环面上 FHE 的快速自举：LUT/Automata Blind Rotate

参考文献：

1. [AP14] Alperin-Sheriff J, Peikert C. Faster bootstrapping with polynomial error[C]//Advances in Cryptology–CRYPTO 2014: 34th Annual Cryptology Conference, Santa Barbara, CA, USA, August 17-21, 2014, Proceedings, Part I 34. Springer Berlin Heidelberg, 2014: 297-314.
2. [DM15] Ducas L, Micciancio D. FHEW: bootstrapping homomorphic encryption in less than a second[C]//Advances in Cryptology–EUROCRYPT 2015: 34th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Sofia, Bulgaria, April 26-30, 2015, Proceedings, Part I 34. Springer Berlin Heidelberg, 2015: 617-640.
3. [CGGI16] Chillotti I, Gama N, Georgieva M, et al. Faster fully homomorphic encryption: Bootstrapping in less than 0.1 seconds[C]//Advances in Cryptology–ASIACRYPT 2016: 22nd International Conference on the Theory and Application of Cryptology and Information Security, Hanoi, Vietnam, December 4-8, 2016, Proceedings, Part I 22. Springer Berlin Heidelberg, 2016: 3-33.
4. [GINX16] Gama N, Izabachene M, Nguyen P Q, et al. Structural lattice reduction: generalized worst-case to average-case reductions and homomorphic cryptosystems[C]//Advances in Cryptology–EUROCRYPT 2016: 35th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Vienna, Austria, May 8-12, 2016, Proceedings, Part II 35. Springer Berlin Heidelberg, 2016: 528-558.
5. [XZDDF23] Xiang B, Zhang J, Deng Y, et al. Fast Blind Rotation for Bootstrapping FHEs[C]//Annual International Cryptology Conference. Cham: Springer Nature Switzerland, 2023: 3-36.
6. 初探全同态加密之四：Bootstrapping的原理与实现
7. 分式理想 & 对偶群 & 对偶空间
8. 形式语言与自动机理论
9. FSM, FAM, DFA, NFA 的区别与联系
10. 混淆 OBDD
11. Branching Program（5-PBP）

Blind Rotate

在 Gentry 的蓝图中，FHE 通过对 SWHE 做同态解密，以刷新密文中累计的噪声。以 AP14 的对称版本 GSW 为例，解密函数可以分为两部分，

1. 线性运算：$s^{t}C=e^t+\mu \cdot s^{t}G$，其中 $s=(s^{\prime },1)$ 且 $G$ 的倒数第二列是 $g^{\prime }=(0,\cdots ,0,2^{l-2})$，令 $c$ 是密文矩阵倒数第二列，我们计算内积
   $$⟨s,c⟩\approx \mu \cdot s^t{g}^{\prime }=2^{l-2}\mu$$

   满足 $2^{l-2}\approx (q/4,q/2]$，只要噪声小于 $q/8$ 即可正确解密

2. 纠错运算：我们根据 $2^{l-2}\mu (\mathrm{mod}q)$ 计算出消息 μ ∈ { 0 , 1 } \mu \in \{0,1\} μ∈{0,1}

不失一般性，我们假设 $2^{l-2}\approx q/2$，可容忍 $q/4$ 的噪声。SWHE 对于同态线性函数是特别高效的，但是纠错步骤则很麻烦：对于 MSB 编码，需要计算除法然后园整 ⌊ ⟨ s , c ⟩ q / 2 ⌉ ∈ { 0 , 1 } \Big\lfloor \dfrac{\langle s,c \rangle}{q/2} \Big\rceil \in \{0,1\} ⌊q/2⟨s,c⟩​⌉∈{0,1}，这种布尔电路特别复杂。当然，也可以使用比较电路，阈值为 $\pm q/4$，但这个布尔电路也很复杂。实际上，纠错过程可以通过盲旋转（Blind Rotate），把相位 $q/4$ 旋转角度 $⟨s,c⟩$ 成为 $⟨s,c⟩+q/4$（的密文），那么同态提取 signed int 的符号位即可（消息空间是 { 0 , 1 } \{0,1\} {0,1}，这是直接的）。有两种盲旋转方案：

• [AP14] 将解码函数记为 $f(v),v\in [q]$，然后依次判等 $⟨s,c⟩=v,\exists f(v)=1$，从而得到消息。使用 CRT 将 ${\mathbb{Z}}_q$ 分解为若干个小的对称群 $S_r$，然后利用群 $S_r$ 的同态方案（HEPerm 而非 SWHE）做同态的判等运算。

  之后的 [DM15] 提出了 FHEW 方案，使用特殊的解码函数 $f(v)=1,\forall v\in [q/4,3q/4)$，可转化为 $MSB(v+q/4)$，使用 Homomorphic Accumulator 同态提取。FHEW 使用 RGSW 实例化累加器，消息编码在多项式的指数上。盲旋转：把多项式 $X^{q/4}$ 乘以 $X^v(\mathrm{mod}{X}^N+1),q|2N$，其中的消息 $v=b-⟨s,a⟩$ 被 RGSW 加密。提取 MSB：把得到的 one-hot 多项式 $X^{v+q/4}$ 的一些项 $X^v,v\in [q/2,q)$ 的系数累加起来。

• [GINX16] 提出了 Group 扩展版本的 SIS/LWE 问题，使得线性运算 $\hat{s}(c)=⟨s,c⟩\in \mathbb{T}$ 落在实数环面上，只需旋转 $1/4$ 相位，然后通过 MUX-based OBDD 来实现解密函数的 Lookup Table。

  之后的 [CGGI16] 提出了 TFHE 方案，它将 FHEW 映射到环面上，并使用 TGSW 和 TLWE 的外积实现 MUX 门，进而构建出更快的同态累加器。对于盲旋转，它将环面以精度 $1/2N$ 离散化，然后使用 TRLWE 加密的 $v\in \mathbb{T}[X]/(X^N+1)$ 记录 “反循环函数”（满足 $f(x+1/2)=-f(x)$ 反对称性） $f(i/2N)$ 的 Lookup Table，使用 TRGSW 加密的自举秘钥 $B{K}_j$ 作为控制位，串行执行 MUX 实现向量 $v$ 盲的循环移位，最后提取出 $f(b-s\cdot a)\in \mathbb{T}$ 对应的 TLWE 密文。离散环面上的园整函数，恰好就是一个反循环函数。

我们定义相位 ${\varphi }_s(a,b)=b-\hat{s}(a)\in \mathbb{T}$，我们计算布尔函数 $f$，它满足 $f({\varphi }_s(E(\mu )))=\mu$。我们将环面以精度 $1/N$ 离散化（约 $\log N$ 比特），得到离散环面 ${\mathbb{T}}_N\subseteq \mathbb{T}$，它上面的任意相位变换 $f:{\mathbb{T}}_N\to {\mathbb{T}}_N$，在给定 $f(i/N)$ 的密文时，通过 MUX-based OBDD 是容易计算的，深度 $O(\log N)$，复杂度 $O(N\log N)$。舍入函数，就是把 $0_{\mathbb{T}}$ 附近的区间映射到 $0_{\mathbb{T}}$ 相位，把 $0.5_{\mathbb{T}}$ 附近的区间映射到 $0.5_{\mathbb{T}}$ 相位。TFHE 实际上是把这些 $f(i/N)$ 打包到一个多项式的各个系数上（SIMD slots），并行执行 OBDD 的每层 MUX 门，复杂度降低为 $O(\log N)$，深度依然是 $O(\log N)$。

GSIS/GLWE

Notation

矩阵 B = { b 1 , ⋯ , b n } B=\{b_1,\cdots,b_n\} B={b1​,⋯,bn​} 包括 $n$ 个行矢，范数 $\Vert B\Vert$ 定义为 ${\max }_i\Vert b_i\Vert$。格基的 Gram-Schmidt Orthogonalization 写作 $B=\mu DQ$，其中 $\mu$ 是单位对角线的下三角阵，$D$ 是对角阵，$Q$ 是行矢的单位正交阵，那么 GSO 矩阵 B ∗ = D Q = { b 1 ∗ , ⋯ , b n ∗ } B^*=DQ=\{b_1^*,\cdots,b_n^*\} B∗=DQ={b1∗​,⋯,bn∗​} 满足 $b_i^{\ast }={\pi }_i(b_i)$，这里 ${\pi }_i$ 是到子空间 $Span(b_1,\cdots ,b_{i-1}{)}^{\perp }$ 的正交投影。

任意有限阿贝尔群 $G$ 同构于一些循环群的直积 ${\prod }_{i=1}^k{\mathbb{Z}}_{q_i}$，我们说群 $G$ 是显式的（explicit），如果我们知道 $q_1,\cdots ,q_k$ 以及同构 ${\prod }_{i=1}^k{\mathbb{Z}}_{q_i}\to G$。此时的群可以写成（内）直和分解的形式：找到 { e 1 , ⋯ , e k } ∈ G \{e_1,\cdots,e_k\} \in G {e1​,⋯,ek​}∈G，满足 $ord(e_i)=q_i$，使得 $G=⟨e_1⟩+\cdots +⟨e_k⟩$ 且 ⟨ e i ⟩ ∩ ⟨ { e 1 , ⋯ , e k } − e i ⟩ = { 0 } \langle e_i\rangle \cap \langle \{e_1,\cdots,e_k\}-e_i\rangle = \{0\} ⟨ei​⟩∩⟨{e1​,⋯,ek​}−ei​⟩={0}，记作
$$G=⟨e_1⟩\oplus \cdots \oplus ⟨e_k⟩$$

我们说群是完全显式的（full-explicit），如果同构的逆（群元素的分解）是容易计算的。我们说群的秩（rank）是循环群分解后的最小数量（循环群可以继续分解为一些循环群直积）。我们可以约束 $q_{i+1}|q_i$，使得 $k$ 是秩。

一个 $n$ 维格 $L$，它的超格（overlattice）是包含 $L$ 的相同维度 $n$ 的格 $\bar{L}$，易知商群 $\bar{L}/L$ 是有限阿贝尔群，秩 $k\le n$，阶 $vol(L)/vol(\bar{L})$，其中 $vol(L(B))=\sqrt{det(B{B}^t)}$ 是平行基本区的体积。那么 $\bar{L}/L\cong G$，对应的满同态 $\varphi :\bar{L}\to G$ 的核是 $\ker \varphi =L$，那么 $0\to L\stackrel{id}{\to }\bar{L}\stackrel{\varphi }{\to }G\to 0$ 是短正合列。

Lattice Factor Group

令 $L\subseteq {\mathbb{Z}}^m$ 是满秩格，那么因子群（factor/coset group）${\mathbb{Z}}^m/L$ 是一个阶 $vol(L)$ 的有限阿贝尔群。给定任意的有限阿贝尔群 $G$，我们收集那些因子群是 $G$ 的满秩格，
L G , m : = { L ∣ r a n k ( L ) = m , Z m / L ≅ G } L_{G,m}:=\{L| rank(L)=m, \mathbb Z^m/L \cong G\} LG,m​:={L∣rank(L)=m,Zm/L≅G}

那么 $L\in L_{G,m}$ 当仅当：$rank(G)\le m$，并且存在 $g=(g_1,\cdots ,g_m)\in G^m$ 使得 $G=⟨g⟩$，同时有 $L=L_g$
$$L_g:=\{(x_1,\cdots ,x_m)\in {\mathbb{Z}}^m|\sum _i{x}_i{g}_i=0_G\}$$

对于 $g\ne h\in G^m$，那么 $L_g=L_h$ 当仅当：存在自同构 $\psi$ 使得 $h_i=\psi (g_i),\forall i$，且 $\psi$ 是唯一确定的。

给定因子群 $G$，从集合 $L_{G,m}$ 中均匀采样格 $L$，算法如下：

对于循环群 $G$，格 $L\in L_{G,m}$ 的自然密度为：${\bigcup }_{\text{G is cyclic}}{L}_{G,m}\approx 85\%$，当 $m$ 足够大。因此标准 SIS/LWE 对应的群 $G={\mathbb{Z}}_q^n$（非循环群），格 $L\in L_{{\mathbb{Z}}_q^n,m}$ 十分稀少。

[GINX16] 给出了标准 SIS/LWE 的扩展，将群 $G={\mathbb{Z}}_q^n$ 扩展到了任意的有限阿贝尔群。

Group-SIS

维度 $m$，有限阿贝尔群 $G$（需满足 $rank(G)\le m$），范数上界 $\beta$

GSIS 问题 $GSIS(G,m,\beta )$，均匀采样 $g=(g_1,\cdots ,g_m)\in G^m$（注意此处不要求 $g$ 生成 $G$）

• 搜索版本：给定 $g$，寻找整数解 $x\in L_g$，满足 $\Vert x\Vert \le \beta$

  当 $\beta \ge \sqrt{m}\cdot |G{|}^{1/m}$ 时，方程 ${\sum }_i{x}_i{g}_i=0_G$ 必定存在解。

• 判定版本：给定 $g$，区分 $g\in G^m$ 是来自 GSIS 分布还是 $L_{G,m}$ 上均匀分布

  当 $m\ge 2\log |G|+2$ 时，均匀的 $g$ 生成 $G$ 的概率至少为 $1-1/|G|$，因此两个分布统计接近。

• 选取合适的 $\beta ,|G|,m$，求解 GSIS 问题，基本等价于：在 $L_{G,m}$ 的均匀随机格上，寻找短向量。

对于 $rank(G)>m$ 的群 $G^{\prime }$，可以做分解 $G^{\prime }=G\times H$，然后将 $G^{\prime }$ 投射（project）到 $G$ 上。

标准 SIS 问题：选取 $G={\mathbb{Z}}_q^n$，它是 $n$ 个循环群 ${\mathbb{Z}}_q$ 的直积。将 $g\in G^m$ 按行矢排列，得到 $B\in {\mathbb{Z}}_q^{m\times n}$，那么
$$L_g=\{(x_1,\cdots ,x_m)\in {\mathbb{Z}}^m|x^{t}B\equiv 0\in {\mathbb{Z}}_q^n\}=L_q^{\perp }(B)$$

由于 $m\ge rank(G)=n$，因此均匀矩阵 $B$ 以压倒性概率是列满秩的，使得 L q ( B ) = { x ∈ Z n ∣ x ≡ z t B ( m o d q ) , z ∈ Z m } L_q(B)=\{x \in \mathbb Z^n|x \equiv z^tB \pmod q,z \in \mathbb Z^m\} Lq​(B)={x∈Zn∣x≡ztB(modq),z∈Zm} 是满秩矩阵。

Group-LWE

实数环面 $\mathbb{T}=\mathbb{R}/\mathbb{Z}$，它是 $\mathbb{Z}$-模（是阿贝尔群，不是交换环）。有限阿贝尔群 $G$ 的特征 $\chi :G\to \mathbb{T}$，构成了对偶群 $\hat{G}\cong G$

假如 $G$ 是显式的，直和分解 $G=⟨e_1⟩\oplus \cdots \oplus ⟨e_k⟩$，此时群元素有唯一分解：
$$a=\sum _j{\alpha }_j{e}_j,0\le {\alpha }_j<q_j$$

那么对偶群就是 $\hat{G}=⟨{\hat{e}}_1⟩\oplus \cdots \oplus ⟨{\hat{e}}_k⟩$，其中特征 ${\hat{e}}_i$ 满足：
$${\hat{e}}_i\left(\sum _j{\alpha }_j{e}_j\right)=\frac{{\alpha }_i}{q_i}(\mathrm{mod}1)$$

那么，任意一个 $\hat{s}\in \hat{G}$，都可以写作线性组合 $\hat{s}={\sum }_i{s}_i{\hat{e}}_i$，其中 $0\le s_i<q_i$ 是整数。给定 $a\in G$，有 $\hat{s}(a)={\sum }_i{s}_i{\hat{e}}_i(a)$ ，计算 $d_i={\hat{e}}_i(a)\in \mathbb{T}$，特征的计算可以线性化：$\hat{s}(a)={\sum }_i{s}_i\cdot d_i=⟨s,d⟩$，其中 $s\in {\mathbb{Z}}^k$

令 $S$ 是对偶群 $\hat{G}$ 上的分布，$D_{\mathbb{R},\alpha }$ 是连续高斯分布。选取特征 $\hat{s}\leftarrow S$，公开的随机元素 $a_1,\cdots ,a_m\in G$，计算携带高斯扰动（Gaussian perturbation）的值 $b_i=\hat{s}(a_i)+e_i$

GLWE 问题 $GLWE(G,\alpha ,S)$，采样一个特征 $\hat{s}\leftarrow S$，

• GLWE 分布：均匀选取 $a\in G$，计算携带高斯扰动（Gaussian perturbation）的值 $b\leftarrow D_{\mathbb{T},\alpha ,\hat{s}(a)}$，输出 $(a,b)\in G\times \mathbb{T}$，记为 $A_{G,\alpha }(\hat{s})$
• 搜索版本：给定独立样本 $(a_i,b_i)$，寻找特征 $\hat{s}$（或者说，寻找 $s_i\in \mathbb{Z}$ 使得 $\hat{s}={\sum }_i{s}_i{\hat{e}}_i$）
• 决策版本：给定独立样本 $(a_i,b_i)$，区分它们来自 $A_{G,\alpha }(\hat{s})$ 还是 $G\times \mathbb{T}$ 上的均匀分布

标准 LWE 问题：选取 $G={\mathbb{Z}}_q^n$，它是 $n$ 个循环群 ${\mathbb{Z}}_q$ 的直积。生成元 $e_j(\mathrm{mod}q)$ 是单位向量，对应的对偶基
$${\hat{e}}_i:({\alpha }_1,\cdots ,{\alpha }_n)(\mathrm{mod}q)\to {\alpha }_i/q(\mathrm{mod}1)$$

那么 $\hat{s}=\sum s_i{\hat{e}}_i$，其中 $s\in {\mathbb{Z}}^n$，就有
$$\hat{s}(a)=\sum _{i=1}^n{s}_i{\hat{e}}_i(a)=\frac{⟨s,a⟩}{q}(\mathrm{mod}1)$$

它与 $⟨s,a⟩(\mathrm{mod}q)$ 仅相差一个因子 $q$，从而是等价的。

Structural Lattice Reduction

[GINX16] 提出了结构格约减：对于格 $L\subseteq {\mathbb{Z}}^n$，给定有限阿贝尔群 $G={\mathbb{Z}}_{q_1}\times \cdots \times {\mathbb{Z}}_{q_k},k\le n$，找出对应的超格 $\bar{L}$ 的短格基 $\bar{B}$，使得 $\Vert \overline{B^{\ast }}\Vert \le \sigma$，并且 B = { q 1 b ˉ 1 , ⋯ , q k b ˉ k , b ˉ k + 1 , ⋯ , b ˉ n } B=\{q_1\bar b_1,\cdots,q_k\bar b_k,\bar b_{k+1},\cdots,\bar b_n\} B={q1​bˉ1​,⋯,qk​bˉk​,bˉk+1​,⋯,bˉn​} 是格 $L$ 的一组基。

本文先给出了循环群 $G$ 的格基约减算法，然后给出了任意群的格基约减算法。选取充分大的群，可以获得超格的短格基。我没仔细看（也看不太懂）。

给定格和超格的基 $B$ 和 $\bar{B}$，且满足 B = { q 1 b ˉ 1 , ⋯ , q k b ˉ k , b ˉ k + 1 , ⋯ , b ˉ n } B=\{q_1\bar b_1,\cdots,q_k\bar b_k,\bar b_{k+1},\cdots,\bar b_n\} B={q1​bˉ1​,⋯,qk​bˉk​,bˉk+1​,⋯,bˉn​}，那么可以高效地计算出 $\bar{L}/L\to G$ 的同构映射，及其对偶。

然后，利用上述的格基约减算法，[GINX16] 证明了 GSIS/GLWE 的安全性与标准 SIS/LWE 一样强。

在对 GLWE 归约时，他们推广了 modulus-dimension switching technique，称为 Group Switching。

最后，他们证明了 GLWE 分别在 Classical 和 Quantum 下的归约。

GLWE Variant

ElGamal

Diffie-Hellman 协议，使用 $q$ 阶循环群 $G=⟨g⟩$，令 $f(x):=g^x$ 是 OWF，定义双线性映射 $\theta (x,y):=g^{xy}$。那么对于 $a,b\in {\mathbb{Z}}_q$，计算 $\theta (a,b)$ 有三种高效的方法：根据 $(a,b)$ 计算 $g^{ab}$、根据 $(f(a),b)$ 计算 $(g^a{)}^b$、根据 $(a,f(b))$ 计算 $(g^b{)}^a$。Alice 和 Bob 分别秘密的采样 $a,b$，然后公布 $f(a),f(b)$，那么 Alice 和 Bob 可以轻易地计算出 $\theta (a,b)$，而敌手只有 $(f(a),f(b))$ 无法计算。

ElGamal 加密方案，Alice 设置 $sk=a$，$pk=f(a)$，Bob 采样 $b$ 计算 one-time 秘钥 $\theta (a,b)$，执行 one-time pad 获得密文 $(f(b),\mu +\theta (a,b))$，Alice 可以自然地解密。

现在，我们使用 GLWE 构造两个 OWF，均匀选取 $g\in G^m$

• 群 $G$ 是 $\mathbb{Z}$-模，态射 $f_g:{\mathbb{Z}}^m\to G$ 定义为
  $$f_g(x)=\sum _i{x}_i{g}_i$$

  根据 leftover-hash lemma，它的输出分布是统计均匀的。在 GSIS 假设下，它是 OWF。

• 采样 $e\leftarrow D_{\alpha }^m$，函数 $f_g^{\times }:\hat{G}\times {\mathbb{T}}^m\to {\mathbb{T}}^m$ 定义为
  $$f_g^{\times }(\hat{s},e)=(\hat{s}(g_1)+e_1,\cdots ,\hat{s}(g_m)+e_m)=\hat{s}(g)+e$$

  根据 decisional GLWE，它与随机函数不可区分。根据 search GLWE，它是 OWF。

我们定义新的双线性函数 $\theta :\hat{G}\times {\mathbb{Z}}^m\to \mathbb{T}$，
$$\begin{array}{rl}\theta (\hat{s},x)& =\hat{s}(f_g(x))=\sum _i{s}_i\cdot {\hat{e}}_i(f_g(x))\\ & =\sum _j{x}_j\left(\sum _i{s}_i\cdot {\hat{e}}_i(g_j)\right)\\ & =\sum _j{x}_j\cdot \hat{s}(g_j)\end{array}$$

为了计算 $\theta (\hat{s},x)$，除了直接使用 $(\hat{s},x)$ 计算外，还可以：

1. 给定 $\hat{s}$ 和 $y=f_g(x)$，然后计算 $\hat{s}(y)=\theta (\hat{s},x)+0$，这是准确值
2. 给定 $c=f_g^{\times }(\hat{s},e)$ 和 $x$，然后计算 ${\sum }_i{c}_i{x}_i=\theta (\hat{s},x)+{\sum }_i{e}_i{x}_i$，这是近似值

Diffie-Hellman 协议的 GLWE 变体，Alice 采样 $\hat{s}$ 公开 $f_g^{\times }(\hat{s},e)$，Bob 采样 $x$ 公开 $f_g(x)$，那么 Alice 和 Bob 可以轻易地计算出 $\theta (a,b)$（近似值），而敌手无法计算。最后纠错，双方 agree 同一个秘钥。

ElGamal 加密方案的 GLWE 变体，定义 ${\mathbb{T}}_k=\frac{1}{2^k}\mathbb{Z}/\mathbb{Z}$ 是离散化的环面，群 $H=G\times {\mathbb{T}}_k$ 是密文空间，

将 Alice 和 Bob 的地位互换，就可以得到 ElGamal dual scheme：此时 $sk=x$，$pk=f_g(x)$，临时秘钥 $(\hat{s},e,e^{\prime })$，密文 $(f_g^{\times }(\hat{s},e),\hat{s}(pk)+e^{\prime }+\mu /2)\in \mathbb{T}\times {\mathbb{T}}^m$。

两种 ElGamal 方案的 IND-CPA 安全都基于 GLWE-DDH 问题，它等价于 decisional GLWE 问题。

GSW

GLWE 方案的密文是群 $H$ 的元素，形如 $c+\mu h_1\in H$，其中 $h_1=(0,1/2)$ 的阶是 $2$。私钥 $\hat{s}$ 诱导了一个同态 $Phase:H\to \mathbb{T}$，定义为
$$Phase(a\in G,b\in \mathbb{T})=b-\hat{s}(a)\in \mathbb{T}$$

易知 $Phase(c+\mu h)\approx \mu /2$，消息 $0$ 的密文十分靠近 $\ker Phase$。由于 $ord(h_1)=2$，GLWE 密文在群 $H$ 上运算，将导致消息在加群 ${\mathbb{Z}}_2$ 上运算（同态 XOR 门）。我们将上述的 GLWE-based ElGamal Scheme（简记为 GLWE 方案）扩展为 GLWE-GSW 方案，使之可以同态计算 AND 门。

扩展 $h_1=(0,1/2)$ 到 $h=(h_1,h_2,\cdots ,h_l)$，使得它是群 $H$ 作为 $\mathbb{Z}$-模的生成集，那么函数 $f_h:{\mathbb{Z}}^l\to H$，
$$f_h(x)=\sum _{i=1}^l{x}_i{h}_i\in H,x\in {\mathbb{Z}}^l$$

是 $\mathbb{Z}$-模的满态射。定义它的伪逆（pseudo-inverse ）$f_h^{-1}:H\to {\mathbb{Z}}^l$，满足 $f_h(f_h^{-1}(c))=c,\forall c\in H$，其中 $Im(f_h^{-1})$ 是 $f_h$ 的短原像（$\beta$-bounded）。对于均匀的 $h$，求逆 $f_h$ 是困难的；但是某些特殊的 $h$（称为 gadget），短原像容易计算。

将 $f_h(x)$ 扩展到矩阵 $X\in {\mathbb{Z}}^{l\times l}$，定义 $F_h(X)=(f_h(x_1),\cdots ,f_h(x_l))$，其中 $x_i\in {\mathbb{Z}}^l$ 是矩阵的行矢。同样的对于 $c\in H^l$，定义 $F_h^{-1}(c)=(f_h^{-1}(c_1),\cdots ,f_h^{-1}(c_l))$ 是它的伪逆。那么，
$$\begin{array}{rl}{F}_c(X)& =X\cdot c,F_h^{-1}(c)\cdot h=c\\ F_{b+kh}(F_h^{-1}(c))& =F_h^{-1}(c)\cdot (b+kh)=F_h^{-1}(c)\cdot b+kc,k\in \mathbb{Z}\end{array}$$

这个公式可以用于计算同态 AND 门。将 GLWE 的 $0$ 密文并列 $l$ 次，得到 $c\in H^l$，使得 GSW 密文形如 c + μ h ∈ H l , μ ∈ { 0 , 1 } c+\mu h \in H^l,\mu \in \{0,1\} c+μh∈Hl,μ∈{0,1}，其中的第一分量 $c_1+\mu h_1$ 是 GLWE 密文。那么，
$$\begin{array}{rl}{F}_{c^{\prime }+{\mu }^{\prime }h}(F_h^{-1}(c+\mu h))& =F_h^{-1}(c+\mu h)\cdot c^{\prime }+{\mu }^{\prime }c+{\mu }^{\prime }\mu h\\ err& =F_h^{-1}(c+\mu h)\cdot e^{\prime }+{\mu }^{\prime }e\end{array}$$

于是 GLWE-based GSW 方案为：

同态运算为：

噪声增长为：

对于连续 $k$ 个 AND 门，采取 [AP14] 的右结合策略，最坏噪声仅为 $kl\beta B$。如果采用平均噪声的评估，那么噪声仅为 $\sqrt{k}l\beta B$

LUT & Automata

对于可以表示为稀疏低次多项式的布尔函数，尤其是线性布尔函数 $\varphi (x)=b+{\sum }_i{a}_i{x}_i$，可以用 MUX 实现布尔函数的直接计算：

1. 初始化 $X_0=b$
2. 迭代计算 $X_i=MUX(x_i,X_{i-1},a_i+X_{i-x})$
3. 输出 $X_k=\varphi (x)$

但是无法表示成稀疏低次多项式的那些布尔函数，直接计算的开销将会很高。给定一个任意的 $k$ 变元布尔函数 ϕ : x ∈ { 0 , 1 } k ↦ ϕ ( x ) ∈ { 0 , 1 } \phi:x \in \{0,1\}^k \mapsto \phi(x) \in \{0,1\} ϕ:x∈{0,1}k↦ϕ(x)∈{0,1}，可以做一个 Lookup Table（LUT），它是 $2^k$ 向量 $T_j=\varphi (j)$。一般来说，查表可以使用二叉树，根据 $x=x_1\cdots x_k$ 找到一条从 root 到对应 leaf 的路径。但是消息 $x_i$ 被加密为 IND-CPA 密文，无法区分左右子树。我们需要一种数据独立的查表算法：

1. 构造 full Binary Decision Diagram 的满二叉树，深度 $k$，节点记为 $X_{i,j}$，根 $X_{0,0}$，叶子 $X_{k,j}$

2. 把向量 $T_j,j\in [2^k]$ 存放在叶子 $X_{k,j}$ 上，内部节点 $X_{i,j}$ 对应的子树是 partial function $\varphi (j,x_{i+1},\cdots ,x_k),j\in [2^i]$（输入的 $i$ 比特前缀被写死为 $j$）

3. 从 leaf 回到 root，根据 $x_i$ 的输入值，计算中间节点的值
   $$X_{i,j}=MUX(x_i,X_{i+1,2j},X_{i+1,2j+1}),\forall j\in [2^i]$$

4. 从 $x_k$ 迭代到 $x_1$，获得根节点的值 $X_{0,0}=\varphi (x_1,\cdots ,x_k)$

注意，OBDD 的计算是从 root 到 leaf 的，只有路径上的 $k$ 个节点被计算。而上述的 MUX-based BDD 是从 leaf 回到 root 的，全部的 $O(2^k)$ 个节点都需要被计算！完全二叉树中可能会包含很多相同的子树，把它们合并，以减少计算量（不幸的是，几乎全部的函数需要指数级节点）。

对于某些常用函数（例如整数乘法），对应的 OBDD 节点数指数多，因此使用 MUX-based LUT 是不可行的。然而，诸如加法、乘法、比较等等算术运算，可以表示为多项式大小的确定性有限自动机（有限状态的转移图）。

事实上，BDD 就是某种自动机的 mirror graph。我们也可以使用 MUX 门，类似上述的逆序思路，执行任意的有限自动机：

1. Moore 型状态机（输出仅与系统状态有关） $A=(Q,i,T_0,T_1,F)$，状态集 $Q$，初始状态 $i\in Q$，状态 $Q$ 上定义的输出 $F$，转移函数 $T_0,T_1:Q\to Q$ 分别表示当前输入 $0/1$ 的下一状态

2. 简记 $X_{q,0},\forall q\in Q$ 是自动机的全部状态上的输出

3. 为了计算输入序列 $w=w_1{w}_2\cdots w_k$（注意这并不是布尔函数的输入）对应的输出，逆向状态转移箭头，迭代计算
   $$X_{q,j}=MUX(w_{k+1-j},X_{T_0(q),j-1},X_{T_1(q),j-1}),\forall q\in Q$$

4. 执行 $k$ 步得到 { X q , k } \{X_{q,k}\} {Xq,k​}，其中的 $X_{i,k}$ 就是初始状态 $i$ 根据序列 $w$ 转移 $k$ 轮后的最终状态的输出。

对于布尔函数 $\varphi (x_1,\cdots ,x_n)$，将它转化为有限自动机，执行的序列 $w_x$ 由 $x$ 指定。不失一般性地，我们使得 $|w|=k$ 长度固定（比如设置 “终止状态” 使得 $T_0(o_b)=T_1(o_b)=o_b,b=0/1$，在不等长序列 $w_x$ 之后添加无限序列），从而可以使用上述的逆序算法。这个自动机对应的 MUX-based BDD 包含了 $O(k\cdot |Q|)$ 个节点，其中 $k$ 和 $|Q|$ 都仅为多项式大小。

Simple Bootstrapping Circuit

我们假设私钥 $\hat{s}\in \hat{G}$ 可以表示为 s ∈ { 0 , 1 } n − 1 s \in \{0,1\}^{n-1} s∈{0,1}n−1，给定密文 $(d,c)\in H=G\times \mathbb{T}$，解密函数被线性化：
$$Phase(d,c)=c-\hat{s}(d)=c-\sum _{i=1}^{n-1}{s}_i\cdot d_i$$
其中 $d_i={\hat{e}}_i(d)\in \mathbb{T}$ 是环面元素。于是 $Phase(d,c)$ 是已知常数 $c,d_i$ 的关于输入 $s$ 的布尔函数：把环面以精度 $1/4n$ 离散化（园整误差 $1/8n$）$\frac{1}{4n}\mathbb{Z}/\mathbb{Z}\cong {\mathbb{Z}}_{4n}$，定义
$$\varphi (s_1,\cdots ,s_{n-1})=MSB\left(c^{\prime }-\sum _i{s}_i{d}_i^{\prime }(\mathrm{mod}4n)\right)$$
其中 $c^{\prime }=\lfloor (c+1/4)\cdot 4n\rceil$，$d_i^{\prime }=\lfloor d_i\cdot 4n\rceil$。因为 $s$ 是布尔的，园整误差的累计规模为 $n\cdot 1/8n=1/8$，只要 $Noise(d,c)\le 1/8$，那么总误差小于 $1/4$，在环面上可以纠错从而解密正确。

布尔函数 $\varphi (s_1,\cdots ,s_{n-1})$ 的计算：

1. 对于前缀 $(x_1,\cdots ,x_k)\ne (y_1,\cdots ,y_k)$，如果满足 ${\sum }_i{x}_i{d}_i^{\prime }\equiv {\sum }_i{y}_i{d}_i^{\prime }(\mathrm{mod}4n)$，那么关于变元 $(z_{k+1},\cdots ,z_n)$ 的 partial functions，
   $$\varphi (x_1,\cdots ,x_k,z_{k+1},\cdots ,z_n)=\varphi (x_1,\cdots ,x_k,z_{k+1},\cdots ,z_n)$$
   因此，由 $1\le k\le n-1$ 长前缀指示的不同 partial functions 最多只有 $4n$ 个（因为 ${\sum }_i{x}_i{d}_i^{\prime }$ 只有这么多种取值）

2. 将布尔函数转化为 OBDD，它有 $n$ 层，每层包含至多 $4n$ 个节点（每个节点对应的子树就是一个 partial functions），共计 $O(4n^2)$ 个 MUX 门就可以完成计算。

连续的 MUX 深度为 $n-1$，也就是需要计算连续的 $n-1$ 个 AND 门。采取右结合策略，噪声仅为 $O(nl\beta B)$，其中密文 $c\in H^l$，密文噪声上界 $B$，$f_h^{-1}$ 满足 $\beta$-bounded，而 $n$ 是私钥 $\hat{s}$ 的长度（安全参数）。上述的 Bootstrapping Circuit，计算复杂度是二次的，噪声增长是线性的。

进一步选取 $q={\prod }_{i=1}^t{p}_i\ge 4n$，然后精度 $1/q$ 的离散化环面。使用 CRT 分解 ${\mathbb{Z}}_q\cong {\prod }_i{Z}_{p_i}$，假设 $p_i=O(\log n)$，并且 $t=O(\log n)$，那么

1. 对于每个 $j\in [t]$，计算 $y_j=f_j(s):=c^{\prime }-{\sum }_i{s}_i{d}_i^{\prime }(\mathrm{mod}{p}_j)$，它是 $O(\log p_j)$ 个输入长度为 $n-1$ 的布尔函数
2. 计算 ${\varphi }^{\prime }(y_1,\cdots ,y_t):=MSB(CRT(y_1,\cdots ,y_t)(\mathrm{mod}q))$，它是 ${\sum }_i\log (p_i)$ 比特输入的布尔函数

由于模掉了 $p_j$ 和 $q$，因此 $f_j,{\varphi }^{\prime }$ 对应的 OBDD 每层的节点数不超过它们，从而计算复杂度 $\tilde{O}(n)$ 是拟线性的。