Bit Extraction and Bootstrapping for BGV/BFV

参考文献：

[GHS12] Gentry C, Halevi S, Smart N P. Better bootstrapping in fully homomorphic encryption[C]//International Workshop on Public Key Cryptography. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 1-16.
[AP13] Alperin-Sheriff J, Peikert C. Practical bootstrapping in quasilinear time[C]//Annual Cryptology Conference. Berlin, Heidelberg: Springer Berlin Heidelberg, 2013: 1-20.
[HS15] Halevi S, Shoup V. Bootstrapping for helib[J]. Journal of Cryptology, 2021, 34(1): 7.
[CH18] Chen H, Han K. Homomorphic lower digits removal and improved FHE bootstrapping[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Cham: Springer International Publishing, 2018: 315-337.
[GV23] Geelen R, Vercauteren F. Bootstrapping for BGV and BFV Revisited[J]. Journal of Cryptology, 2023, 36(2): 12.

文章目录

GHS12
- Extracting the Top and Bottom Bits
- Lower-Degree Bit Extraction
- Bootstrapping with Packed Ciphertexts
AP13
HS15
- Hypercube structure
- Recryption Procedure
- Linear Transformations
- Parameters for Recryption
CH18
- Digit Removal Algorithm
- Bootstrapping for FV and BGV

GHS12

多项式环 $R:=\mathbb Z[X]/(F(X))$ ，明文空间 $p = 2$ ，密文模数 $\gcd(q,p)=1$ ，BGV 方案的解密分为三步：

计算私钥上的依赖密文的线性函数， $Z=\langle c,s\rangle \bmod F$
模掉密文模数， $e = [Z]_q$ ，这里 $e=2u+\mu \in R$
提取最低比特位， $\mu = [e]_2$

[GHS12] 的一个重要观察是：如果 $q=2^r+1$ ，那么解密过程可以简化。我们用 $z [i]$ 表示整系数 $z$ 的第 $i$ 个比特（索引从 $0$ 开始），用 $z [j : i]$ 表示截取部分比特。

假如 $Z$ 某个系数 $z$ 的规模远小于 $q^2$ 量级（这是合理的，因为 $c$ 的系数规模仅为 $q$ 量级），那么必定有
$\begin{aligned} \big[[z]_q\big]_2 &= \big[z[r-1:0] - z[2r-1:r]\big]_2\\ &= \big[z[0] - z[r]\big]_2\\ &= z[r] \oplus z[0] \end{aligned}$
（仅在自举时）采用新的明文空间 $p'=2^{r+1}$ ，我们将私钥 $s$ 作为空间 $R_{p'}$ 中的明文，加密为 BK 公开
同态计算出 $\pmod{p'}$ ，它的各个系数恰为 $z [r : 0]$ ，我们只需再同态提取出 $z [r]$ 和 $z [0]$ 即可

现在的问题就是，如何同态提取出 $R_{p'}$ 的 MSB 和 LSB？

Extracting the Top and Bottom Bits

[GHS12] 的另一个重要观察是：因为 $p^{'}$ 是二的幂次，从而有
$\begin{aligned} \big[z^2\big]_{p'} &= \big[(z[r:1] \cdot 2^{k} + z[0])^2\big]_{p'}\\ &= \big[z[r:1]^2 \cdot 2^{2k} + z[r:1] \cdot z[0] \cdot 2^{k+1} + z[0]\big]_{p'}\\ &= \big[z[r:1]^2 \cdot 2^{k-1} + z[r:1] \cdot z[0]\big]_{p'/2^{k+1}} \cdot 2^{k+1} + z[0] \end{aligned}$
它保持 LSB 不变，在 LSB 的高位不断插入零。

因此，对于任意的整数 $z=\sum_{i=0}^r 2^i z[i]$ ，初始化 $w_0:=z$ ，计算出
$w_i := \frac{z-\sum_{j=0}^{i-1}2^jw_j^{2^{i-j}} \pmod{2^{r+1}}}{2^i}$
那么就有 $w_i[0] = z[i],\forall i$ ，这便提取出了 MSB 和 LSB。其中的除法 $a/2^i$ 是整除的，因此可以直接计算 $ct \cdot [2^{-i}]_{q}$ 即可。副作用是噪声 $p^{'} u$ 也缩放为了 $p'2^{-i}u = 2^{r-i+1}u$ （侵蚀明文空间高位），因此输出的是 $w_i \in \mathbb Z_{2^{r-i+1}}$ ，特别地 $w_0 \in \mathbb Z_{2^{r+1}}$ 以及 $w_r = \mathbb Z_{2}$ 。当然，这并不影响两者的加和，
$w_r+w_0 \equiv z[r] \oplus z[0] \in \mathbb Z_2$
算法如图所示：

在这里插入图片描述

Lower-Degree Bit Extraction

由于自举需要的明文模数 $p'=2^{r+1}$ 其规模依赖于密文模数 $q=2^r+1$ ，参数 $r$ 越小，则比特提取程序的计算速度和乘法深度都可以降低。[GHS12] 给出了优化技术：在密文 $(c_0,c_1) \pmod q$ 上添加一些 $q$ 的倍数，使得它们的系数都整除 $2^{r'},1\le r'<r$ ，记为 $c_0',c_1')$ ，易知它加密相同的消息。

只要 $c t^{'}$ 的系数依旧远小于 $q^2$ 规模，令 $Z'=c_0'+c_1' \cdot s$ ，易知也有 $2^{r'}|Z'$ ，因此 $z^{'} [0] = 0$ ，从而有 $\mu = z'[r]$ 。进一步的，我们将 $c_0',c_1')$ 整除（等价于求逆）掉 $2^{r'}$ 成为 $c_0'',c_1'')$ ，那么就有 $\mu = z''[r-r']$ ，现在只需要明文模数 $p'=2^{r-r'+1}$ 即可。

Bootstrapping with Packed Ciphertexts

由于自举时采用明文空间 $R_{p'}$ ，其中 $p'=2^{r+1}$ 是二的幂次（而非素数），因此 SIMD 技术存在一些改变。任意素数 $p$ （包括 $p = 2$ ），[GHS12] 将空间 $\mathbb Z/p^t\mathbb Z$ 视为 $p$ -adic integers 的精度 $t$ 近似（局部域——p-进数），定义符号
$\mathbb Z_p := \left\{ \sum_{i=0}^\infty a_i \cdot p^i \Big| a_i \in \mathbb F_p \right\}$
它是 $p$ 上的形式幂级数，表示全部的 $p$ -adic integers。当 $t$ 趋于无穷， $\mathbb Z/p^t\mathbb Z$ 的极限就是 $\mathbb Z_p$ ，因此 $R_{p^t}$ 是 $R_{p^\infty}$ 的精度 $t$ 近似。

Hensel Lifting：素数 $p$ ，整数 $\ge 1$ ，假设 $\in \mathbb Z[X]$ 是首一多项式，并且满足

在模数 $p$ 下， $G, H$ 互素
$\cdot H = F \pmod{p^t}$

那么存在首一多项式 $\bar G,\bar H \in \mathbb Z[X]$ ，使得

$\bar G \equiv G \pmod{p^t}$ 以及 $\bar H \equiv H \pmod{p^t}$
$\bar G \cdot \bar H = F \pmod{p^{t+1}}$

这个定理可以用于将 $p$ 下的解，提升到任意的 $p^t$ 下的解（具体怎么构造的？论文没写）：

模 $p$ 平方自由的多项式 $F$ ，它在模 $p^t$ 下不可约，当仅当它在模 $p$ 下不可约
模 $p$ 平方自由的多项式 $F$ ，它在模 $p^t$ 下的分解，由它在模 $p$ 下的分解唯一确定

这意味这，任意的 $\ge 1$ ， $\pmod{p^t}$ 的明文槽，与 $\pmod{p}$ 的基本相同。

给定分圆多项式 $\Phi_m(X)$ ，假设 $\pmod m$ 的乘法阶是 $d$ ，那么它在模 $p$ 下可以分解为 $l=\phi(m)/d$ 个不同的首一不可约因子，
$\Phi_m(X) = \prod_{j=0}^{l=1} F_j(X) \pmod{p}$
然后利用 Hensel Lifting 定理，可以获得提升后的分解：
$\Phi_m(X) = \prod_{j=0}^{l=1} \bar F_j(X) \pmod{p^t}$
其中 $\bar F_j \equiv F_j \pmod{p}$ 是模 $p^t$ 下首一不可约多项式。根据 CRT，明文槽的结构为：
$(\mathbb Z/p^t\mathbb Z)[X]/(\bar F_j(X)) \cong (\mathbb Z/p^t\mathbb Z)[X]/(G(X)), \forall j=0,\cdots,l-1$
其中 $G (X)$ 是任意的 $\mathbb F_p$ 下 $d$ 次不可约多项式，可以简单地取为 $\bar F_0(X)$ 。简记 $R_{p^t,d}$ 是这个明文槽代数结构，它包含了 $d$ 次本原单位根。 $\mathcal{Gal}(R_{p^t}) \cong (\mathbb Z/m\mathbb Z)^*$ ，所有自同构形如 $\mapsto X^i$ ，

由 $p$ 生成的 $d$ 阶（乘法）循环群，它们是 Frobenius maps，独立地作用在各个槽上
商群 $(\mathbb Z/m\mathbb Z)^*/(p)$ 的阶 $l=\phi(m)/d$ ，它们组成了集合 $[l]$ 上的 sharply transitive permutations，可用于实现明文槽直接的任意置换（Benes Network）

利用这些自同构，可以实现批处理的比特提取（相位的每个系数）。自举基本框架：

同态计算线性函数，获得 $\in R_{2^{r+1}}$
同态计算 Inv-DFT，将 $Z (X)$ 的各个系数转换到明文槽。实际上系数 $\in \mathbb Z_{2^{r+1}}$ 仅存放在 $R_{2^{r+1},d}$ 的基环上（每个密文仅包含 $l$ 个槽，共需要 $d$ 个密文）
同态计算比特提取程序，计算出 $\oplus z[0] \in \mathbb Z_2$ ，它放在了 $R_{2,d}$ 的基环上
同态计算 DFT，将明文槽中的 $\mu_i$ 打包为多项式 $\mu(X) \in R_2$

AP13

[AP13] 采用了 [GHS12] 的简单解密方法，但是没有使用 Benes Network 去执行线性变换，而是利用了 Ring/Feild-Switching 技术，利用 Trace 在分圆塔上移动，实现线性变换的张量分解（tensor decomposition）。然而 [HS15] 指出：由于自举结果只有较少的 Level，因此张量分解也只能是粗粒度的，从而不消耗过多的 Level；同时为了安全性，因为噪声是超多项式的小，切换后的 Ring 应当维度很大；并且使用 [HS18] 的 BSGS 矩阵向量算法后，自举开销主要是比特提取，继续优化线性变换的意义不大。

HS15

[HS15] 最早发在 2015 美密上，之后整合了 [HS18] 的线性变换技术以及 [CH18] 的 “薄” 自举技术，还有一些其他的小优化，重新发表在 2021 密码学杂志上。

[HS15] 将 [GHS12] 的自举技术从只能处理特征 $p = 2$ ，给推广到可以处理任意的素数特征。首先我们确定整数 $z$ 的 base- $p$ representation，

$p = 2$ 时，符号 $z]_2$ 取值范围 ${0,1\}$ ，二补数表示（2’s-complement representation of signed integers）
$\sum_{k=i}^{j-1}2^{k-i}z[k] - 2^{j-i}z[j]$
其中 $\in \{0,1\}$ ，换句话说 MSB 表示了一个很大的负数
$p > 2$ 时，符号 $z]_p$ 取值范围 $[- (p - 1) /2, (p - 1) /2]$ ，平衡 $p$ 进制表示（ balanced base-p representation of signed integers）
$\sum_{k=i}^{j}p^{k-i}z[k]$
其中 $\in [-(p-1)/2,(p-1)/2]$

Hypercube structure

在 HElib 实现中的本地明文空间是 $R_{p^r}$ ，其中 $p$ 是素数， $r$ 是 Hensel Lifting 参数。密文模数 $q$ ，私钥 $\in R$ ，密文 $(c_0,c_1) \in R_q$ ，那么有 $[c_0+c_1 \cdot s]_q = m+p^re \in R$ ，其中 $\in R$ 是短噪声， $\in R_{p^r}$ 是明文。

利用 Hensel Lifting 以及 CRT，分解出 $\Phi_m(X) = \prod_{i=1}^k F_i(X) \pmod{p^r}$ ，每个因子 $F_i$ 的度数都是 $\pmod m$ 的乘法阶 $d$ ，个数为 $k=\phi(m)/d$ ，同构为
$R_{p^r} \cong \bigoplus_{i=1}^k \mathbb Z[X]/(p^r,F_i(X))$
我们定义 $\mathbb Z[X]/(p^r,F_1(X))$ 是明文槽的代数结构，令 $\zeta$ 是 $m$ -th 本原单位根 $X$ 在 $E$ 中所在的剩余类，于是有 $\mathbb Z_{p^r}[\zeta]$

假设 $\subseteq \mathbb Z$ 是商群 $\mathbb Z_m^*/(p)$ 的完全代表（complete system of representatives）， $∣ S ∣ = k$ ，那么就有如下的同构映射，
$\begin{aligned} R_{p_r} &\to \bigoplus_{h \in S} E\\ \alpha &\mapsto \{\alpha(\zeta^h)\}_{h \in S} \end{aligned}$
自同构映射 $\tau_j: \alpha(X) \mapsto \alpha(X^j), \forall j \in \mathbb Z_m^*$ ，它们诱导了明文槽的超立方结构：HElib 记录了超立方基（hypercube basis ） $g_1,\cdots,g_n \in \mathbb Z_m^*$ ，以及它们的阶 $l_1,\cdots,l_n$ （并非是 $\mathbb Z_m^*$ 中的乘法阶），使得 $\mathbb Z_m^*/(p)$ 的代表为
$\{g_1^{e_1} \cdots g_n^{e_n} | 0 \le e_i < l_i\}$
那么，每个元素 $h$ （明文槽）都对应一个索引 $(e_1,\cdots,e_n)$ ，我们将 “固定其他坐标遍历 $e_i$ 坐标的那些槽” 称为维度 $i$ 上的超列（hypercolumn）。我们将超列中的每个槽 $e_i,\cdots)$ 映射到 $(\cdots,e_i+v \pmod{l_i},\cdots)$ 称为维度 $i$ 上的旋转。具体的实现为：

假如 $g_i$ 在 $\mathbb Z_m^*$ 上的乘法阶恰为 $l_i$ ，那么定义 $\rho_i^v(\alpha) := \tau_{g_i^v}(\alpha)$ ，我们称 $i$ 是 “good dimension”（只需一次自同构）
假如 $g_i$ 在 $\mathbb Z_m^*$ 上的乘法阶不是 $l_i$ ，那么定义 $\rho_i^v(\alpha) := \tau_{g_i^v}(\text{mask} \cdot \alpha) + \tau_{g_i^{v-l_i}}((1-\text{mask}) \cdot \alpha)$ ，我们称 $i$ 是 “bad dimension”（需要两次自同构）

除了这些 rotate1D 自同构，循环群 $(p)$ 对应的那些自同构是 Frobenius map，可用于计算明文槽本身的线性变换。假设 $M$ 是明文槽 $E$ 上的 $\mathbb Z_{p^r}$ -线性变换（注意区分各个槽之间的 $E$ -线性变换），那么总存在唯一的常数集 $\theta_0,\cdots,\theta_{d-1}$ ，使得 $M$ 写为如下的线性化多项式（linearized polynomials），
$\sum_{i=0}^{d-1} \theta_i \tau_p^i(a), \forall a \in E$
给定 $M$ 的描述（比如 power basis 的像），可以通过求解模 $p$ 下的线性方程组，获得 mod- $p$ solutions，然后利用 Hensel Lifting 提升到模 $p^r$ 下即可获得 $\theta_i$ 的具体值。对于不同的明文槽，可以执行不同的变换 $M$ ；我们计算出它们的常数后，打包为 $d$ 个多项式，用于同态计算明文槽内部的线性变换。

Recryption Procedure

[HS15] 采取了 [GHS12] 的自举框架：明文模数 $p^r$ ，密文模数 $q=p^e+1$ ，自举需要的明文模数为 $p^{e+r}$ ，那么

首先计算 $[\langle sk,ct \rangle]_{p^{e+r}}$
然后计算 $\pmod{p^r}$

为了降低乘法深度，可以设置中等规模参数 $\le e' <e$ ，使得密文 $c t^{'}$ 可被 $p^{e'}$ 整除，从而我们计算 $[\langle sk,ct'/p^{e'} \rangle]_{p^{e+r}}$ ，然后输出 $\pmod{p^r}$

[GHS12] 的 ”通过平方插入零“ 的技巧仅适用于 $p = 2$ 的情况，[HS15] 给出了更一般的 Lifting Polynomials，适用于任意的 $p^r$ 情况。由于 [HS15] 采取了带符号的二补数和平衡进制表示，因此解密公式略有不同。

Simpler Decryption Formula：对于任意的素数 $p > 1$ ，整数 $e>r\ge1,\,\, q=p^e+1$ ，假设 $z$ 是满足 $z / q$ 和 $z]_q$ 规模都远小于 $q$ 的整数，具体来说， $|z/q|+|[z]_q| \le (q-1)/2$ ，那么

当 $p = 2$ 时， $[z]_q = z[r-1:0] - z[e+r-1:e] - z[e-1] \pmod{2^r}$
当 $p > 2$ 时， $[z]_q = z[r-1:0] - z[e+r-1:e] \pmod{p^r}$

Reduce the number of digits：对于任意的整数 $e'\ge 1$ 以及 $q > p > 1$ ，使得 $\equiv 1 \pmod{p^{e'}}$ ，任给整数 $z$ 总存在 $\le p^{e'}/2$ ，它使得 $z+v\cdot q \equiv 0 \pmod{p^{e'}}$

The digit-extraction procedure：对于任意的素数 $p$ 和指数 $\ge 1$ ，任意的形如 $z=z_0+p^ez_1,\,\, z_0 \in [p], z_1 \in \mathbb Z$ 的整数，满足 $z^p=z_0 \pmod{p}$ 以及 $z^p = z_0^p \pmod{p^{e+1}}$

由于 $z^p \pmod{p^{e+1}}$ 仅依赖于 $z_0=[z]_{p^e} \in [p]$ 的值，因此可以遍历 $z_0$ 计算出 $z^p \pmod{p^{e+1}}$ 的各个数位，然后采取拉格朗日插值公式（ $f_i(z_0)=z^p[i]$ ），计算出 $f_1,f_2,\cdots$ 序列（有限个非凡的，后续的都是 $f_i=0$ ），它们的度数至多为 $p - 1$ 。对于任意的 $\ge 1$ 和整数 $z=z_0+p^ez_1,\,\, z_0 \in [p], z_1 \in \mathbb Z$ ，总满足
$z^p = z_0 + \sum_{i=1}^e f_i(z_0)p^i \pmod{p^{e+1}}$
因此，对于任意的 $\ge 1$ ，我们定义 $\deg=p$ 的多项式：
$F_e(X) = X^p - \sum_{i=1}^e f_i(X)p^i$
对于任意的 $\le e' \le e$ ，任给形如 $z=z_0+p^{e'}z_1,\,\, z_0 \in [p], z_1 \in \mathbb Z$ 的整数，都有 $F_e(z) = z_0 \pmod{p^{e'+1}}$ ，这便实现了 “高位插入零” 的效果。通过 $F_e$ 的复合迭代，它可以将 $z_0+pz_1$ 映射为 $z_0 \pmod{p^{e+1}}$ ，从而实现 LSB 的提取。再将 LSB 不断移除，也可以实现 MSB 的提取。

在这里插入图片描述

特别地，对于 $p = 2, 3$ ，恰好是 $F_e(X)=X^p, \forall e$ ，这便是 [GHS12] 所使用的平方技巧。

Linear Transformations

本地明文空间 $\mathbb Z_{p^r}[X]/(\Phi_m(X))$ ，我们考虑 $m$ 的分解 $m_1\cdots m_t$ ，它们两两互素（比如素数幂分解），那么 $\in \mathbb Z_m$ 可以写作 $h=\text{CRT}(h_1,\cdots,h_t), h_i \in [m_i]$

商群 $\mathbb Z_{m}^*/(p)$ 的超立方结构：

我们令 $p\pmod{m_1}$ 的乘法阶是 $d_1$ ，对于 $i\ge 2$ 定义 $d_i$ 是 $p^{d_1\cdots d_{i-1}} \pmod{m_i}$ 的乘法阶，那么 $d:=d_1\cdots d_t$ 就是 $\pmod{m}$ 的乘法阶。
我们令 $S_i \subseteq [m_i]$ 是商群 $\mathbb Z_{m_i}^*/(p^{d_1\cdots d_{i-1}})$ 的完全代表，那么 $S:=\text{CRT}(S_1,\cdots,S_t)$ 就是 $\mathbb Z_{m}^*/(p)$ 的完全代表。

现在我们需要将这里的 $S:=\text{CRT}(S_1,\cdots,S_t)$ 和前两节的 $\{g_1^{e_1} \cdots g_n^{e_n} | 0 \le e_i < l_i\}$ 统一起来，这限制了 $m$ 的选取：

限制 $m$ 及其分解，使得 $\mathbb Z_{m_i}^*/(p^{d_1\cdots d_{i-1}})$ 是循环群，
- 生成元 $\bar g_i \in [m_i]$ ，乘法阶 $k_i$
- 集合 $S_i:=\{\bar g_i^{e_i}| 0\le e_i<k_i\}$
- 定义 $g_i=\text{CRT}(1,\cdots,\bar g_i,\cdots,1) \in [m]$ 是超立方基，那么 $S$ 的那两种定义是同一个
限制 $m$ 及其分解，使得 $d_1=d$ 和 $d_2=\cdots=d_t=1$ ，
- $p$ 在 $\mathbb Z_{m_1}^*$ 的阶，就是 $p$ 在 $\mathbb Z_m^*$ 的阶 $d$
- $g_i,\forall i\ge 2$ 在 $\mathbb Z_m^*$ 的阶，就是 $\bar g_i$ 在 $\mathbb Z_{m_i}^*/(p^d)=\mathbb Z_{m_i}^*$ 的阶 $k_i$
- $k_1=\phi(m_1)/d$ ， $k_i=\phi(m_i),\forall i\ge 2$

[HS15] 将编码解码的线性变换视为多项式的多点求值。利用 [LPR13] 的 Powerful Basis，存在如下的同构：
$R_{p^r}:=\mathbb Z[X]/(p^r,\Phi_m(X)) \cong R_{p^r}':=\mathbb Z[X_1,\cdots,X_t]/(p^r,\Phi_{m_1}(X),\cdots,\Phi_{m_t}(X))$
其同构映射为 $X_i \mapsto X^{m/m_i}$ 。由于 $E$ 包含 $m$ -th 本原单位根 $\zeta$ ，我们定义 $\zeta_i:=\zeta^{m/m_i}$ ，那么 $\alpha(\zeta^h) = \alpha'(\zeta_1^{h_1},\cdots,\zeta_t^{h_t})$ ，其中 $h=\text{CRT}(h_1,\cdots,h_t) \in S$ ，并且 $h_i=g_i^{e_i} \in S_i$

现在，我们对 $\alpha'(X_1,\cdots,X_t)$ 在多个点 $(\zeta_1^{h_1},\cdots,\zeta_t^{h_t})$ 上求值（效果是 Slot-to-Coeff）：
$\begin{aligned} \alpha'(X_1,\cdots,X_t) &= \sum_{j_1,j_2,\cdots,j_t} c_{j_1,j_2,\cdots,j_t}\cdot X_1^{j_1}X_2^{j_2}\cdots X_t^{j_t}\\ &= \sum_{j_2,\cdots,j_t} \left(\sum_{j_1} c_{j_1,j_2,\cdots,j_t}\cdot X_1^{j_1}\right)\cdot X_2^{j_2}\cdots X_t^{j_t} \end{aligned}$

其中 $j_i \in [\phi(m_i)]$ （考虑下 $\phi(m)$ 的分解），因此关于 $X_1$ 的每个小多项式的长度为 $\phi(m_1)$ ，共有 $\phi(m)/\phi(m_1)$ 个小多项式。

[HS15] 采取的编码方式是，将它们的连续 $d$ 个系数打包在单个槽内，总共需要 $\phi(m_1)/d$ 个明文槽。恰好我们选择的参数下，包含 $\phi(m)/\phi(m_1)$ 条长度为 $k_1=\phi(m_1)/d$ 的维度 $1$ 超列，因此每条维度 $1$ 的超列都记录一个小多项式。

[HS15] 定义了 Eval 线性变换，它用于多点求值 $\alpha'(X_1,\cdots,X_t)$ ，共分为 $t$ 个截断，

第 $1$ 阶段，小多项式 $P_{j_2,\cdots,j_t}(X_1) = \sum_{j_1} c_{j_1,j_2,\cdots,j_t}\cdot X_1^{j_1}$ 存放在索引 $(\star,j_2,\cdots,j_t)$ 的维度 $1$ 超列，
- 关于多点 $\zeta_1^{g_1^{e_1}},0\le e_1<k_1$ 的求值可以写作某线性变换 $M_1: \mathbb Z_{p^r}^{d\cdot k_1} \to E^{k_1}$ （多项式的系数表示就是 power basis 下的坐标），可以利用 [HS18] 的 BSGS 技巧
- 计算结果是各个 $e_1$ 索引的更少变元的若干多项式
  $A_{e_1} = \alpha'(\zeta_1^{g_1^{e_1}},X_2,\cdots,X_t)$
  它的系数存放在索引 $(e_1,\star,\cdots,\star)$ 的子超立方
第 $2$ 阶段，我们将 $A_{e_1}$ 继续拆分为关于 $X_2$ 的小多项式求值，
$\begin{aligned} A_{e_1}(X_2,\cdots,X_t) &= \sum_{j_2,j_3,\cdots,j_t} P_{j_2,j_3,\cdots,j_t}(\zeta_1^{g_1^{e_1}})\cdot X_2^{j_2}X_3^{j_3}\cdots X_t^{j_t}\\ &= \sum_{j_2,j_3,\cdots,j_t} \left(\sum_{j_2} P_{j_2,j_3,\cdots,j_t}(\zeta_1^{g_1^{e_1}})\cdot X_2^{j_2}\right)\cdot X_3^{j_3}\cdots X_t^{j_t} \end{aligned}$
这些小多项式 $Q_{e_1,j_3,\cdots,j_t}(X_2)$ 被存放在索引 $(e_1,\star,j_3,\cdots,j_t)$ 的维度 $2$ 超列，类似地执行线性变换 $M_2$ 计算出它们，获得索引 $(e_1,e_2,\star,\cdots,\star)$ 的子超立方
对于 $3,\cdots,t$ 阶段，也是类似的

对于 Coeff-to-Slot 过程，就是上述 Eval 变换的逆过程。

由于 digit-extraction 是作用在明文槽基环 $\mathbb Z_{p^{e+r}}$ 上的，因此需要利用 Frobenius map 构造 $E$ -线性映射的线性化多项式，将明文槽内的各个 power basis 的系数分解到 $d$ 个 “稀疏打包”（明文仅在基环内）的密文。现在可以执行数字提取了，最后还需将 $d$ 个密文重新组合为 “密集打包” 的单个密文，从而可执行 Eval 运算。

当然，[HS15] 也参考 [CH18] 给出了 “薄自举”，也就是明文本身就是稀疏打包的，此时可以将比特提取的过程减少为单个密文，效率基本提升了 $d$ 倍（线性变换很快，主要是比特提取）。

Parameters for Recryption

在使用 HElib 时，需要设置合适的参数，使之支持自举程序。然而它并没有提供参数生成的程序。参数集应当满足的条件是：设置特征 $p$ 和明文槽长度 $n$

$m$ 和 $p$ 互素，从而 $p$ 是 $\mathbb Z_m^*$ 中的元素
$p$ 模 $m$ 的乘法阶 $d$ 被 $n$ 整除，从而 $E$ 中存在维度 $n$ 的子环
$m$ 被分解为素数幂 $m_1,\cdots,m_t$ ，存在某个 $m_{i^*}$ 使得 $p$ 模 $m_{i^*}$ 的乘法阶也是 $d$ ，从而 $\mathbb Z_m^*/(p)$ 的阶是 $k=\phi(m)/d$
重排使得 $m_{i^*}$ 成为 $m_1$ ，计算循环群 $\mathbb Z_{m_1}^*/(p)$ 的生成元 $\bar g_1$ 和阶 $l_1$ ，然后用 CRT 提升为 $\mathbb Z_m^*$ 的生成元 $g_1$
对于 $i > 1$ ，继续计算循环群 $\mathbb Z_{m_i}^*/(p^d)$ 的生成元 $\bar g_i$ 和阶 $l_i$ ，然后用 CRT 提升为 $\mathbb Z_m^*$ 的生成元 $g_i$
事实上 $p^d \pmod{m_i}=1$ ，因此 $g_i, \forall i>2$ 在模 $m$ 下的阶就等于在模 $m_i$ 下的阶（good dimension），从而超立方的一维旋转是高效的
HElib 要求将 $ord(g_i \bmod m_i)=ord(g_i \bmod m)$ 的排在最前面，因此将上述结果反序

[HS15] 测试了一些参数下的性能，

“thick” 版本的自举：用于稠密打包的明文，耗时较多。

在这里插入图片描述

“thin” 版本的自举：专用于稀疏打包的明文，计算效率提高了大约 $d$ 倍。它需要先执行 Slot-to-Coeff 变换（Froward-DFT），因此要求 min capacity 剩余；在末尾不执行它，因此 after capacity 也相对更大。

在这里插入图片描述

CH18

[HS15] 的比特提取程序的复杂度严重依赖明文模数 $p^r$ 的规模，对于较大的明文规模速度很慢。[CH18] 提出了更适合较大明文模数的自举算法，并给出 BFV 的第一个自举实现。此外，[CH18] 提出了 “瘦模式” 的自举，也就是 HElib 中的 “薄自举”。

Digit Removal Algorithm

[HS15] 采用 lifting polynomials 在 LSD 高位依次插入零，而 [CH18] 使用 lowest digit removal polynomials 直接计算出 LSD

简记 $u_{i,j}$ 表示 $u[i]+(p^{i+j+1})$ 等价类，或者说 $u[i]\pmod{p^{i+j+1}}$

在这里插入图片描述

在 [GHS12] 和 [HS15] 的比特提取程序中，利用 $F_e(X)$ 从 $u_{i,0}$ （绿色数字）迭代计算出 $u_{i,e-i-1}$ （同一行的蓝色数字），然后从 $u$ 中减去 $u_{k,i+1-k}\cdot p^{k},k\le i$ （所在的反对角线）获得 $u_{i+1,0}$ （下一行的绿色数字）。

在上述运算中， $u_{0,e-1}=F_e^{e-1}(u_{0,0})$ ，由于 $F_e(X)$ 本身就是 $p$ 次多项式，因此计算 $u_{0,e-1}$ 的多项式度数是 $p^{e-1}$ ，需要的乘法深度较大（度数更大，乘法数量不一定多，但是乘法深度一定大）。

[CH18] 指出：对于任意素数 $p$ 和指数 $\ge 1$ ，从存在度数至多 $(e - 1) (p - 1) + 1$ 的多项式 $f (x)$ ，它将整数 $\le x < p^e$ 映射为
$\equiv x-[x]_p \pmod{p^e}$
它可以直接移除 LSD（不过它无法移除其他的 digits，因此依旧需要和 lifting polynomials 组合使用），从而 $g (x) := x - f (x)$ 就是提取 LSB 的度数至多 $(e - 1) (p - 1) + 1$ 的多项式。

这个多项式的具体构造：首先定义如下的函数，
$F_A(x) := \sum_{j=0}^\infty (-1)^j {A+j-1 \choose j}{x \choose A+j}$
它的功能是将 $M\ge A$ 映射到 $F_A(M)=1$ ，其余的是 $F_A(M)=0$ （一个输入固定为 $A$ 的比较函数）

我们继续定义如下函数，其中的系数 $a (m)$ 是 $F_{p},F_{2p},\cdots$ 的 $x^m$ 系数累加，
$\hat f(x) = p\sum_{j=1}^\infty F_{jp}(x) = \sum_{m=p}^\infty a(m){x \choose m}$
它的功能是计算 $\max_k\{x\ge kp\}$ 或者说 $x-[x]_p$

我们实际只需要 $x-[x]_p \pmod{p^e}$ 等价类，而非 $x-[x]_p \in \mathbb Z$ 本身，因此只需要它的有限截断（更高的那些 $x^m$ 不再影响 $u [e - 1 : 0]$ 内的数据）：
$\sum_{m=p}^{(e-1)(p-1)+1} a(m){x \choose m}$
利用上述构造的 $f (x), g (x)$ ，假定我们想要移除最低的 $v$ 个数位，那么需要计算出 $\pmod{p^e},u[1]\pmod{p^{e-1}},\cdots,u[v-1]\pmod{p^{e-v}}$ ，计算过程为：根据 $u_{i,0}$ （绿色数字）直接计算 $g (x)$ 获得 $u_{i,e-i-1}$ （红色数字），还需迭代计算 $F_e$ 获得 $u_{i,v-i-1}$ （同一行的蓝色数字）用于获取 $u_{i+1,0}$ （下一行的绿色数字）。

在这里插入图片描述

复杂度分析：

为了计算 $u_{i,0}$ ，需要 $u$ 减去反对角线上的那些数字， $u_{0,i}=F_e^i(u)$ 的次数为 $p^i$ ， $u_{1,i-1}=F_e^{i-1}(u_{1,0})$ 的次数也是 $p^i$ ，其他的也都是，因此计算 $u_{i,0}$ 的多项式次数为 $p^i$
在 [HS15] 方法中，计算 $u_{i,e-i-1}$ 需要计算 $F_e^{e-i-1}(u_{i,0})$ ，它自身的次数为 $p^{e-i-1}$ ，总的度数为 $p^{e-1}$
在 [CH18] 方法中，计算 $u_{i,e-i-1}$ 需要计算 $g(u_{i,0})$ ，它自身的次数仅为 $(p - 1) (e - i - 1) + 1$ ，总的度数为 $ep^{v}$
当 $\le e-1$ 并且 $p > e$ 时（较大的明文模数），[CH18] 的方法复杂度更低

如果计算某些蓝色数字时，满足了条件 $p^l>(p-1)(e-i-1)+1$ ，那么可以直接使用红色数字（比同一行的蓝色数字含有更多的高位零，因此必定是正确的）来构造下一行的绿色数字，多项式的度数会更低。[CH18] 的数位移除程序为：

在这里插入图片描述

Bootstrapping for FV and BGV

对于 BGV 自举：

密文模数需要和明文特征互素，选取 $q=p^e+1$
相位 $p^rv+m]_{q}$ ，
- 明文放大 $p$ 倍：计算 $ct \cdot [p]_q$ ，相位变为 $p^{r+1}v+pm]_{q}$
- 明文缩小 $p$ 倍（要求 $\mid m$ ）：计算 $ct \cdot [p^{-1}]_q$ ，相位变为 $p^{r-1}v+m/p]_{q}$

对于 BFV 自举：

密文模数和明文特征之间没有要求，选取 $q=p^e$
相位 $p^{e-r}m+v]_q$ ，
- 明文放大 $p$ 倍：将 $\Delta=p^{e-r}$ 修改为 $\Delta'=p^{e-r-1}$ ，相位依旧是 $[p^{e-r-1}\cdot pm+v]_q$
- 明文缩小 $p$ 倍（要求 $\mid m$ ）：将 $\Delta=p^{e-r}$ 修改为 $\Delta'=p^{e-r+1}$ ，相位依旧是 $[p^{r-1+1}\cdot m/p + v]_{q}$

采取 [HS15] 对 BGV 自举的框架，[CH18] 对于 BFV 自举的框架为：

在这里插入图片描述

此外，[CH18] 对于 “稀疏打包” 的明文，提出了 “slim mode” 版本的自举。需要注意的是，它首先在待自举的密文上执行 Slot-to-Coeff 线性变换，因此要求输入密文的 Level 不能被消耗殆尽，必须能够支撑这个线性变换。当然，它的数字提取之后不必执行 Slot-to-Coeff 变换，因此输出密文的 Level 也会稍大一点。

在这里插入图片描述