开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 区块链 -> 基于近似计算的同态加密方案CKKS17----Relinearization和Rescaling -> 正文阅读

[区块链]基于近似计算的同态加密方案CKKS17----Relinearization和Rescaling

Relinearization

? ? ? ? 重线性化主要是针对密文乘法后密文尺寸膨胀的问题。

? ? ? ? 先来看加解密过程。生成公私钥过程：

???????????????? $s\leftarrow\mathcal{H}WT(h),a\leftarrow\mathcal{R}_{qL},b\leftarrow-as+e$

???????????????? $pk\leftarrow(b,a)=(-as+e,a)$

???????????????? $sk\leftarrow(1,s)$

? ? ? ? 加解密过程：

???????????????? $\mu \in \mathbb{Z}_q[X]/(X^N+1)$

???????????????? $\texttt{Encrypt}(\mu,pk) = c = (c_0,c_1) = (\mu,0) + pk = (b + \mu,a) \in \mathcal{R}_q^2$

???????????????? $\texttt{Decrypt}(c,sk) = c_0 + c_1.s = \mu + e$

? ? ? ? 同态加法及解密正确性：

???????????????? $\texttt{C}_\texttt{ADD}(c,c') = (c_0 + c_0',c_1+c_1') = c + c' = c_{add}$

???????????????? $\texttt{Decrypt}(c_{add},sk) = c_0 + c_0' + (c_1 + c_1').s = c_0 + c_1.s + c_0' + c_1'.s = \texttt{Decrypt}(c,sk) + \texttt{Decrypt}(c',sk) \approx \mu + \mu'$

? ? ? ? 同态乘法：

????????如果同态乘法是正确的，则有???????：

??????????????????????? $\texttt{DecryptMult}(\texttt{CMult}(c,c'),sk) = \texttt{Decrypt}(c,sk).\texttt{Decrypt}(c',sk)$

? ? ? ? 已知 $\texttt{Decrypt}(c,sk) = c_0 + c_1 .s$ ，则可以推出，同态乘法正确计算并解密后的结果为：

??????????????????????? $\texttt{Decrypt}(c,sk) . \texttt{Decrypt}(c',sk) = (c_0 + c_1.s) . (c_0' + c_1'.s) = c_0.c_0' + (c_0.c_1' + c_0'.c_1).s + c_1.c_1'.s^2 = d_0 + d_1.s + d_2.s^2$

????????其中 $d_0 = c_0.c_0', d_1 = (c_0.c_1' + c_0'.c_1), d_2 = c_1.c_1'$ 。

? ? ? ? 可以观察到，密文经过一次乘法后膨胀了，原始密文只有两项，而同态乘法后变为了三项。如果不经处理，一直这样乘下去，那么两次乘法后就会变为五项，三次乘法后就会变为七项......

? ? ? ? 所以需要在每次乘法后进行重线性化，来防止密文尺寸的增加。

重现性化

???????????????我们可以知道，重线性化后的结果应该是： $(d_0',d_1') = \texttt{Relin}(c_{mult})$ 。对重线性化后的结果解密可以得到：

??????????????????????? $\texttt{Decrypt}((d_0',d_1'),sk) = d_0' + d_1'.s = d_0 + d_1.s + d_2.s^2 = \texttt{Decrypt}(c,sk) . \texttt{Decrypt}(c',sk)$

，观察上式可以看到： $d_0' + d_1'.s = d_0 + d_1.s + d_2.s^2$ 。如果存在一组多项式P，满足 $\texttt{Decrypt}(P,sk)=d_2.s^2$ ，则 $(d_0',d_1') = (d_0,d_1) + P$ ，即：

??????????????????????? $\texttt{Decrypt}((d_0',d_1'),sk) = \texttt{Decrypt}((d_0,d_1),sk) +\texttt{Decrypt}(P,sk) = d_0 + d_1.s + d_2.s^2$

? ? ? ? 那么现在问题就是如何确定P了。解密过程最多只乘进来一个s，而期待的 $\texttt{Decrypt}(P,sk) =d_2.s^2$ 中s为二次，那么P中一定是包含s的。问题来了：sk是要我们自己偷偷保管的啊，不可以给别人，那么又该怎样把s传到P中呢？用到的就是evaluation key。

evaluation key

????????令 $evk = (-a_0.s + e_0 + s^2, a_0)$ ，则 $\texttt{Decrypt}(evk,sk) = e_0 + s^2 \approx s^2$ 。同时可以看到，evk中添加了两个随机化参数，可以保证s不泄露。

? ? ? ? 所以可以设置 $P = d_2.evk = (d_2.(-a_0 + e_0 + s^2), d_2.a_0)$ ， $\texttt{Decrypt}(P,sk) = d_2.s^2 + d_2.e_0$ ???????。但是问题又来了： $d_2.s^2 + d_2.e_0 \neq d_2.s^2$ ， $d_2$ 较大。

? ? ? ? 解决办法就是更改下evk的形式，设置 $evk = (-a_0.s + e_0 + p.s^2, a_0) (\text{mod } p.q)$ ，其中 $a_0\leftarrow\mathcal{R}_{p.q}$ 。

????????故而 $P = \lfloor p^{-1}.d_2.evk \rceil (\text{mod } q)$ ， $\texttt{Relin}((d_0,d_1,d_2),evk) = (d_0,d_1) + \lfloor p^{-1}.d_2.evk \rceil$ 。

Rescaling

????????为了保证计算精度，在编码过程中预先乘入了缩放因子 $\Delta$ 。两次乘法后缩放因子就又膨胀了，变为 $\Delta^2$ 。

????????设置 $q_0 \geq \Delta$ ， $q = \Delta^L.q_0$ 。 $q_0$ 代表整数部分精度， $\Delta$ 代表小数部分精度。则有重缩放过程：

??????????????????????? $RS_{l \rightarrow l-1}(c) = \lfloor \frac{q_{l-1}}{q_l} c \rceil (\text{mod } q_{l-1}) = \lfloor \Delta^{-1} c \rceil (\text{mod } q_{l-1})$