参考文献：

1. [XZD+23] Xiang, B., Zhang, J., Deng, Y., Dai, Y., Feng, D. (2023). Fast Blind Rotation for Bootstrapping FHEs. In: Handschuh, H., Lysyanskaya, A. (eds) Advances in Cryptology – CRYPTO 2023. CRYPTO 2023. Lecture Notes in Computer Science, vol 14084. Springer, Cham. https://doi.org/10.1007/978-3-031-38551-3_1
2. [Dv21] Ducas L, van Woerden W. NTRU fatigue: how stretched is overstretched?[C]//Advances in Cryptology–ASIACRYPT 2021: 27th International Conference on the Theory and Application of Cryptology and Information Security, Singapore, December 6–10, 2021, Proceedings, Part IV 27. Springer International Publishing, 2021: 3-32.

文章 [XZD+23] 提出了一种特殊形式密文的 NTRU-based GSW-like 加密方案，其秘钥切换过程的效率和同态外积的效率一样。文章使用自同构 $X\to X^t$ 实现盲旋转，而非 AP/FHEW 或者 GINX/TFHE 的自举方式。由于 KS 过程很快，且 NTRU 比 RLWE 少一半的环元素，这使得新的盲旋转算法的计算速度很快。

NTRU-Based GSW-Like Encryption

scalar NTRU ciphertexts：噪声 $g\in R_Q$，私钥 $f\in R_Q$，两者都是短的多项式，且后者是可逆的。消息 $u\in R$，其密文形如
$$NTR{U}_{Q,f,\tau ,\Delta }(u)=\tau \cdot g/f+\Delta \cdot u/f\in R_Q$$
其中的整数 $(\tau ,\Delta )$ 是用于编码的，对于 Regev-like、BGV-like、CKKS-like 的编码方式，参数分别为：

通常的 NTRU 密文形如 $c=t\cdot g/f+m$，上述的密文可以视为加密了 $m=u/f$（存在快速秘钥切换），这是 key-dependent message，因此它需要 KDM security 假设。在 FHE 自举中总是需要循环安全假设，因此安全性降低可忽略。

vector NTRU ciphertexts：类似于 RLWE 扩展到 RGSW 的过程，为了更好地支持同态乘法，我们需要将 NTRU 密文扩展到向量版本，
$$NTR{U}_{Q,f,\tau }^{\prime }(v)=(\tau \cdot g_0/f+B^{0}v,\cdots ,\tau \cdot g_{d-1}/f+B^{d-1}v)\in R_Q^d$$
其中 $g_0,\cdots ,g_{d-1}$ 都是小噪声，它的安全性可归约到一个向量版本的 NTRU 假设。

容易想到数乘运算：给定 $c\in R_Q$，给定 $c^{\prime }=NTR{U}^{\prime }(v)\in R_Q^d$，
$$c\odot c^{\prime }=⟨Deco{m}_B(c),c^{\prime }⟩=\tau \cdot \sum _{i=0}^{d-1}{c}_i{g}_i/f+cv\in R_Q$$
由于 NTRU 密文本身就是单个 $R_Q$ 环元素，容易验证：

1. 同态乘法：输入 $c=NTR{U}_f(u)$，给定 $c^{\prime }=NTR{U}_f^{\prime }(v)$，那么 $c\odot c^{\prime }=NTR{U}_f(uv)$
2. 密钥切换：输入 $c=NTR{U}_{f_1}(u)$，给定 $c^{\prime }=NTR{U}_{f_2}^{\prime }(f_1/f_2)$，那么 $c\odot c^{\prime }=NTR{U}_{f_2}(u)$

两者都只需执行 $d$ 次环元素乘法。

同态自同构运算，就是先对密文（一个环元素）执行自同构映射 ${\psi }_t:a(X)\to a(X^t)$，然后执行 $f(X^t)\to f(X)$ 的秘钥切换。由于前者仅仅是系数的带符号置换，主要的开销就是 KS 过程。

Fast Blind Rotation in the NTRU Setting

遵循 FHEW/TFHE 的盲旋转框架。假设 $q|2N$，令 $Y=X^{2N/q}$ 是阶 $q$ 的单位根，给定 LWE 密文 $(\vec{a},b)\in {\mathbb{Z}}_q^{n+1}$，我们需要计算
$$r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_i{a}_i{s}_i}=r(Y)\cdot Y^{-noised(m)}$$
我们只考虑 Regev-like 编码方式。设置 $r(Y)=\cdot {\sum }_{i=0}^{q-1}[i/\lfloor q/t\rceil {]}_t\cdot Y^{-i}$，那么旋转后的常数项就是 $m\in {\mathbb{Z}}_Q$ 的纠错结果。

[XZD+23] 利用自同构来实现 $Y^{s_i}\to Y^{a_i{s}_i}$ 的计算，因此私钥分布可以是任意的。由于 $N$ 是二的幂次，从而只有 { 1 , 3 , 5 , ⋯   , 2 N − 1 } \{1,3,5,\cdots,2N-1\} {1,3,5,⋯,2N−1} 具有对应的自同构映射，它们都是奇数。然而，$a_i$ 可能是偶数。

[XZD+23] 通过加强约束 $q|N$，然后可以使得指数整体上总是偶数，从而可以将它们都变成奇数，
$$\begin{array}{r}r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_i{a}_i{s}_i}=r(Y)\cdot Y^{-b}\cdot X^{{\sum }_i(2N/q\cdot a_i+1)s_i}\cdot X^{{\sum }_i-s_i}\end{array}$$
简记 $w_i=2N/q\cdot a_i+1$，易知它是奇数。我们令 S = { 2 N i / q + 1 : 1 ≤ i ≤ q − 1 } S=\{2Ni/q+1: 1\le i\le q-1\} S={2Ni/q+1:1≤i≤q−1}，那么 S ∪ { 1 } S \cup \{1\} S∪{1} 就是全部的可能取值。我们需要 $S$ 指示的那些自同构映射，以及对应的 KS 过程。

此外，由于采取了特殊形式的 NTRU 密文，$NTRU(u)=\tau \cdot g/f+\Delta \cdot u/f$，其中 $f$ 是私钥。这导致给定常数 $u$，在没有 $f$ 信息的情况下无法构造出对应的密文，即使噪声 $g=0$ 也不行。但是 ACC 的初值应当加密 $r(Y)\cdot Y^{-b}$，这是自举时确定的常数。[XZD+23] 的方法是在 evaluation key 中添加 $f$ 的信息（而 TFHE/FHEW 的自举秘钥只需要含有 $s$ 的信息）

由于 $w_i=2N/q\cdot a_i+1$ 总是属于 S ∪ { 1 } S \cup \{1\} S∪{1}，因此它们都是模 $2N$ 可逆的，记为 $w_i^{\prime }=[w_i^{-1}{]}_{2N}$。额外地设置 $w_n^{\prime }=1$，它用于清理掉无用数据。

首先，计算初始值 $r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }}$，将它加密到 ACC 中，
$$\begin{array}{rl}{c}_0(X)& =(\Delta \cdot r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }})\odot ev{k}_0\\ & =NTR{U}_{Q,f}\left(r(Y^{w_0^{\prime }})\cdot Y^{-b{w}_0^{\prime }}\cdot X^{s_0}\right)\end{array}$$
接着利用自同构 $X\to X^{w_0{w}_1^{\prime }}$，可以计算出
$$c_0^{\prime }(X)=c_0(X^{w_0{w}_1^{\prime }})=NTR{U}_{Q,f(X^{w_0{w}_1^{\prime }})}\left(r(Y^{w_1^{\prime }})\cdot Y^{-b{w}_1^{\prime }}\cdot X^{w_0{w}_1^{\prime }{s}_0}\right)$$
最后利用 KS 过程，获得
$$\begin{array}{rl}{\hat{c}}_0(X)& =c_0^{\prime }(X)\odot ks{k}_{w_0{w}_1^{\prime }}\\ & =NTR{U}_{Q,f}\left(r(Y^{w_1^{\prime }})\cdot Y^{-b{w}_1^{\prime }}\cdot X^{w_0{s}_0\cdot w_1^{\prime }}\right)\end{array}$$
这就计算出了 $w_0{s}_0$ 的部分。接着，对于 $1\le i\le n-1$ 迭代执行：

1. 计算外积（插入 $s_i$）

$$\begin{array}{rl}{c}_i(X)& ={\hat{c}}_{i-1}(X)\odot ev{k}_i\\ & =NTR{U}_{Q,f}\left(r(Y^{w_i^{\prime }})\cdot Y^{-b{w}_i^{\prime }}\cdot X^{({\sum }_{j=0}^{i-1}{w}_j{s}_j)\cdot w_i^{\prime }+s_i}\right)\end{array}$$

2. 计算自同构（内积 $w_i{s}_i$）

$$c_i^{\prime }(X)=c_i(X^{w_i{w}_{i+1}^{\prime }})=NTR{U}_{Q,f(X^{w_i{w}_{i+1}^{\prime }})}\left(r(Y^{w_{i+1}^{\prime }})\cdot Y^{-b{w}_{i+1}^{\prime }}\cdot X^{({\sum }_{j=0}^i{w}_j{s}_j)\cdot w_{i+1}^{\prime }}\right)$$

3. 执行秘钥切换（回到 $f$ 下）

$$\begin{array}{rl}{\hat{c}}_i(X)& =c_i^{\prime }(X)\odot ks{k}_{w_i{w}_{i+1}^{\prime }}\\ & =NTR{U}_{Q,f}\left(r(Y^{w_{i+1}^{\prime }})\cdot Y^{-b{w}_{i+1}^{\prime }}\cdot X^{({\sum }_{j=0}^i{w}_j{s}_j)\cdot w_{i+1}^{\prime }}\right)\end{array}$$

最后的最后，计算并输出
$$\begin{array}{rl}{c}_n& ={\hat{c}}_{n-1}(X)\odot ev{k}_n\\ & =NTR{U}_{Q,f}\left(r(Y^{w_n^{\prime }})\cdot Y^{-b{w}_n^{\prime }}\cdot X^{({\sum }_{j=0}^{n-1}{w}_j{s}_j)\cdot w_n^{\prime }}\cdot X^{-{\sum }_{j=0}^{n-1}{s}_j}\right)\\ & =NTR{U}_{Q,f}\left(r(Y)\cdot Y^{-b}\cdot Y^{{\sum }_{j=0}^{n-1}{a}_j{s}_j}\right)\end{array}$$
易知，这完成了 $r(Y)$ 盲旋转 $⟨a,s⟩-b$ 的任务。完整的盲旋转算法：

解下来的问题是如何从 NTRU 密文，提取出 LWE 密文。给定 $c=NTR{U}_{Q,f}(u)$，其中 $(\tau =1,\Delta =\lfloor Q/t\rceil )$，那么解密为
$$fc=g+\Delta u\in R_Q$$
其中 $g$ 是短的，$u$ 的常数项是 $m$，所以 $⟨f,c^{\prime }⟩=g_0+\Delta m$，其中 $c^{\prime }=(c_0,-c_{N-1},\cdots ,-c)$ 是反序的系数。那么，可构造出 LWE 密文：
$$LW{E}_{Q,f}(m)=((c_0,-c_{N-1},\cdots ,-c),0)\in {\mathbb{Z}}_Q^{n+1}$$
只要 $g_0/Q\ll e/q$，这里 $e$ 是自举前 LWE 密文噪声，那么自举就是有效的。

Bootstrapping

LWE-based

对于 LWE 密文的自举，是容易的。

RLWE-based

对于 RLWE 密文的自举，先提取出 $n$ 个 LWE 密文，然后分别自举，最后利用 [MS18] 的密文堆叠打包的技术回到 RLWE 密文。

Analysis and Comparisons

选取的参数集：NTRU 问题的模数 $Q$ 过度拉伸，会导致有效的子域攻击；[Dv21] 设计了评估器，给出了疲劳点 $Q\approx 0.004\cdot N^{2.484}$。[XZD+23] 给的参数集却是按照 $Q<N^{2.484}$ 来选取的（似乎有安全问题啊）

复杂度分析：[XZD+23] 盲旋转的渐进复杂度最低，

噪声分析：[XZD+23] 盲旋转的噪声增长最小，

实际性能：[XZD+23] 盲旋转的计算效率最好，