参考文献：

1. [GV23] Geelen R, Vercauteren F. Bootstrapping for BGV and BFV Revisited[J]. Journal of Cryptology, 2023, 36(2): 12.
2. Bit Extraction and Bootstrapping for BGV/BFV

[GV23] 给出了 BGV 和 BFV 的统一自举算法，指出两者复杂度是相同的。

Bootstrapping for BGV and BFV

Decryption Function

稍微滥用符号，$r$ 表示 hensel lifting 或者 overflow，$e$ 表示待自举密文的模数规模或者加密噪声。

密文模数 $q$，明文模数 $p^r$，分圆整数环 $R=\mathbb{Z}[X]/({\Phi }_m(X))$

BGV

BGV 的密文形如：
$$c_0+c_1\cdot s=m+p^{r}e(\mathrm{mod}q)$$
假设 $q\equiv 1(\mathrm{mod}{p}^e)$（这比 [HS15] 的要求松一些），解密可以简化为：

1. 缩放 $c_i^{\prime }\leftarrow [p^{e-r}{c}_i{]}_q$
2. 内积 $w\leftarrow [c_0^{\prime }+c_1^{\prime }\cdot s{]}_{p^e}$
3. 纠错 $m\leftarrow [\lfloor w/p^{e-r}\rceil {]}_{p^r}$

现在我们确定参数 $e$ 的合适数值，过大则自举效率很慢，过小则自举结果错误。我们计算
$$u=p^{e-r}(c_0+c_1\cdot s)=p^{e-r}(m+p^{r}e)+qr$$
根据 $q\equiv 1(\mathrm{mod}{p}^e)$，那么有
$$w=[u{]}_{p^e}=[p^{e-r}m+r{]}_{p^e}$$
这个解密噪声是 MSD 编码的（原始 BGV 的是 LSD 编码）。为了纠错的正确性，需要满足 $\Vert r{\Vert }_{\infty }\le p^{e-r}/2$，用它的上界来约束，
$$\Vert r{\Vert }_{\infty }\le \Vert (c_0^{\prime }+c_1^{\prime }s)/q{\Vert }_{\infty }+\Vert p^{e-r}m/q{\Vert }_{\infty }+\Vert p^{e}e/q{\Vert }_{\infty }$$
简记 $d_i=c_i^{\prime }/q$，那么近似要求
$$\Vert d_0+d_{1}s{\Vert }_{\infty }+\Vert p^{e}e/q{\Vert }_{\infty }<p^{e-r}/2$$
根据 [HS15] 的启发式估计，我们再假设 $d_i\in [-0.5,0.5]$ 是均匀的，那么有：

选定参数 $k$，给定私钥汉明重量 $h$ 和分圆次数 $m$ 及其分解个数 $t$，确定出 $d_1\cdot s$ 高概率的启发式上界，求出可满足约束条件的最小的 $e$ 取值。

由于 $C$ 正比于 $\sqrt{h}$，因此导致了 $p^{e-r}/2$ 正比于 $\sqrt{h}$，这使得稠密私钥的所需 $e$ 较大，自举效率很低。一种技巧是，自举前执行 Key-Switch 切换到一个稀疏秘密 $\tilde{s}$ 上，自举秘钥也相应地修改为 $E_s(\tilde{s})$。由于 $s$ 用于加密消息，而 $\tilde{s}$ 仅用于执行自举（在最低层），因此后者的密文模数很小，安全性可以保证。

BFV

BFV 的密文形如：
$$c_0+c_1\cdot s=\lfloor \frac{q}{p^r}\cdot m\rceil +e(\mathrm{mod}q)$$
对于 $q$ 没有要求，解密可以简化为：

1. 缩放 $c_i^{\prime }\leftarrow [\lfloor (p^e/q)\cdot c_i\rceil {]}_{p^e}$
2. 内积 $w\leftarrow [c_0^{\prime }+c_1^{\prime }\cdot s{]}_{p^e}$
3. 纠错 $m\leftarrow [\lfloor w/p^{e-r}\rceil {]}_{p^r}$

对比 BGV 的解密函数，两者仅在第一步的缩放有所不同。

我们确定它的 $e$ 取值，简记 $d_i=c_i^{\prime }-(p^e/q)\cdot c_i$，简记 $ϵ=\lfloor (q/p^r)\cdot m\rceil -(q/p^r)\cdot m$，
$$\begin{array}{rl}w& =[(p^e/q)\cdot (c_0+c_{1}s)+(d_0+d_{1}s){]}_{p^e}\\ & =[(p^e/q)\cdot ((q/p^r)\cdot m+e+ϵ)+(d_0+d_{1}s){]}_{p^e}\\ & =[p^{e-r}m+(d_0+d_{1}s)+p^e/q\cdot (e+ϵ){]}_{p^e}\end{array}$$
为了纠错的正确性，需要使得噪声项满足约束，可近似为
$$\Vert d_0+d_{1}s{\Vert }_{\infty }+\Vert p^{e}e/q{\Vert }_{\infty }<p^{e-r}/2$$
这和 BGV 的约束完全一样。根据 [HS15] 的启发式估计，确定出满足它的 $e$ 最小值。也可以用类似的技术降低私钥的汉明重量。

Bootstrapping Procedure

上述的解密函数，经过缩放和内积后，无论是 BGV 还是 BFV，它们的相位都是 MSD 编码的，因此可以统一使用 remove LSD 的自举流程。

Thick 版本：

Thin 版本：

Homomorphic Linear Transformations

One-Dimensional Linear Transformations

[HS15] 将线性映射 Slot-to-Coeff 和 Coeff-to-Slot 分解为若干的一维线性变换。它包括两类，

• $E$-linear transformations：使用了 [HS18] 的 BSGS 矩阵向量乘法技巧，作用在明文槽超立方的某个维度的超列上，不同超列的变换可以不同
• ${\mathbb{Z}}_{p^r}$-linear transformations：使用 Frobenius map 实现明文槽 $E\cong {\mathbb{Z}}_{p^r}^d$ 内的线性变换，再复合上 BSGS 的明文槽之间的线性变换

Slot-to-Coefficient

General Case

[HS15] 使用 BSGS 乘法技巧，以及 Powerful Basis，给出了通用的线性映射。将 $m$ 分解为 $t$ 个素数幂乘积，迭代执行 $t$ 个阶段的多项式的多点求值，每个多点求值都是某个超列上的一维线性变换。

Power-of-Two Cyclotomics

[HS18] 针对二的幂分圆环以及稀疏打包明文，给出了更加高效的线性映射。首先利用自同构加倍/消除各个位置的系数，从而挑选出子环所对应的稀疏系数；然后对这个稀疏的系数执行特化的 Coeff-to-Slot 变换。

Digit Extraction

[GV23] 比较了 [HS15] 和 [CH18] 的数字提取技术的复杂度。假设 $v=e-r$ 是需要移除的数位个数，那么：

我们令 $m,h,v$ 都是常数（也就是 $e=r+v$ 随着 $r$ 线性增长），可以发现：

1. [HS15] 的乘法深度是关于 $r$ 线性的
2. [CH18] 的乘法深度是关于 $r$ 对数的
3. 在较小参数下，[CH18] 的乘法数量更多，但是渐进意义下的复杂度更低

Halevi/Shoup Procedure

[HS15] 采用 lifting polynomial，算法为：

Chen/Han Procedure

[CH18] 采用 lowest digit retain polynomial，算法为：