参考文献：

1. [NW96] Nisan N, Wigderson A. Lower bounds on arithmetic circuits via partial derivatives[J]. Computational complexity, 1996, 6: 217-234. Cites “M. Ben-Or, Private communication”.
2. [Gen09] Gentry C. A fully homomorphic encryption scheme[M]. Stanford university, 2009.
3. [GH11] Gentry C, Halevi S. Fully homomorphic encryption without squashing using depth-3 arithmetic circuits[C]//2011 IEEE 52nd annual symposium on foundations of computer science. IEEE, 2011: 107-109.

Gentry’s blueprint

在 [Gen09] 博士论文中，Gentry 提出的 FHE 蓝图为：

1. 首先构造 somewhat homomorphic encryption（SWHE），它可以同态计算低次多项式
2. 压缩 SWHE 的解密电路，把私钥拆分并加密放到公钥中作为 hint，使得解密函数落在 SWHE 可处理的范围内
3. 自举，要么生成一系列公私钥对得到 level FHE，要么假设 circular security 得到 pure FHE

大多数 FHE 的解密电路，都可以表示为一个多线性对称多项式（multilinear symmetric polynomial）。在初始的 FHE 方案中，自举是通过显然的布尔电路实现的。在[GH11] 中，他们使用 [NW96] 引用的 Ben-Or’s observation，将多线性对称多项式分解为 $\sum \prod \sum$ 形式的算术电路。

Restricted Depth-3 Arithmetic Circuits

Symmetric Polynomial

我们简记 $e_k(\vec{x})$ 是 $n$ 变元的 $k$ 次初等对称多项式，其中 x ⃗ = { x 1 , x 2 , ⋯   , x n } \vec x = \{x_1,x_2,\cdots,x_n\} x ={x1​,x2​,⋯,xn​}，
$$e_k(\vec{x})=\sum _{I\subseteq [n],|S|=k}\prod _{i\in I}{x}_i$$

易知，$e_k(x)$ 恰好是多项式 $P(z)={\prod }_{i=1}^n(z+x_i)$ 的单项 $z^{n-k}$ 的系数，
$$P_{\vec{x}}(z)=\sum _{k=0}^n{e}_k(\vec{x})\cdot z^{n-k}$$

给定集合 A = { a 1 , a 2 , ⋯   , a n + 1 } ⊆ Z p A=\{a_1,a_2,\cdots,a_{n+1}\} \subseteq \mathbb Z_p A={a1​,a2​,⋯,an+1​}⊆Zp​，其中 $p\ge n+1$ 使得 $a_i$ 互不相同。给定 $t_j=P(a_j)$，根据拉格朗日插值公式（或者说 CRT），
$$\begin{array}{rl}P(z)& =\sum _{j=1}^{n+1}{t}_j\prod _{i\ne j}\frac{z-a_i}{a_j-a_i}\\ & =\sum _{j=1}^{n+1}{t}_j\left({\lambda }_{j,0}+{\lambda }_{j,1}z+\cdots +{\lambda }_{j,n}{z}^n\right)\\ & =\sum _{j=1}^{n+1}{t}_j{\lambda }_{j,0}+\sum _{j=1}^{n+1}{t}_j{\lambda }_{j,1}z+\cdots +\sum _{j=1}^{n+1}{t}_j{\lambda }_{j,n}{z}^n\end{array}$$

于是各个初等对称多项式的插值公式为：
$$e_k(\vec{x})=\sum _{j=1}^{n+1}{\lambda }_{jk}P(a_j)=\sum _{j=1}^{n+1}{\lambda }_{jk}\prod _{i=1}^n(a_j+x_i)(\mathrm{mod}p)$$

其中 ${\lambda }_{jk},a_j$ 都是 ${\mathbb{Z}}_p$ 上常数，这样我们就把 $e_k(\vec{x})$ 写成了 $\sum \prod \sum$ 形式的算术电路。

进一步根据对称多项式基本定理，任意的对称多项式 $f(\vec{x})$ 都可以写成 $f(\vec{x})=g(e_1(\vec{x}),\cdots ,e_n(\vec{x})),\exists g$ 的形式。特别地，任意的多线性对称多项式（即所有单项中各个变元的次数至多为 $1$）$f(\vec{x})$ 都可以写成初等对称多项式的线性组合 $f(\vec{x})={\sum }_{k=0}^n{l}_k\cdot e_k(\vec{x})$，依旧形如 $f(\vec{x})={\sum }_{j=1}^{n+1}{\lambda }_j{\prod }_{i=1}^n(a_j+x_i)(\mathrm{mod}p)$，仅仅是插值系数 $\lambda$ 有所变化。

对于布尔输入 x ⃗ ∈ { 0 , 1 } n \vec x \in \{0,1\}^n x ∈{0,1}n，由于 $x_i^k=x_i$，因此任意的对称多项式 $S(\vec{x})$ 都可以拍平（flatten）为多线性对称多项式 $M(\vec{x})$，它们在空间 { 0 , 1 } n \{0,1\}^n {0,1}n 上完全匹配。

Ben-Or’s Observation

[GH11] 将 SWHE 的解密函数写成电路形式 $D_c(s)$，电路依赖于密文 $c$ 的 “明文” （并非所它加密的消息），它输入私钥 $s$ 的密文，然后根据电路做相应的算术运算。我们将 SWHE 的解密函数写成 “受限” 形式，即先计算一个固定集合 $\mathcal{L}$ 中的多项式，然后将这些多项式结果组合起来得到解密函数。这里的 $\mathcal{L}$ 与密文 $c$ 无关，它们在 SWHE 下同态计算（加法）。

受限的算术电路：

目前已知的 SWHE 基本都满足 $L_j$ 是线性函数，此时的 degree of $C$ 恰好是 degree of polynomial。

多线性对称函数可以用受限算术电路计算：

上述的受限电路 $C(\vec{x})$ 的构造如下：

1. 给定多线性对称多项式的一些数值 $M(1^i{0}^{n-i}),i=0,1,\cdots ,n$

2. 假设 $M(\vec{x})={\sum }_{i=0}^n{l}_i\cdot e_i(\vec{x})$，我们可以递归地计算出组合系数 $l_i$，

   输入 $\vec{x}=1^k{0}^{n-k}$ 时，必有 $e_i(\vec{x})=0,i>k$，
   $$M(1^k{0}^{n-k})=l_k+\sum _{i=0}^{k-1}{l}_i\cdot e_i(1^k{0}^{n-k})$$

   并且 $e_i(1^k{0}^{n-k})=\left(\genfrac{}{}{0ex}{}{k}{i}\right)$，变换得到
   $$l_k=M(1^k{0}^{n-k})-\sum _{i=0}^{k-1}{l}_i\cdot \left(\genfrac{}{}{0ex}{}{k}{i}\right)$$

   所以我们先计算 $l_0=M(0^n)$，然后迭代计算出 $l_i,i\ge 1$，于是就得到了 $M(\vec{x})={\sum }_{i=0}^n{l}_i\cdot e_i(\vec{x})$ 的各个组合系数

3. 利用 $P(z)={\prod }_{i=1}^n(z+x_i)$ 可以插值得到各个 $e_k(\vec{x})={\sum }_{j=1}^{n+1}{\lambda }_{jk}{\prod }_{i=1}^n(a_j+x_i)(\mathrm{mod}p)$ 的插值系数，于是我们可以合并系数 ${\lambda }_{jk},l_i$，得到组合系数 ${\lambda }_j$，
   $$M(\vec{x})=\sum _{j=1}^{n+1}{\lambda }_j\prod _{i=1}^n(a_j+x_i)(\mathrm{mod}p)$$

   这便是 L A = { a j + x i : i ∈ [ n ] , j ∈ [ n + 1 ] } \mathcal L_A = \{a_j+x_i: i\in[n],j\in[n+1]\} LA​={aj​+xi​:i∈[n],j∈[n+1]} 下的 $n$ 度受限电路

单变元多项式可以转化为多线性对称多项式：

上述的 $M_f(\vec{b})$ 构造如下：

1. 定义 $g:{\mathbb{Z}}_p^{Tn}\to {\mathbb{Z}}_p$ 为多项式 $g(\vec{x})=f({\sum }_i{x}_i)$，易知 $g$ 是对称多项式，并满足
   $$f(\sum _i{b}_i\cdot t_i)=g(b_1^{t_1}{0}^{T-t_1},\cdots ,b_n^{t_n}{0}^{T-t_n})$$

2. 因为 $\vec{b}$ 是布尔向量，因此 $g$ 是布尔输入的对称多项式，可以拍平为多线性对称多项式 $M_f$

3. 令 $A\subseteq {\mathbb{Z}}_p$ 包含 $Tn+1$ 个不同元素，那么可以插值得到 $M_f$ 的受限电路，度数为 $Tn$

特别地，令 $t_i=2^{i-1},i=1,\cdots ,n$，那么 ${\sum }_i{b}_i{t}_i$ 可以表出范围 $[0,2^n-1]$ 的所有整数，不过此时 $T\ge 2^{n-1}$，为了计算效率我们要求 $n$ 是较小的数。

Decryption Using a Restricted Depth-3 Circuit

假如我们将 SWHE 的解密函数写成多线性对称多项式 $f(\vec{x})={\sum }_{j=1}^{n+1}{\lambda }_j{\prod }_{i=1}^n(a_j+x_i)(\mathrm{mod}p)$，那么我们就可以先在 SWHE 下同态计算加法 $a_j+x_i$，然后转换到 MHE 下（公钥中 hint 信息）同态计算乘法 ${\lambda }_j{\prod }_i(a_j+x_i)$，最后回到 SWHE 上（同态解密）同态计算加法 ${\sum }_j{\lambda }_j{\prod }_i(a_j+x_i)$。在这个自举过程中，SWHE 只需要支持 MHE 的解密函数即可，不必支持 SWHE 本身的解密函数。

当然，此时 FHE 的安全性依赖于底层的 SWHE 和 MHE 的安全性。假如 MHE 使用 ElGamal 公钥方案，那么 FHE 的难度就不是基于最坏情况下格上困难问题了，而是基于离散对数问题。或者使用格上的 AHE 取代 MHE，计算 $D{L}_g(a_j+x_i)$ 的加和（而非 $(a_j+x_i)$ 的乘积），并设置较小的 $p$ 使得离散对数问题容易求解，这使得 SWHE 和 AHE 同样基于最坏情况下格上困难问题，更加安全。

不同的 SWHE 的解密函数略有不同，不过一般地都需要计算内积和圆整 $\lfloor \vec{c}\cdot S\rceil (\mathrm{mod}p)$（对于标准 SIS/LWE），其中 $\vec{c}\in {\mathbb{Z}}_p^n$ 是密文向量，$S\in {\mathbb{Q}}_p^{n\times n}$ 是私钥矩阵。假设可将私钥分解为 $S={\sum }_{i=1}^N{s}_i{T}_i$，其中 $s_i\in {\mathbb{Z}}_p$ 是秘密的标量，而 $T_i\in {\mathbb{Q}}_p^{n\times n}$ 是公开矩阵（例如 $S$ 的二进制分解， s i ∈ { 0 , 1 } s_i \in \{0,1\} si​∈{0,1}）。那么，给定密文 $\vec{c}$，预计算 ${\vec{u}}_i=\vec{c}\cdot T_i$，假设 $u_i=u_i^{\prime }.u_i^{\prime \prime }$ 是有限精度有理数，小数位 $u_i^{\prime \prime }$ 长度为 $\kappa =\lfloor \log (N+1)\rceil$ 比特，
$$\lfloor \vec{c}\cdot S\rceil =\lfloor \sum _{i=1}^N{s}_i\cdot {\vec{u}}_i\rceil =\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime }+\lfloor 2^{-\kappa }\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime }\rceil (\mathrm{mod}p)$$

由于 ${\sum }_{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime }\le N\cdot (2^{\kappa }-1)\le 2N^2$，因此只要 $p>2N^2$，我们可以使用插值算法得到至多 $2N^2$ 度的单变元多项式 $f(x)$，使得它计算小数部分的取整运算：
$$f(\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime })=\lfloor 2^{-\kappa }\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime }\rceil (\mathrm{mod}p)$$

进而可将 $f({\sum }_i{s}_i{\vec{u}}_i^{\prime \prime })$ 写成某个多线性对称多项式 $M_f(\vec{b})$（被 $u_i^{\prime \prime }$ 或者说 $c$ 指定），它可以用 ${\mathcal{L}}_A$ 受限电路来计算，度数至多为 $2N^2$。为了把整数部分 ${\sum }_{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime }$ 也写成 ${\mathcal{L}}_A$ 受限电路的形式，可以拆解为
$$\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime }=-a_1\sum _i{\vec{u}}_i^{\prime }+\sum _{i=1}^N(a_1+s_i)\cdot {\vec{u}}_i^{\prime }$$

其中 $-a_1{\sum }_i{\vec{u}}_i^{\prime }$ 和 ${\vec{u}}_i^{\prime }$ 都是常数。因此 $\lfloor \vec{c}\cdot S\rceil (\mathrm{mod}p)$ 可以完全写成 ${\mathcal{L}}_A$ 受限电路的形式，包括 $\sum \prod \sum$ 三层运算。

Chimeric Leveled FHE

Compatible SWHE and MHE Schemes

SWHE 和 MHE 都有一定的计算范围，称为它们的 Homomorphic Capacity。SWHE 由于噪声累积，只能计算一些低度数的多项式；MHE 由于代数结构限制，只能计算限定数域上的乘法。

为了在 SWHE 的自举中嵌入 MHE，必须设置合适的参数，使得两者的 Homomorphic Capacity 相匹配，称为 chimerically compatible，定义如下：

The Construction

给定两个兼容的 SWHE 和 MHE，可以构造出如下的 level FHE：

对于 pure FHE，只需假设循环安全，并略微修改 $KeyGen$ 步骤中的 $pk$ 即可。只要底层的 SWHE 和 MHE 都是语义安全的，那么上述的 FHE 也是语义安全的。

Optimizations

ElGamal Decrypt

如果 MHE 使用 ElGamal 算法，选取安全素数 $p=2q+1$，在 $QR(p)$ 中 DDH 是困难的。密文形如 $(y,z)=(g^r,m\cdot g^{-er})$，其中 $e\in {\mathbb{Z}}_q$ 是私钥，$g^{-e}\in QR(p)$ 是公钥，注意明文空间 $m\in QR(p)$。解密算法为 $m=y^{e}z$，如果直接用 SWHE 加密指数 $e$，那么同态 MHE 解密并不容易。我们做二进制分解 $e={\sum }_i{e}_i{2}^i$，然后条件分支语句代数化，
$$y^{e_i{2}^i}=e_i{y}^{2^i}+(1-e_i)y^0=e_i(y^{2^i}-1)+1$$

这就把模幂运算转化为了数乘运算，最后把这些数乘结果 $y^{e_i{2}^i}$ 做连乘积得到 $y^e$。我们用 SWHE 加密各个布尔值 e i ∈ { 0 , 1 } e_i \in \{0,1\} ei​∈{0,1}，同态 MHE 解密时只需 $\lceil \log (q+1)\rceil$ 的乘法深度（与 SWHE 的解密电路深度无关）。

Only One Product

SWHE 的解密函数主要是计算 $\lfloor \vec{c}\cdot S\rceil (\mathrm{mod}p)$ 的小数部分取整函数 $f({\sum }_{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime })$，其中 $u_i^{\prime \prime }\le 2N$，因此可转化为多线性对称多项式 $M_f$，
$$\begin{array}{rl}f(\sum _{i=1}^N{s}_i\cdot {\vec{u}}_i^{\prime \prime })& =M_f(\cdots ,s_i^{u_i^{\prime \prime }}{0}^{2N-u_i^{\prime \prime }},\cdots )\\ & =\sum _{j=1}^{2N^2+1}{\lambda }_j\prod _{i=1}^N(a_j+s_i{)}^{u_i^{\prime \prime }}{a}_j^{2N-u_i^{\prime \prime }}\\ & =\sum _{j=1}^{2N^2+1}{\lambda }_{j}P(a_j)\end{array}$$

令 $v={\sum }_{s_i=1}{u}_i^{\prime \prime }$，那么 $P(a_j)=(a_j+1{)}^v{a}_j^{2N^2-v}$，只需知道一对 $(a_j,P(a_j))$ 的值就可以确定 $v$ 的值，这说明 $P(a_j),j=1,\cdots ,2N^2+1$ 是高度冗余的。

可以随机选择 $a_1,a_1+1\in QR(p)$（占比为 $(p-3)/4$），然后随机选择 $e_j\in {\mathbb{Z}}_q$，计算出
$$w_j=((a_1+1{)}^{e_j}-a_1^{e_j}{)}^{-1}$$

那么可以验证：
$$a_j=w_j\cdot a_1^{e_j},a_j+1=w_j\cdot (a_1+1{)}^{e_j}$$

满足 $a_j,a_j+1\in QR(p)$ 的概率约为 $1/2$。易知，它们满足：
$$P(a_j)=(a_j+1{)}^v{a}_j^{2N^2-v}=w_j^{2N^2}\cdot P(a_1{)}^{e_j}$$

我们存储 $(a_j,w_j,e_j)$ 作为数组 $A$，于是我们只需在 MHE 下同态乘法计算出 $P(a_1)$，然后再进行少量乘法和数乘即可计算出 $P(a_j)$。

另外，这个技术也可以用于 FHE 密文压缩，我们仅存储加密了 $P(a_1)$ 的单个 ElGamal 密文（需要先把解密函数处理成 “纯的” 多线性对称多项式）。