算法来精确计算。

Key-Switch in RNS

输入 $s_A$ 加密的密文 $ct_A=(c_0,c_1)$ ，给定 $s_B$ 加密的 $s_A$ 的密文 $ks_{A \to B}$ ，
$ks_{A \to B} := (ks_0=[a \cdot s_B+te+s_A]_Q, ks_1=[-a]_Q)$
秘钥切换就是同态线性解密，抽象描述为 $c_0+c_1 \cdot E(s_A)$ ，具体地：
$\begin{aligned} ct_B &= c_0\cdot(1,0)+c_1 \cdot ks_{A \to B}\\ &= ([c_0+c_1 \cdot ks_0]_Q, [c_1 \cdot ks_1]_Q) \end{aligned}$
重现性化是一种特殊的秘钥切换：输入密文 $ct=(c_0,c_1,c_2)$ ，给定 $s$ 加密的 $s^2$ 的密文 $r l k$ ，
$(rlk_0=[a \cdot s+te+s^2]_Q, rlk_1=[-a]_Q)$
由于 $(0, 1)$ 就是 $s$ 自身的密文，重现性化的抽象描述为 $c_0+c_1\cdot E(s)+c_2\cdot E(s^2)$ ，具体地：
$\begin{aligned} ct' &= c_0 \cdot(1,0)+c_1\cdot(0,1)+c_2 \cdot rlk\\ &= ([c_0+c_2 \cdot rlk_0]_Q, [c_1+c_2 \cdot rlk_1]) \end{aligned}$
但是 $c_1$ 的规模相对于密文模数 $Q$ 过大，导致秘钥切换中 $ks_{A \to B}$ 的噪声被大幅增长。有两种方法来控制噪声，分别是 [BV11] 和 [GHS12]，以及它们的混合。

Brakerski-Vaikuntanathan

[BV11] 采取数字分解技术，选取 radix- $w$ ，数位是 $l=\lfloor \log_w Q\rceil+1$

分解： $D_{w,Q}(a) = ([a]_w,[\lfloor a/w\rceil]_w,\cdots,[\lfloor a/w^{l-1}\rceil]_w) \in \mathcal R_w^l$ ，
幂次： $P_{w,Q}(a) = ([a]_Q,[aw]_Q,\cdots,[aw^l]_Q) \in \mathcal R_Q^l$
易知 $\langle D(a),P(b)\rangle \equiv ab \pmod Q$

因此，秘钥切换秘钥是：
$ks_{A \to B}^{BV} := (ks_0=[\vec a \cdot s_B+t\vec e+P_{w,Q}(s_A)]_Q, ks_1=[-\vec a]_Q) \in \mathcal R^{l \times 2}_Q$
秘钥切换程序是：
$ct_B = ([c_0+\langle D_{w,Q}(c_1),ks_0\rangle]_Q, [\langle D_{w,Q}(c_1),ks_1\rangle]_Q)$
然而，RNS 系统不是数位系统，上述的 radix- $w$ 分解无法自然地执行。[BEHZ16] 直接使用 RNS 的各个余数作为元素的分解形式，设 $Q=q_1\cdots q_k$ ，简记 $q_i^*=Q/q_i, \tilde q_i=(q_i^*)^{-1}\pmod{q_i}$

分解： $D_{Q}(a) = ([a\tilde q_1]_{q_1},[a\tilde q_2]_{q_2},\cdots,[a\tilde q_k]_{q_k}) \in \mathcal R^k$
幂次： $P_{Q}(a) = ([aq_1^*]_{Q},[aq_2^*]_{Q},\cdots,[aq_k^*]_{Q}) \in \mathcal R_Q^k$
容易验证，它也满足 $\langle D(a),P(b)\rangle \equiv ab \pmod Q$

在 RNS 下，秘钥切换秘钥是：
$ks_{A \to B}^{RNS-BV} := (ks_0=[\vec a \cdot s_B+t\vec e+P_{Q}(s_A)]_Q, ks_1=[-\vec a]_Q) \in \mathcal R^{k \times 2}_Q$
秘钥切换程序是：
$ct_B = ([c_0+\langle D_{Q}(c_1), ks_0\rangle]_Q, [\langle D_{Q}(c_1), ks_1\rangle]_Q)$
[HPS19] 进一步优化，修改为

分解： $D_{Q}(a) = ([a]_{q_1},[a]_{q_2},\cdots,[a]_{q_k}) \in \mathcal R^k$
幂次： $P_{Q}(a) = ([aq_1^*\tilde q_1]_{Q},[aq_2^*\tilde q_2]_{Q},\cdots,[aq_k^*\tilde q_k]_{Q}) \in \mathcal R_Q^k$

因此 $c_1]_Q$ 直接就是 $D(c_1)$ ，于是节约了一些数乘运算。

具体流程，以及对应的复杂度：

在这里插入图片描述

Gentry-Halevi-Smart

[GHS12] 使用临时扩展技术，选取足够大的 $P=p_1\cdots p_l \approx Q$

秘钥切换秘钥为：
$ks_{A \to B}^{GHS} := (ks_0=[a \cdot s_B+te+Ps_A]_{PQ}, ks_1=[-a]_{PQ}) \in \mathcal R^{2}_{PQ}$
秘钥切换程序是：

先在 $PQ$ 下计算 $c_1 \cdot E(s_A)$ ，
$ct_B' = (c_0'=[c_1 \cdot ks_0]_{PQ}, c_1'=[c_1 \cdot ks_1]_{PQ})$
然后计算 $ct_B'$ 整除 $P$ 的差距（满足 $[\delta]_t=0$ 和 $[ct_B']_P=[\delta]_P$ ），
$\delta = (\delta_0=t[-t^{-1}c_0']_P, \delta_1=t[-t^{-1}c_1']_P) \in \mathcal R^{2}_{PQ}$
将 $ct_B'+\delta$ 从 $PQ$ 缩放到 $Q$ （除以 $P$ ，而非简单取模），计算出
$ct_B = \left( \left[c_0+\dfrac{c_0'+\delta_0}{P}\right]_Q, \left[c_1+\dfrac{c_1'+\delta_1}{P}\right]_Q \right)$

在 RNS 下执行，

将 $c_1]_Q$ 利用 RNS Basis Extension 扩展到 $c_1]_Q+uQ]_P$ ，其中的 $\|u\|_\infty \le k/2$ 是 CRT 合成时的 $Q$ -overflow
计算 $c_1]_{PQ}$ 和 $ks_{A \to B}^{GHS}$ 的乘积，得到 $ct_B']_{PQ}$
将 $t^{-1}ct_B']_P$ 利用 RNS Basis Extension 扩展到 $t^{-1}ct_B']_P+u'P]_Q$ ，其中 $\|u'\|_\infty \le l/2$
我们计算出了 $PQ$ 下差距的近似值 $\delta'=\delta+tu'P$ ，再利用 Madulus-Switching / Scaling，计算出 $ct_B]_Q$

其中的 $u, u^{'}$ 可以通过 [BEHZ16] 和 [HPS19] 的技术来消除，但在这里它们都很小，仅对噪声增长有一个可忽略的贡献。

具体流程，以及对应的复杂度：

在这里插入图片描述

Hybrid

BV Key-Switch 的缺点是：密文扩张了 $l$ 倍，需要的 NTT 数量较多。

GHS Key-Switch 的缺点是：模数增大了 $P$ 倍，为了补偿安全损失，要么维度扩大两倍，要么乘法层数减少一半。

一般而言，混合方案的效率和噪声控制是表现更好的。使用一个相对较大的 radix- $w$ ，使得数位 $l=\lfloor \log_w Q\rceil+1$ 很小，以及一个较小规模的 $\approx lw/2$ ，
$ks_{A \to B}^{Hybrid} = ([\vec a \cdot s_B + t\vec e + P\cdot P_{w,Q}(s_A)]_{PQ}, [-\vec a]_{PQ})$
计算流程是：

输入 $ct_A=(c_0,c_1) \in \mathcal R_Q^2$ ，分解 $c_1$ 为 $D_{w,Q}(c_1) \in \mathcal R^l$
计算 $ct_B' = ([\langle D_{w,Q}(c_1), ks_0\rangle]_{PQ}, [\langle D_{w,Q}(c_1), ks_1\rangle]_{PQ})$
利用模切换将它除以 $P$ 缩放到 $Q$ 上，计算出 $ct_B=([c_0+(c_0'+\delta_0)/P]_Q, [c_1+(c_1'+\delta_1)/P]_Q)$

对于 RNS 系统，使用 [BEHZ16] 的类似分解，将 $Q$ 分为 $Q_0,\cdots,Q_d$ ，每个 $Q_i$ 包含 $\alpha\approx k/d$ 个小素数，简记 $Q_i^*=Q/Q_i$ ， $\tilde Q_i=[(Q_i^*)^{-1}]_{Q_i}$

分解函数就是 $\tilde D_Q(a)=([a]_{Q_1},\cdots,[a]_{Q_d}) \in \mathcal R^d$ ，幂次函数定义为
$\tilde P_Q(a) = \left( \left[s_B Q_i^*\tilde Q_i\right]_{Q}, \cdots, \left[s_B Q_i^*\tilde Q_i\right]_{Q} \right) \in \mathcal R^d_Q$
那么，秘钥切换秘钥为：
$ks_{A\to B}^{RNS-Hybrid} = ([\vec a \cdot s_B + t\vec e + P \cdot \tilde P_Q(s_B)]_{PQ}, [-\vec a]_{PQ})$
计算步骤就是 RNS-BV 和 RNS-GHS 的恰当组合，