HEAAN新版学习

本篇文章对最新版的HEAAN库进行研究，老版的介绍见 HEAAN库学习

主要参考：slide-HEAAN.pdf

HEAAN介绍

HEAAN是一个支持在加密的复数数组之间进行操作的库，方案的安全性取决于$log_Q$、$log^N$和高斯分布的标准差$\sigma =3.2$。如果使用 Martin’s LWE parameter estimator，你可以检测这个方案的安全性。

lwe-estimator，是一个Sage函数【Sage更多：参考】，用于测试求解LWE问题的运行时间

个人理解，求解LWE运行时间越长，越安全，所以推荐用此时的参数？后面单独花时间再研究这个，在这里我就理解成从这里这里选取更好的参数。

下面是难点之一编码，将一个复数向量编码成一整数多项式：

\[encode: (m_1,...,m_l)\in \mathbb{C}^l\Rightarrow \left \lfloor \Delta m(x)\right \rceil\in \mathbb{Z}[X]/(X^N+1)
\]

密文是一对多项式$(a(x),b(x))\in\mathbb{Z}_Q$，例如：对于私钥是$s(x)$，$\mathbb{Z}=\mathbb{Z}[X]/(X^N+1)$，$\mathbb{Z}_Q=\mathbb{R}/Q\mathbb{R}$

\[b(x)=-a(x)s(x)+\left \lfloor\Delta m(x)\right \rceil+e(x)，其中a(x)\in \mathbb{R}[X]/(X^N+1)
\]

下面是主要函数：

$encode:$输入$\overrightarrow{m}\in \mathbb{C^l}$，输出一个多项式$m(x)$

$decode:$输入$m(x)$，输出一个复数向量$\overrightarrow{m}$

$encrypt:$输入$\overrightarrow{m}$，编码，加密，返回密文$(a(x),b(x))$

$decrypt:$输入$(a(x),b(x))$，解密，解码，返回$\overrightarrow{m}$

$add:$输入两个密文，返回密文$\overrightarrow{m_1}+\overrightarrow{m_2}$

$square:$输入一个密文，返回密文$\overrightarrow{m}+\overrightarrow{m}$

$mult:$输入两个密文，返回密文$\overrightarrow{m_1}*\overrightarrow{m_2}$

$rotate:$输入一个密文，返回旋转后的密文

HEAAN使用

预备知识

首先需要确定缩放因子$\Delta$和目标电路深度(乘法次数)$L$，这将会确定最大模数$Q=\Delta^L$。使用安全参数$\lambda$和LWE参数评估器（这里理解为lwe-estimator），我们将会选择密文多项式的维数（次数）$N$。

Context context(logN, logQ);

用于编码和解密时计算复数，这个类包含encode和decode函数，这个类在老版本中出现。

ZZX mx = context.encode(mvec,slots,pBits);

返回编码结果$m(x)$，即一个整数多项式；这里的pBits是$log_2^{\Delta}$。

密钥生成

在HEAAN方案中，我们需要额外的公钥，即用于乘法运算的计算密钥，这是在$\mathbb{R}_{PQ}^2$上的一对多项式，这里的$P$是一个特殊的模数，和$Q$有相同的比特位数，其安全性基于$RLWE(2log^Q,log^N,\sigma)$问题

SecretKey sk(logN, h);

生成私钥（一个稀疏多项式）$s(x)$，该多项式的系数取自$HWT(h)=\left\{-1,0,1 \right\}$分布，即多项式系数中有$h$个正整数。

Scheme scheme(sk, context);

生成下面两个公钥：

\[pk_{enc}=(a(x),-a(x)s(x)+e(x))\in \mathbb{Z}_{PQ}^2
\]

\[pk_{mult}=(a(x),-a(x)s(x)+Ps^2(x)+e(x))\in \mathbb{Z}_{PQ}^2
\]

如果需要旋转功能的话，也需要生成一个公钥：

scheme.addConjKey(sk);

scheme.addLeftRotKey(sk,i);

scheme.addRightRotKey(sk.i);

为左旋转和右旋转生成对应的公钥

\[pk_{leftRot,i} =(a(x),-a(x)s(x)+P*s^2(x^k)e(x))\in \mathbb{Z}_{PQ}^2
\]

其中$k=5^I mod N$，共轭情况下$k=2N-1$，用作右旋转下$k=5^{-i}$，该公钥用于索引为i的明文数组的左旋转，如果运行scheme.addLeftRotKeys和scheme.addRightRotKeys将会产生两个方向上旋转的公钥。

一直有一个疑惑，为什么要进行旋转？

因为明文都是向量（实数或复数），用旋转可以提升效率！

什么是旋转？

CKKS中的旋转大多就是进行对于矩阵的旋转，通俗一点讲就是，对于矩阵来说，旋转列可能就是将一列元素进行向左或者是向右进行平移。旋转行可能就是将矩阵的每两行进行对调，从而实现旋转的操作。旋转是不消耗任何的噪音预算的。

同态计算

同态加法有多种版本，注意，我们也可以在明文和密文之间进行加法。

cipher3 = scheme.add(cipher1, cipher2);
scheme.addAndEqual(cipher1, cipher2);
cipher2 = scheme.addConst(cipher1, const);

这些算法相当快。对于常用参数，两个密文之间的相加只需要10毫秒到20毫秒。请注意，addAndEqual 将计算新结果直接赋值给输入的第一个密文，由于内存分配时间的原因，这会稍微快一点。

同态乘法有多种版本，注意，我们也可以在明文和密文之间进行乘法：

cipher2 = scheme.square(cipher1);
cipher2 = scheme.squareAndEqual(cipher1);
cipher3 = scheme.mult(cipher1, cipher2);
scheme.multAndEqual(cipher1, cipher2);
cipher2 = scheme.multByConst(cipher1, const);

那些算法除了multByConst都会使用计算密钥$pk_{mult}$，这大约需要100毫秒到1000毫秒，这取决于缩放因子$\Delta$和目标电路深度(乘法次数)$L$

重缩放

密文（缩放因子为$\Delta$）相乘后缩放因子变为$\Delta^2$，所以我们需要使用重缩放，其中pBits是$log_2^{\Delta}$。

cipher2 = scheme.reScaleBy(cipher1, pBits);
scheme.reScaleByAndEqual(cipher1, pBits);

缩放因子变为$\Delta$，密文模数变为$Q/\Delta$

同态旋转

cipher2 = scheme.leftRotateBy(cipher1, i);
scheme.leftRotateByAndEqual(cipher1, i);
cipher2 = scheme.rightRotateBy(cipher1, i);
scheme.rightRotateByAndEqual(cipher1, i);

每一次旋转都需要使用对应的旋转公钥，如果没有，将自动 combine power of two shifting【没看太懂，是自动生成么？】

例子

// Key Generation
Context context(logN, logQ);
SecretKey sk(logN);//私钥
Scheme scheme(sk, context);//公钥、计算密钥
scheme.addLeftRotKey(sk, 1);//左旋转密钥
// Encrypt
Ciphertext cipher1 = scheme.encrypt(mvec1, slots, pBits, logQ);
Ciphertext cipher2 = scheme.encrypt(mvec2, slots, pBits, logQ);
// Homomorphic Operations
Ciphertext addCipher = scheme.add(cipher1, cipher2);
Ciphertext multCipher = scheme.mult(cipher1, cipher2);//乘法
scheme.reScaleByAndEqual(multCipher, pBits);//重缩放
Ciphertext rotCipher = scheme.leftRotate(cipher1, 1);//将密文1向左旋转一位
// Decrypt
complex<double>* dvecAdd = scheme.decrypt(sk, addCipher);
complex<double>* dvecMult = scheme.decrypt(sk, multCipher);
complex<double>* dvecRot = scheme.decrypt(sk, rotCipher);