一个密文，多个消息：FHE中的SIMD操作

一个密文，多条消息：FHE 中的 SIMD 操作

全同态加密 (FHE) 承诺了一项革命性的能力：在加密数据上执行任意计算，而无需对其进行解密。 这一突破实现了安全的云计算，即使在处理过程中，敏感数据也能得到保护。 然而，早期的 FHE 方案面临着一个关键的瓶颈。 考虑一个简单的任务，例如将两个长度为 1000 的加密向量相加。 这将需要 1000 个单独的同态加法，每个加法都涉及对大型多项式进行昂贵的运算。 对于处理海量数据集的实际应用，这种逐个元素的方法会产生过高的计算开销。

现代 FHE 方案（如 BGV、BFV 和 CKKS）通过一个优雅的数学洞察力解决了这一挑战：它们可以将多个明文值打包到单个密文中，并同时对所有打包的值执行操作。

这些方案不是加密单个数字，而是：

• 将数百或数千个值打包到单个密文中的“槽”中
• 执行并行影响所有槽的同态运算
• 支持复杂的数据移动操作，如旋转和排列

这种 单指令多数据 (SIMD) 方法将 FHE 从一种理论上的好奇转变为一种实用的工具。 单个同态乘法现在可以一次处理整个向量，从而实现几个数量级的加速。

本文探讨了这些 SIMD 运算背后的数学基础。 我们将看到代数和数论中的抽象概念如何结合起来，为并行同态计算创建一个强大的框架。 虽然数学很复杂，但理解这些基础知识对于实现高效的 FHE 应用程序和突破加密计算的可能性至关重要。

数学基础

本文假设你熟悉群和环的基础知识，例如分配律和具有单位元的环的基本性质。 如果你使用过基本群论，那么你应该没问题。

理想

定义。 设 RRR 为一个环。 子集 I⊆RI \subseteq RI⊆R 称为理想，当：

1. (I,+)(I, +)(I,+) 构成 (R,+)(R, +)(R,+) 的一个子群
2. 对于任何 r∈Rr \in Rr∈R 和 a∈Ia \in Ia∈I ，r×ar \times ar×a 和 a×ra \times ra×r 都属于 III

第二个条件使理想变得特殊，它们“吸收”与环中任何元素的乘法。 这就像拥有一个数学黑洞，可以吸引你与之相乘的任何东西。

例子。 在整数 Z\mathbb{Z}Z 中，考虑 nnn 的所有倍数的集合 nZ={nk∣k∈Z}n\mathbb{Z} = \{nk \mid k \in \mathbb{Z}\}nZ={nk∣k∈Z}。 这构成了一个理想，因为将 nnn 的任何倍数乘以任何整数都会得到 nnn 的另一个倍数。

主理想

主理想是最简单的一种，由单个元素生成。 给定 a∈Ra \in Ra∈R，我们可以创建理想

(a)={r×a∣r∈R}.(a) = \{r \times a \mid r \in R\}.(a)={r×a∣r∈R}.

这捕获了包含 aaa 的最小理想。 这是你可以通过将 aaa 乘以环中的元素获得的所有东西。

构建新环：商

给定一个环 RRR 和一个理想 III，我们可以构造一个全新的环，称为商环 R/IR/IR/I。

R/IR/IR/I 的元素是陪集，可以将它们视为 a+I={a+i∣i∈I}a + I = \{a + i \mid i \in I\}a+I={a+i∣i∈I} (对于 a∈Ra \in Ra∈R) 的等价类。 我们通过以下方式定义对这些陪集的操作：

• 加法： (a+I)+(b+I)=(a+b)+I(a + I) + (b + I) = (a + b) + I(a+I)+(b+I)=(a+b)+I
• 乘法： (a+I)×(b+I)=(a×b)+I(a + I) \times (b + I) = (a \times b) + I(a+I)×(b+I)=(a×b)+I

例子：

1. Z/nZ\mathbb{Z}/n\mathbb{Z}Z/nZ：这给了我们熟悉的“时钟算术” - 模 nnn 的整数，元素为 {0,1,2,…,n−1}\{0, 1, 2, \ldots, n-1\}{0,1,2,…,n−1}。

2. 多项式商：取 R=F[X]R = \mathbb{F}[X]R=F[X]，I=(f(X))I = (f(X))I=(f(X))，我们得到模 f(X)f(X)f(X) 的多项式 - 本质上是多项式算术，我们在其中使用关系 f(X)=0f(X) = 0f(X)=0 替换高次幂。

单位根

在任何环 RRR 中，nnn 次单位根是一个元素 ζ\zetaζ 使得 ζn=1\zeta^n = 1ζn=1。 但我们特别感兴趣的是本原 nnn 次单位根 ζk≠1\zeta^k \neq 1ζk=1，对于所有正整数 k<nk < nk<n。

这是一个关键的洞察：ζnk\zeta_n^kζnk​ 是本原 nnn 次单位根当且仅当 gcd⁡(k,n)=1\gcd(k,n)=1gcd(k,n)=1。

为什么这样有效

设 ζn=e2πi/n\zeta_n = e^{2\pi i / n}ζn​=e2πi/n。 nnn 次单位根是 nnn 个不同的幂 ζn0,ζn1,…,ζnn−1\zeta_n^0, \zeta_n^1, \ldots, \zeta_n^{n-1}ζn0​,ζn1​,…,ζnn−1​，因此 ζn\zeta_nζn​ 本身是本原的。

关键的观察是 ζna=1\zeta_n^a = 1ζna​=1 当且仅当 aaa 可被 nnn 整除。 原因是：写成 n=aq+rn = aq + rn=aq+r，其中 0≤r<a0 \leq r < a0≤r<a。 那么 ζnr=ζnn−aq=1\zeta_n^r = \zeta_n^{n-aq} = 1ζnr​=ζnn−aq​=1。 但由于 ζn\zeta_nζn​ 是本原的，因此这仅在 r=0r = 0r=0 时发生。

现在，如果 gcd⁡(k,n)=d>1\gcd(k,n) = d > 1gcd(k,n)=d>1，那么 (ζnk)n/d=ζnk⋅n/d=ζnn⋅k/d=1(\zeta_n^k)^{n/d} = \zeta_n^{k \cdot n/d} = \zeta_n^{n \cdot k/d} = 1(ζnk​)n/d=ζnk⋅n/d​=ζnn⋅k/d​=1 ，所以 ζnk\zeta_n^kζnk​ 不是本原的。

反之，如果 gcd⁡(k,n)=1\gcd(k,n) = 1gcd(k,n)=1 且 (ζnk)r=1(\zeta_n^k)^r = 1(ζnk​)r=1，那么 nnn 除 krkrkr。 由于 nnn 和 kkk 互质，因此我们必须使 nnn 除 rrr。 这意味着 ζnk\zeta_n^kζnk​ 的第一个等于 111 的正幂是 nnn 次幂。

Euler总计函数 φ(n)\varphi(n)φ(n) 准确地计算了这些“好的”指数 - 与 nnn 互质的正整数 k≤nk \leq nk≤n。 因此，恰好有 φ(n)\varphi(n)φ(n) 个本原 nnn 次单位根。

例子。 在复数中，本原 nnn 次单位根恰好是 e2πik/ne^{2\pi i k/n}e2πik/n，其中 gcd⁡(k,n)=1\gcd(k,n) = 1gcd(k,n)=1。

Euler总计函数 φ(n)\varphi(n)φ(n) 计算高达 nnn 的与 nnn 互质的正整数： φ(n)=∣{1≤k≤n∣gcd⁡(k,n)=1}∣\varphi(n) = |\{1 \leq k \leq n \mid \gcd(k,n)=1\}|φ(n)=∣{1≤k≤n∣gcd(k,n)=1}∣

一个具体的例子：F32\mathbb{F}_{3^2}F32​ 中的 8 次单位根

让我们计算一个具体的例子。 我们将在二次扩展中找到 8 次单位根

F32=F3[X]/(X2+1)\mathbb{F}_{3^2} = \mathbb{F}_3[X]/(X^2+1)F32​=F3​[X]/(X2+1)

我们应该期望有多少个根？

在大小为 qqq 的有限域中，乘法群 Fq×\mathbb{F}_q^{\times}Fq×​ 的阶数为 q−1q-1q−1。

• 如果 nnn 与 q−1q-1q−1 互质，那么 Fq\mathbb{F}_qFq​ 仅包含平凡的 nnn 次单位根：仅 111。
• 如果 nnn 除 q−1q-1q−1，则该域包含恰好 nnn 个不同的 nnn 次单位根，形成该阶的唯一子群。

这里，q=9q = 9q=9，所以 q−1=8q-1 = 8q−1=8。 由于 888 除 888，因此我们期望所有八个 8 次单位根存在于 F32×\mathbb{F}_{3^2}^{\times}F32×​ 中。

找到全部八个根

我们将 F32\mathbb{F}_{3^2}F32​ 的元素写成 a+bxa+bxa+bx 的形式，其中 a,b∈{0,1,2}a,b \in \{0,1,2\}a,b∈{0,1,2}，其中 x2=−1≡2(mod3)x^2 = -1 \equiv 2 \pmod{3}x2=−1≡2(mod3)。

使用 Sage（或者如果你感觉有野心，也可以手动）：

R.<t> = PolynomialRing(GF(3))
F.<x> = GF(3^2, modulus = t^2 + 1)

roots8 = [z for z in F if z^8 == 1]
print(roots8)

这给了我们：

1,x+1,2x,2x+1,2,2x+2,x,x+21, x + 1, 2x, 2x + 1, 2, 2x + 2, x, x + 21,x+1,2x,2x+1,2,2x+2,x,x+2

F32\mathbb{F}_{3^2}F32​ 中 z8=1z^8 = 1z8=1 的所有八个解。

哪些是本原的？

当元素的阶数恰好为 888 时，该元素是本原的。 Euler总计告诉我们 φ(8)=4\varphi(8) = 4φ(8)=4，因此我们的八个根中恰好有四个应该是本原的。

g = F.multiplicative_generator()
primitive = [g^k for k in (1,3,5,7)]
print(primitive)

这揭示了：

{x+1,2x+1,2x+2,x+2}\{x+1, 2x+1, 2x+2, x+2\}{x+1,2x+1,2x+2,x+2}

这四个是我们的本原 8 次根。 剩余根的阶数为 1、2 或 4。

分圆多项式：收集本原根

nnn 次分圆多项式 Φn(X)\Phi_n(X)Φn​(X) 旨在准确捕获本原 nnn 次单位根。 在有理数上：

Φn(X)=∏1≤k≤ngcd⁡(k,n)=1(X−ζnk)\Phi_n(X) = \prod_{\substack{1 \leq k \leq n\\\gcd(k,n)=1}} (X - \zeta_n^k)Φn​(X)=1≤k≤ngcd(k,n)=1​∏​(X−ζnk​)

该多项式的阶数为 φ(n)\varphi(n)φ(n) - 每个本原根一个因子。

让我们构造 Φ8(X)\Phi_8(X)Φ8​(X)

根据定义：

Φ8(X)=∏1≤k≤8gcd⁡(k,8)=1(X−ζ8k)=X4+1\Phi_8(X) = \prod_{\substack{1 \leq k \leq 8\\\gcd(k,8)=1}} (X-\zeta_8^k) = X^4+1Φ8​(X)=1≤k≤8gcd(k,8)=1​∏​(X−ζ8k​)=X4+1

这给了我们一个在 Q\mathbb{Q}Q 上不可约的四次首一多项式（阶数 φ(8)=4\varphi(8) = 4φ(8)=4）。

同态：结构保持映射

群同态

群 (G,⋅)(G, \cdot)(G,⋅) 和 (H,∗)(H, *)(H,∗) 之间的群同态是一个函数 ϕ:G→H\phi: G \to Hϕ:G→H，它尊重群运算：

ϕ(a⋅b)=ϕ(a)∗ϕ(b)\phi(a \cdot b) = \phi(a) * \phi(b)ϕ(a⋅b)=ϕ(a)∗ϕ(b)

每个同态都有两个重要的子集：

• 核： ker⁡(ϕ)={g∈G∣ϕ(g)=eH}\ker(\phi) = \{g \in G \mid \phi(g) = e_H\}ker(ϕ)={g∈G∣ϕ(g)=eH​} （映射到单位元的元素）
• 像： im(ϕ)={ϕ(g)∣g∈G}\text{im}(\phi) = \{\phi(g) \mid g \in G\}im(ϕ)={ϕ(g)∣g∈G} (所有可能的输出)

两者都形成各自群的子群。

环同态

类似地，环 (R,+,×)(R, +, \times)(R,+,×) 和 (S,⊕,⊙)(S, \oplus, \odot)(S,⊕,⊙) 之间的环同态保留了两种运算：

• ψ(a+b)=ψ(a)⊕ψ(b)\psi(a + b) = \psi(a) \oplus \psi(b)ψ(a+b)=ψ(a)⊕ψ(b)
• ψ(a×b)=ψ(a)⊙ψ(b)\psi(a \times b) = \psi(a) \odot \psi(b)ψ(a×b)=ψ(a)⊙ψ(b)
• ψ(1R)=1S\psi(1_R) = 1_Sψ(1R​)=1S​ （保留乘法单位元）

同构：当结构“相同”时

当同态是双射时，我们称其为同构。 从代数的角度来看，同构结构本质上是相同的 - 它们具有相同的“形状”。

自同构是从结构到其自身的同构。 群 GGG 的所有自同构的集合在组合下形成一个群，记为 Aut(G)\text{Aut}(G)Aut(G)。

中国剩余定理：一个强大的分解

设 RRR 是具有单位元的交换环，I1,I2,…,InI_1, I_2, \ldots, I_nI1​,I2​,…,In​ 为互素理想（意味着 Ii+Ij=RI_i + I_j = R 只要 i≠ji \neq ji=j）。 定义 I=I1∩I2∩⋯∩InI = I_1 \cap I_2 \cap \cdots \cap I_nI=I1​∩I2​∩⋯∩In​。 那么我们有一个同构：

R/I≅(R/I1)×(R/I2)×⋯×(R/In)R/I \cong (R/I_1) \times (R/I_2) \times \cdots \times (R/I_n)R/I≅(R/I1​)×(R/I2​)×⋯×(R/In​) 为什么这样有效

我们将通过对理想的数量进行归纳来证明这一点。

基本情况 (n=2n = 2n=2)： 设 I,JI, JI,J 为互素理想，其中 I+J=RI + J = RI+J=R。 我们想证明 R/(I∩J)≅(R/I)×(R/J)R/(I \cap J) \cong (R/I) \times (R/J)R/(I∩J)≅(R/I)×(R/J)。

考虑自然映射：

φ:R→(R/I)×(R/J),x↦(x+I,x+J)\varphi: R \to (R/I) \times (R/J), \quad x \mapsto (x+I, x+J)φ:R→(R/I)×(R/J),x↦(x+I,x+J)

根据第一同构定理，足以证明 φ\varphiφ 是满射的，核为 I∩JI \cap JI∩J。

环的第一同构定理：如果 φ ⁣:R⟶S\varphi\colon R \;\longrightarrow\; Sφ:R⟶S 是核为 ker⁡(φ)\ker(\varphi)ker(φ) 的满射环同态，则 φ\varphiφ 导出自然环同构

φ:R/ker⁡(φ)→∼S,r+ker⁡(φ)↦φ(r).\varphi: R/\ker(\varphi) \;\xrightarrow{\;\sim\;}\; S, \qquad r + \ker(\varphi)\mapsto\;\varphi(r).φ:R/ker(φ)∼​S,r+ker(φ)↦φ(r).

核验证： 我们有

x∈ker⁡φ⇔(x+I,x+J)=(0+I,0+J)⇔x∈I 且 x∈J⇔x∈I∩Jx \in \ker\varphi \Leftrightarrow (x+I, x+J) = (0+I, 0+J) \Leftrightarrow x \in I \text{ 且 } x \in J \Leftrightarrow x \in I \cap Jx∈kerφ⇔(x+I,x+J)=(0+I,0+J)⇔x∈I 且 x∈J⇔x∈I∩J

满射： 取任意 (x1+I,x2+J)∈(R/I)×(R/J)(x_1+I, x_2+J) \in (R/I) \times (R/J)(x1​+I,x2​+J)∈(R/I)×(R/J)。 由于 I+J=RI + J = RI+J=R，我们可以找到 y1∈Iy_1 \in Iy1​∈I 和 y2∈Jy_2 \in Jy2​∈J，其中 y1+y2=1y_1 + y_2 = 1y1​+y2​=1。

定义 x=x1+y1(x2−x1)=x2−y2(x2−x1)x = x_1 + y_1(x_2 - x_1) = x_2 - y_2(x_2 - x_1)x=x1​+y1​(x2​−x1​)=x2​−y2​(x2​−x1​)。

那么 x≡x1(modI)x \equiv x_1 \pmod{I}x≡x1​(modI) 且 x≡x2(modJ)x \equiv x_2 \pmod{J}x≡x2​(modJ)，所以 φ(x)=(x1+I,x2+J)\varphi(x) = (x_1+I, x_2+J)φ(x)=(x1​+I,x2​+J)。

归纳步骤： 假设该定理对于 nnn 个理想成立。 对于 n+1n+1n+1 个互素理想 I1,…,In+1I_1, \ldots, I_{n+1}I1​,…,In+1​，观察到 I1,…,In−1,In∩In+1I_1, \ldots, I_{n-1}, I_n \cap I_{n+1}I1​,…,In−1​,In​∩In+1​ 是两两互素的。

根据归纳假设：

R/I≅(R/I1)×⋯×(R/In−1)×(R/(In∩In+1))R/I \cong (R/I_1) \times \cdots \times (R/I_{n-1}) \times (R/(I_n \cap I_{n+1}))R/I≅(R/I1​)×⋯×(R/In−1​)×(R/(In​∩In+1​))

将基本情况应用于 InI_nIn​ 和 In+1I_{n+1}In+1​：

R/(In∩In+1)≅R/In×R/In+1R/(I_n \cap I_{n+1}) \cong R/I_n \times R/I_{n+1}R/(In​∩In+1​)≅R/In​×R/In+1​

将这些结合起来得到所需的结果。

全同态加密中的 SIMD 运算

现在我们进入激动人心的部分 - 所有这些抽象代数如何在加密数据中实现强大的并行计算。

我们的多项式存在的地方

我们从商环 A=Z[X]/(Φm(X))A = \mathbb{Z}[X]/(\Phi_m(X))A=Z[X]/(Φm​(X)) 开始，其中 Φm(X)\Phi_m(X)Φm​(X) 是 mmm 次分圆多项式。 这是我们的基本工作区。

在同态加密中，我们不直接加密整数。 相反，我们在作为明文空间的素域 Fp=Z/pZ\mathbb{F}_p = \mathbb{Z}/p\mathbb{Z}Fp​=Z/pZ 上工作。 将所有系数模 ppp 归约得到明文环：

Ap=Fp[X]/(Φm‾(X))A_p = \mathbb{F}_p[X]/(\overline{\Phi_m}(X))Ap​=Fp​[X]/(Φm​​(X))

横线只是提醒我们已经完成了模归约。

分圆分解的魔力

这里是数论提供一些美妙的东西的地方。 只要 ppp 不能整除 mmm，分圆多项式 Φm(X)\Phi_m(X)Φm​(X) 就可以在 Fp\mathbb{F}_pFp​ 上完全分解为相等阶的不可约片段：

Φm‾(X)=F1(X)F2(X)⋯Fn(X)modp\overline{\Phi_m}(X) = F_1(X) F_2(X) \cdots F_n(X) \bmod pΦm​​(X)=F1​(X)F2​(X)⋯Fn​(X)modp

每个 FiF_iFi​ 都是不可约的，阶数为 d=ordm(p)d = \text{ord}_m(p)d=ordm​(p) - ppp 模 mmm 的乘法阶。

让我们选择任何不可约因子，例如 F1(X)F_1(X)F1​(X)，并定义：

E=Zp[X]/(F1(X)),η=[XmodF1(X)]∈EE = \mathbb{Z}_p[X]/(F_1(X)), \quad \eta = [X \bmod F_1(X)] \in EE=Zp​[X]/(F1​(X)),η=[XmodF1​(X)]∈E

由于 F1(X)F_1(X)F1​(X) 是不可约的，因此 EEE 变为具有 pdp^dpd 个元素的域。 EEE 中的每个元素都可以写成 f(η)f(\eta)f(η) 形式，其中 f(X)f(X)f(X) 是某个多项式。 请注意，η\etaη 是 F1(X)F_1(X)F1​(X) 的根，使其成为本原 mmm 次单位根。

为什么陪集 η=[X]\eta=[X]η=[X] 立即成为 F1F_1F1​ 的根：形成商环

E=Zp[X]/(F1(X))E = \mathbb{Z}_p[X]/(F_1(X))E=Zp​[X]/(F1​(X))

只不过是在环内声明多项式 F1(X)F_1(X)F1​(X) 现在等于零。

• 投影 π:Zp[X]→E\pi:\mathbb{Z}_p[X]\to Eπ:Zp​[X]→E 将每个多项式发送到它的陪集。 写成

  η:=π(X)=X+(F1(X)).\eta := \pi(X) = X + (F_1(X)).η:=π(X)=X+(F1​(X)).

  这个 η\etaη 是“XXX 的像”。

• 因为 F1(X)F_1(X)F1​(X) 在我们进行因式分解的理想中，所以它的陪集为 000： π(F1(X))=0.\pi\bigl(F_1(X)\bigr)=0.π(F1​(X))=0.

  但 π\piπ 是同态，因此 π(F1(X))=F1(π(X))=F1(η)\pi\bigl(F_1(X)\bigr)=F_1\bigl(\pi(X)\bigr)=F_1(\eta)π(F1​(X))=F1​(π(X))=F1​(η)。 因此 F1(η)=0F_1(\eta)=0F1​(η)=0 在 EEE 中。 通过构造，η\etaη 的行为完全像 F1F_1F1​ 的根。

多项式 Φm‾(X)\overline{\Phi_m}(X)Φm​​(X) 在 EEE 中具有 φ(m)\varphi(m)φ(m) 个不同的根，特别是 ηj\eta^jηj，对于单位群 Zm∗\mathbb{Z}_m^*Zm∗​ 中的每个 jjj。 这些根均匀地分布在不可约因子之间，每个因子精确地得到 ddd 个根。

要理解分布，请考虑子群：

H=⟨pˉ⟩⊂Zm∗,pˉ:=[pmodm]H = \langle \bar{p} \rangle \subset \mathbb{Z}_m^*, \quad \bar{p} := [p \bmod m]H=⟨pˉ​⟩⊂Zm∗​,pˉ​:=[pmodm] 这个子群的阶数为 ddd，并且包含 1,pˉ,pˉ2,…,pˉd−11, \bar{p}, \bar{p}^2, \ldots, \bar{p}^{d-1}1,pˉ​,pˉ​2,…,pˉ​d−1。

当我们形成商群 Zm∗/H\mathbb{Z}_m^*/HZm∗​/H 时，我们得到 n=φ(m)/dn = \varphi(m)/dn=φ(m)/d 个不同的陪集：

kH={k⋅h:h∈H}⊂Zm∗kH = \{k \cdot h : h \in H\} \subset \mathbb{Z}_m^*kH={k⋅h:h∈H}⊂Zm∗​

从每个陪集中选择代表 k1,k2,…,knk_1, k_2, \ldots, k_nk1​,k2​,…,kn​，我们可以安排使得每个 Fi(X)F_i(X)Fi​(X) 恰好有 ddd 个根 ηk\eta^kηk，其中 k∈kiHk \in k_i Hk∈ki​H。

中国剩余定理的突破

现在是回报的时候了。我们可以为每个因子建立同构：

Zp[X]/(Fi(X))→E,[f(X)modFi(X)]↦f(ηki)\mathbb{Z}_p[X]/(F_i(X)) \to E, \quad [f(X) \bmod F_i(X)] \mapsto f(\eta^{k_i})Zp​[X]/(Fi​(X))→E,[f(X)modFi​(X)]↦f(ηki​)

将其与以下事实结合：

Ap⟶Zp[X]/ ⁣(F1(X))×⋯×Zp[X]/ ⁣(Fn(X))f(x)⟼([f(X)modF1(X)],…,[f(X)modFn(X)]),\begin{array}{rcl} A_{p} & \longrightarrow & \displaystyle \Bbb Z_{p}[X]\bigl/\!\bigl(F_{1}(X)\bigr) \;\times\; \cdots \;\times\; \Bbb Z_{p}[X]\bigl/\!\bigl(F_{n}(X)\bigr) \\[6pt] f(x) & \longmapsto & \bigl(\, [\,f(X)\bmod F_{1}(X)\,],\; \ldots,\; [\,f(X)\bmod F_{n}(X)\,] \bigr), \end{array}Ap​f(x)​⟶⟼​Zp​[X]/(F1​(X))×⋯×Zp​[X]/(Fn​(X))([f(X)modF1​(X)],…,[f(X)modFn​(X)]),​

为我们提供了关键的同构：

Ap→En,f(x)↦(f(ηk1),…,f(ηkn))A_p \to E^n, \quad f(x) \mapsto (f(\eta^{k_1}), \ldots, f(\eta^{k_n}))Ap​→En,f(x)↦(f(ηk1​),…,f(ηkn​))

这是关键的洞察：我们可以通过在 ApA_pAp​ 中进行环运算来对 EnE^nEn 中的向量执行分量运算！

如果我们有：

a∈Ap↔(α1,…,αn)∈Enb∈Ap↔(β1,…,βn)∈En\begin{gathered} a \in A_p \leftrightarrow (\alpha_1, \ldots, \alpha_n) \in E^n \\ b \in A_p \leftrightarrow (\beta_1, \ldots, \beta_n) \in E^n \end{gathered}a∈Ap​↔(α1​,…,αn​)∈Enb∈Ap​↔(β1​,…,βn​)∈En​

然后：

a+b↔(α1+β1,…,αn+βn)a⋅b↔(α1β1,…,αnβn)\begin{gathered} a + b \leftrightarrow (\alpha_1 + \beta_1, \ldots, \alpha_n + \beta_n) \\ a \cdot b \leftrightarrow (\alpha_1\beta_1, \ldots, \alpha_n\beta_n) \end{gathered}a+b↔(α1​+β1​,…,αn​+βn​)a⋅b↔(α1​β1​,…,αn​βn​)​

使用数论变换（NTT）在 ApA_pAp​ 中的系数表示和 EnE^nEn 中的槽表示之间进行转换在计算上非常简单。

分圆多项式示例：NTT 实现

让我们通过一个具有特定参数的具体示例：

• m=8m = 8m=8, φ(m)=4\varphi(m) = 4φ(m)=4, p=3p = 3p=3, d=2d = 2d=2 （因为 32≡1mod83^2 \equiv 1 \bmod 832≡1mod8），n=φ(m)/d=2n = \varphi(m)/d = 2n=φ(m)/d=2

分圆多项式分解

第 8 个分圆多项式是 Φ8(X)=X4+1\Phi_8(X) = X^4 + 1Φ8​(X)=X4+1。在 F3[X]\mathbb{F}_3[X]F3​[X] 上，这可以分解为：

R.<X> = PolynomialRing(GF(3))
factor = (X^4 + 1).factor()
print(factor)

X4+1=(X2+X+2)(X2+2X+2)in F3[X]X^4 + 1 = (X^2 + X + 2)(X^2 + 2X + 2) \quad \text{in } \mathbb{F}_3[X]X4+1=(X2+X+2)(X2+2X+2)in F3​[X]

四个本原 8 次单位根是：

{α+1,2α+1,2α+2,α+2}⊂E\{\alpha+1, 2\alpha+1, 2\alpha+2, \alpha+2\} \subset E{α+1,2α+1,2α+2,α+2}⊂E

每个不可约二次多项式“拥有”其中两个：

多项式	EEE 中的根
X2+X+2X^2 + X + 2X2+X+2	{2α+1,α+1}\{2\alpha+1, \alpha+1\}{2α+1,α+1}
X2+2X+2X^2 + 2X + 2X2+2X+2	{2α+2,α+2}\{2\alpha+2, \alpha+2\}{2α+2,α+2}

陪集与中国剩余定理同构

陪集结构由以下因素决定：

• 子群：H=⟨3⟩={1,3}⊂Z8∗H = \langle 3 \rangle = \{1, 3\} \subset \mathbb{Z}_8^*H=⟨3⟩={1,3}⊂Z8∗​
• 商：Z8∗/H={{1,3},{5,7}}\mathbb{Z}_8^*/H = \{\{1,3\}, \{5,7\}\}Z8∗​/H={{1,3},{5,7}}
• 代表：k1=1k_1 = 1k1​=1, k2=5k_2 = 5k2​=5

这给了我们同构：

A3=F3[X]/(X4+1)→∼E2A_3 = \mathbb{F}_3[X]/(X^4+1) \xrightarrow{\sim} E^2A3​=F3​[X]/(X4+1)∼​E2f(x)↦(f(ηk1),f(ηk2))=(f(α+1),f(2α+2))f(x) \mapsto (f(\eta^{k_1}), f(\eta^{k_2})) = (f(\alpha+1), f(2\alpha+2))f(x)↦(f(ηk1​),f(ηk2​))=(f(α+1),f(2α+2))

逆变换：槽值到多项式

我们想要编码以下槽值：

f(η)=2,f ⁣(η5)=1,f(\eta)=2,\qquad f\!\bigl(\eta^5\bigr)=1,f(η)=2,f(η5)=1,

其中 η=α+1\eta = \alpha+1η=α+1。

多项式表示

A3A_3A3​ 中的任何多项式都有唯一的代表：

f(X)=a0+a1X+a2X2+a3X3,ai∈F3.f(X)=a_0+a_1X+a_2X^{2}+a_3X^{3},\qquad a_i\in\mathbf F_{3}.f(X)=a0​+a1​X+a2​X2+a3​X3,ai​∈F3​。

这意味着我们需要对我们的函数进行 4 次求值才能使用 NTT 进行插值。因为 Frobenius 自同构 x↦x3x \mapsto x^{3}x↦x3 修复了每个 F3\Bbb F_{3}F3​ 分量，所以我们有：

f(η)=2=f(η3),f(η5)=1=f(η7)f(\eta)= 2 = f(\eta^{3}),\qquad f(\eta^{5})= 1 = f(\eta^{7})f(η)=2=f(η3),f(η5)=1=f(η7)

设置逆 NTT

的确

ω:=η2=2x\omega:=\eta^{2}=2xω:=η2=2x, ω2=(2x)2=4x2=x2=2\omega^{2}=(2x)^{2}=4x^{2}=x^{2}=2ω2=(2x)2=4x2=x2=2,

ω4=22=1\omega^{4}=2^{2}=1ω4=22=1,

并且 ω≠1\omega\neq1ω=1, ω2≠1\omega^{2}\neq1ω2=1，所以 ω\omegaω 是一个本原 444 次单位根。

我们需要 fff 在 η\etaη 的奇数次幂处求值：

{η1,η3,η5,η7}={ηω0,ηω1,ηω2,ηω3}.\{\,\eta^{1},\eta^{3},\eta^{5},\eta^{7}\} =\{\,\eta\,\omega^{0},\,\eta\,\omega^{1},\,\eta\,\omega^{2},\,\eta\,\omega^{3}\}.{η1,η3,η5,η7}={ηω0,ηω1,ηω2,ηω3}.

分解出 wjw^{j}wj 并将其吸收到系数中：

f ⁣(w2k+1)=∑j=03aj(w2k+1)j=∑j=03ajwj(ωk)j=∑j=03bjωjk,\begin{aligned} f\!\bigl(w^{2k+1}\bigr) &=\sum_{j=0}^{3} a_{j}\bigl(w^{2k+1}\bigr)^{j}\\[4pt] &=\sum_{j=0}^{3} a_{j}\,w^{j}\,(\omega^{k})^{j} \;=\; \sum_{j=0}^{3} b_{j}\,\omega^{jk}, \end{aligned}f(w2k+1)​=j=0∑3​aj​(w2k+1)j=j=0∑3​aj​wj(ωk)j=j=0∑3​bj​ωjk,​

因此

• Twist（扭曲） b=Dinab=D_{\text{in}}\,ab=Din​a 其中 Din=diag⁡(1,w,w2,w3)D_{\text{in}}=\operatorname{diag}(1,w,w^{2},w^{3})Din​=diag(1,w,w2,w3)。
• NTT y=Fby=F\,by=Fb 其中 Fk,j=ωjkF_{k,j}=\omega^{jk}Fk,j​=ωjk。

逆 NTT 后的 Untwisting（解扭）

逆 NTT 返回 b=F−1yb=F^{-1}yb=F−1y。删除 twist（扭曲）：

aj=bjw−j=bjw8−j\,a_{j}=b_{j}\,w^{-j}=b_{j}\,w^{8-j}\,aj​=bj​w−j=bj​w8−j

所有系数现在都回到了 F3\mathbb{F}_{3}F3​ 中。

因此：

f(X)=a0+a1X+a2X2+a3X3=X3+X,f(X)=a_{0}+a_{1}X+a_{2}X^{2}+a_{3}X^{3}=X^{3}+X,f(X)=a0​+a1​X+a2​X2+a3​X3=X3+X,

有效性检查

我们可以通过检查槽值来验证获得的多项式是否正确：

• 槽 0：f(X)mod(X2+X+2)=2f(X) \mod (X^2 + X + 2) = 2f(X)mod(X2+X+2)=2
• 槽 1：f(X)mod(X2+2X+2)=1f(X) \mod (X^2 + 2X + 2)= 1f(X)mod(X2+2X+2)=1

一切都与给定的槽值匹配，确认重构是正确的。

添加第二个多项式

让我们为以下情况进行相同的变换

f(η)=x+2,f ⁣(η5)=2x,f(\eta)=x+2,\qquad f\!\bigl(\eta^5\bigr)=2x,f(η)=x+2,f(η5)=2x,

首先我们找到缺失的评估值

f(η3)=f(η)3=2+2x,f(η7)=f(η5)3=x f(\eta^{3}) = f(\eta)^3 = 2 + 2x,\qquad f(\eta^{7}) = f(\eta^5)^3 = xf(η3)=f(η)3=2+2x,f(η7)=f(η5)3=x

然后经过相同的逆 NTT 过程，我们得到

f(X)=X+1 f(X)=X + 1 f(X)=X+1

同态加法

我们有

X3+X↦(2,1),X+1↦(x+2,2x) X^3 + X \mapsto (2, 1), \qquad X + 1 \mapsto (x+2, 2x) X3+X↦(2,1),X+1↦(x+2,2x)

让我们检查一下同态加法是否定义良好：

X3+2X+1↦(x+1,2x+1) X^3 + 2X + 1 \mapsto (x+1, 2x+1) X3+2X+1↦(x+1,2x+1)

找到缺失的评估值：

f(η3)=f(η)3=1+2x,f(η7)=f(η5)3=1+x f(\eta^{3}) = f(\eta)^3 = 1 + 2x,\qquad f(\eta^{7}) = f(\eta^5)^3 = 1 + xf(η3)=f(η)3=1+2x,f(η7)=f(η5)3=1+x

并运行逆 NTT 以重构多项式

f(X)=X3+2X+1 f(X)=X^3 + 2X + 1 f(X)=X3+2X+1

F3  = GF(3)
F9.<x> = GF(9, modulus = x^2 + 1)
R.<X> = PolynomialRing(F3)

slot0, slot1 = (2, 1)

w   = x + 1
omega = w^2
omega_inv = omega.inverse()

y0, y2 = F9(slot0), F9(slot1)
y1, y3 = y0^3, y2^3
y      = [y0, y1, y2, y3]

b = []
for j in range(4):
    s = F9.zero()
    for k in range(4):
        s += y[k] * (omega_inv)^(j*k)
    b.append(s)

a = [F3(b[j] * w^(8 - j))  for j in range(4)]

f = (a[0] + a[1]*X + a[2]*X^2 + a[3]*X^3) % (X^4 + 1)

print(f)

Galois 自同构：数据移动的关键

要理解如何在槽之间移动数据，我们回到环 A=Z[X]/(Φm(X))A = \mathbb{Z}[X]/(\Phi_m(X))A=Z[X]/(Φm​(X))，其中 xxx 表示 AAA 中 XXX 的图像。

对于每个 j∈Zm∗j \in \mathbb{Z}_m^*j∈Zm∗​，我们可以定义：

θj:A→A,θj(f(x))=f(xj)\theta_j : A \to A, \quad \theta_j(f(x)) = f(x^j)θj​:A→A,θj​(f(x))=f(xj)

这是定义明确的，因为如果 gcd⁡(j,m)=1\gcd(j,m) = 1gcd(j,m)=1，那么每当 ω\omegaω 是本原 mmm 次单位根时，ωj\omega^jωj 也是。这意味着如果 Φm(ω)=0\Phi_m(\omega) = 0Φm​(ω)=0，那么 Φm(ωj)=0\Phi_m(\omega^j) = 0Φm​(ωj)=0 也是，从而得出：

Φm(X)∣Φm(Xj)in Z[X]\Phi_m(X) \mid \Phi_m(X^j) \quad \text{in } \mathbb{Z}[X]Φm​(X)∣Φm​(Xj)in Z[X]

这些映射具有自然的群结构：由于 (xj)k=xjk(x^j)^k = x^{jk}(xj)k=xjk 在 AAA 中，我们有：

θj∘θk=θjk\theta_j \circ \theta_k = \theta_{jk}θj​∘θk​=θjk​

这给了我们一个单射群同态：

Zm∗↪Aut(A),j↦θj\mathbb{Z}_m^* \hookrightarrow \text{Aut}(A), \quad j \mapsto \theta_jZm∗​↪Aut(A),j↦θj​

这些 θj\theta_jθj​ 映射正是我们分圆扩张的 Galois 自同构。

Frobenius 映射：一种特殊的自同构

Frobenius 自同构值得特别关注：

σ:E→E,f(η)↦f(ηp)\sigma : E \to E, \quad f(\eta) \mapsto f(\eta^p)σ:E→E,f(η)↦f(ηp)

对于每个 α∈E\alpha \in Eα∈E，我们有 σ(α)=αp\sigma(\alpha) = \alpha^pσ(α)=αp。重要的是：

α∈Zp⇔σ(α)=α\alpha \in \mathbb{Z}_p \Leftrightarrow \sigma(\alpha) = \alphaα∈Zp​⇔σ(α)=α

在我们 ApA_pAp​ 和 EnE^nEn 之间的对应关系下，如果我们令 pˉ=[pmodm]∈Zm∗\bar{p} = [p \bmod m] \in \mathbb{Z}_m^*pˉ​=[pmodm]∈Zm∗​ 并应用 θpˉ\theta_{\bar{p}}θpˉ​​：

θpˉ(f(x))→(σ(f(ηk1)),…,σ(f(ηkn)))∈En\theta_{\bar{p}}(f(x)) \to(\sigma(f(\eta^{k_1})), \ldots, \sigma(f(\eta^{k_n}))) \in E^nθpˉ​​(f(x))→(σ(f(ηk1​)),…,σ(f(ηkn​)))∈En

这意味着 θpˉ\theta_{\bar{p}}θpˉ​​ 在 EEE 上以槽的方式充当 Frobenius 映射 - 这对于理解旋转至关重要。

一维旋转：使数据移动

考虑一个元素 g∈Zm∗g \in \mathbb{Z}_m^*g∈Zm∗​ 使得 1,g,g2,…,gn−11, g, g^2, \ldots, g^{n-1}1,g,g2,…,gn−1 形成 Zm∗\mathbb{Z}_m^*Zm∗​ 中 HHH 的完整陪集代表集。这意味着 gng^ngn 必须位于 HHH 中。

在理想情况下，gn=1g^n = 1gn=1，使用代表 1,g,…,gn−11, g, \ldots, g^{n-1}1,g,…,gn−1，我们的槽同构变为：

f(x)∈Ap↔(f(η1),f(ηg),…,f(ηgn−1))∈Enf(x) \in A_p \leftrightarrow (f(\eta^1), f(\eta^g), \ldots, f(\eta^{g^{n-1}})) \in E^nf(x)∈Ap​↔(f(η1),f(ηg),…,f(ηgn−1))∈En

当我们应用 θg\theta_gθg​ 时：

θg(f(x))↔(f(ηg),f(ηg2),…,f(ηgn−1),f(η1))\theta_g(f(x)) \leftrightarrow (f(\eta^g), f(\eta^{g^2}), \ldots, f(\eta^{g^{n-1}}), f(\eta^1))θg​(f(x))↔(f(ηg),f(ηg2),…,f(ηgn−1),f(η1))

由于最后一个条目环绕到 f(η1)f(\eta^1)f(η1)，因此自同构 θg\theta_gθg​ 将槽向左旋转一个位置！更一般地说，θge\theta_{g^e}θge​ 向左旋转 eee 个位置，而 θg−e\theta_{g^{-e}}θg−e​ 向右旋转 eee 个位置。

当 gn≠1g^n \neq 1gn=1 时，事情会变得棘手。如果 gn=pˉsg^n = \bar{p}^sgn=pˉ​s 对于某些 s∈{1,…,d−1}s \in \{1, \ldots, d-1\}s∈{1,…,d−1}：

θg(f(x))↔(f(ηg),f(ηg2),…,f(ηgn−1),σs(f(η1)))\theta_g(f(x)) \leftrightarrow (f(\eta^g), f(\eta^{g^2}), \ldots, f(\eta^{g^{n-1}}), \sigma^s(f(\eta^1)))θg​(f(x))↔(f(ηg),f(ηg2),…,f(ηgn−1),σs(f(η1)))

这会产生一个旋转，但最后一个槽会被 σs\sigma^sσs 扰动。除非第一个槽包含 Zp\mathbb{Z}_pZp​ 中的值，否则这不是一个干净的旋转，其中 σs\sigma^sσs 的作用是微不足道的。

通过掩码进行无损旋转

即使槽包含 Zp\mathbb{Z}_pZp​ 之外的值，我们也可以使用巧妙的掩码技术来实现完美的旋转。

对于 eee∈{1,…,n−1}e \in \{1, \ldots, n-1\}e∈{1,…,n−1} 位置的旋转，我们创建掩码元素：

Me∈Ap↔(1,…,1⏟n−e,0,…,0⏟e)∈EnM_e \in A_p \leftrightarrow (\underbrace{1,\ldots,1}_{n-e}, \underbrace{0,\ldots,0}_{e}) \in E^nMe​∈Ap​↔(n−e1,…,1​​,e0,…,0​​)∈En1−Me∈Ap↔(0,…,0⏟n−e,1,…,1⏟e)∈En1-M_e \in A_p \leftrightarrow (\underbrace{0,\ldots,0}_{n-e}, \underbrace{1,\ldots,1}_{e}) \in E^n1−Me​∈Ap​↔(n−e0,…,0​​,e1,…,1​​)∈En

对于一个元素 a∈Ap↔(α0,…,αn−1)∈Ena \in A_p \leftrightarrow (\alpha_0, \ldots, \alpha_{n-1}) \in E^na∈Ap​↔(α0​,…,αn−1​)∈En：

• Mask-then-rotate（掩码然后旋转）左移 eee 槽：

Me⋅θge(a)↔(αe,…,αn−1,0,…,0⏟e)M_e \cdot \theta_{g^e}(a) \leftrightarrow (\alpha_e, \ldots, \alpha_{n-1}, \underbrace{0,\ldots,0}_{e})Me​⋅θge​(a)↔(αe​,…,αn−1​,e0,…,0​​)

• Mask-then-rotate（掩码然后旋转）右移 eee 槽：

(1−Me)⋅θge−n(a)↔(0,…,0⏟n−e,α0,…,αe−1)(1-M_e) \cdot \theta_{g^{e-n}}(a) \leftrightarrow (\underbrace{0,\ldots,0}_{n-e}, \alpha_0, \ldots, \alpha_{e-1})(1−Me​)⋅θge−n​(a)↔(n−e0,…,0​​,α0​,…,αe−1​)

将这些结合起来可以实现完美的左旋转： Me⋅θge(a)+(1−Me)⋅θge−n(a)M_e \cdot \theta_{g^e}(a) + (1-M_e) \cdot \theta_{g^{e-n}}(a)Me​⋅θge​(a)+(1−Me​)⋅θge−n​(a)

这会产生一个元素，它的槽位正好是将 aaa 向左旋转 eee 个位置后的槽位，无论槽位值是否位于 Zp\mathbb{Z}_pZp​之外。

多维运算：超立方体方法

对于更复杂的数据排列，我们可以将我们的 nnn 个槽位组织成一个多维超立方体。设 n=n1n2⋯nℓn = n_1 n_2 \cdots n_\elln=n1​n2​⋯nℓ​ 是我们的槽位数分解为 ℓ\ellℓ 个正整数。

我们选择生成器 g1,…,gℓ∈Zm∗g_1,\dots,g_\ell\;\in\;\mathbb{Z}_m^{*}g1​,…,gℓ​∈Zm∗​，并将陪集代表排列为：

g1e1g2e2⋯gℓeℓ,ei∈[ni]:={0,…,ni−1}g_1^{\,e_1}\,g_2^{\,e_2}\cdots g_\ell^{\,e_\ell}, \qquad e_i\in[n_i]:=\{0,\dots,n_i-1\}g1e1​​g2e2​​⋯gℓeℓ​​,ei​∈[ni​]:={0,…,ni​−1}

这会创建一个具有边长 (n1,…,nℓ)(n_1,\dots,n_\ell)(n1​,…,nℓ​) 的 ℓ\ellℓ 维超立方体，其中每个槽位都有坐标 (e1,…,eℓ)(e_1,\dots,e_\ell)(e1​,…,eℓ​)。

简化轴向旋转

对于每个维度 iii，Galois 自同构 θgi\theta_{g_i}θgi​​ 将每个超列(e1,…,ei−1,∗,ei+1,…,eℓ)(e_1,\dots,e_{i-1},*,e_{i+1},\dots,e_\ell)(e1​,…,ei−1​,∗,ei+1​,…,eℓ​) 在第 iii 个坐标中向前移动一步。应用 θgie\theta_{g_i^{\,e}}θgie​​ 移动 eee 个位置，而 θgi−e\theta_{g_i^{-e}}θgi−e​​ 向后移动。

多维掩码

对于没有 Frobenius 扰动的真正旋转，我们使用掩码元素 Me(i)M^{(i)}_{e}Me(i)​，它将每个超列的前 ni−en_i-eni​−e 个槽位设置为 1，其他位置设置为 0。

沿第 iii 轴向左旋转 eee 个位置的公式为：

Me(i)θgie(a)+(1−Me(i))θgie−ni(a)M^{(i)}_{e}\,\theta_{g_i^{\,e}}(a)\;+\;(1-M^{(i)}_{e})\,\theta_{g_i^{\,e-n_i}}(a)Me(i)​θgie​​(a)+(1−Me(i)​)θgie−ni​​​(a)

使用 Lattigo 在 BGV 中进行 SIMD 运算

此示例演示了使用 Lattigo 库的 BGV API 进行的槽位式同态加法。借助 BGV 强大的 SIMD 功能，我们可以将整个整数向量打包到单个密文中，并行地对每个向量条目执行加密计算，然后在解密后恢复结果。

package main

import (
    "fmt"
    "log"
    "math/rand"
    "time"

    "github.com/tuneinsight/lattigo/v6/examples"
    "github.com/tuneinsight/lattigo/v6/schemes/bgv"
)

func main() {
    paramDef := examples.BGVParamsN12QP109
    params, err := bgv.NewParametersFromLiteral(paramDef)
    if err != nil {
        log.Fatalf("params error: %v", err)
    }

    kgen := bgv.NewKeyGenerator(params)
    sk := kgen.GenSecretKeyNew()
    pk := kgen.GenPublicKeyNew(sk)

    encoder := bgv.NewEncoder(params)
    encryptor := bgv.NewEncryptor(params, pk)
    decryptor := bgv.NewDecryptor(params, sk)
    evaluator := bgv.NewEvaluator(params, nil)

    T := params.PlaintextModulus()
    slots := params.MaxSlots()
    rand.Seed(time.Now().UnixNano())

    a := make([]uint64, slots)
    b := make([]uint64, slots)
    expected := make([]uint64, slots)
    for i := 0; i < slots; i++ {
        a[i] = uint64(rand.Int63n(int64(T)))
        b[i] = uint64(rand.Int63n(int64(T)))
        expected[i] = (a[i] + b[i]) % T
    }

    ptA := bgv.NewPlaintext(params, params.MaxLevel())
    ptB := bgv.NewPlaintext(params, params.MaxLevel())
    if err := encoder.Encode(a, ptA); err != nil {
        log.Fatal(err)
    }
    if err := encoder.Encode(b, ptB); err != nil {
        log.Fatal(err)
    }
    ctA, err := encryptor.EncryptNew(ptA)
    if err != nil { log.Fatal(err) }
    ctB, err := encryptor.EncryptNew(ptB)
    if err != nil { log.Fatal(err) }

    ctC, err := evaluator.AddNew(ctA, ctB)
    if err != nil { log.Fatal(err) }

    ptRes := decryptor.DecryptNew(ctC)
    res := make([]uint64, slots)
    if err := encoder.Decode(ptRes, res); err != nil {
        log.Fatal(err)
    }

    fmt.Printf("i\t a\t b\t (a+b mod T)\t result\t match\n")
    for i := 0; i < slots; i++ {
        fmt.Printf("%d:\t%d\t%d\t%d\t\t%d\t%v\n",
            i, a[i], b[i], expected[i], res[i], res[i] == expected[i])
    }
}

结论

这篇文章中探讨的数学基础揭示了抽象代数如何将全同态加密从一个理论上的好奇心转变为安全计算的实用工具。 我们涵盖的关键见解包括：

代数结构：明文环 Ap=Fp[X]/(Φm‾(X))A_p = \mathbb{F}_p[X]/(\overline{\Phi_m}(X))Ap​=Fp​[X]/(Φm​​(X)) 通过分圆分解自然分解为扩展域 EnE^nEn 的乘积。这种分解使得基于槽位的打包成为可能。

Galois 自同构：映射 θj:f(x)↦f(xj)\theta_j: f(x) \mapsto f(x^j)θj​:f(x)↦f(xj) 提供了槽位之间数据移动的机制。这些自同构在根据乘法群 Zm∗\mathbb{Z}_m^*Zm∗​排列槽位内容的同时，保留了环结构。

旋转技术：干净的旋转需要通过掩码操作仔细处理 Frobenius 映射。超立方体组织将其扩展到多维数据排列，从而实现复杂的数据移动模式。

实际影响：与逐个元素处理相比，这些数学工具提供了几个数量级的加速。单个同态乘法现在可以处理整个向量，从而使 FHE 适用于安全云计算、保护隐私的机器学习和机密数据分析等实际应用。

致谢

这篇文章建立在代数数论和密码学领域数十年的研究基础上。特别感谢 Nigel Smart 和 Frederik Vercauteren 的基础性论文 "全同态 SIMD 运算"，该论文为 FHE 方案中基于槽位的并行计算建立了理论框架。他们的工作表明如何利用分圆多项式算术在同态加密中实现真正的向量化。

实践实施方面的见解在很大程度上借鉴了 Shai Halevi 和 Victor Shoup 的综合著作 "HElib 的设计与实现：同态加密库"，该著作将这些理论进步转化为高效、可用的软件。

• 原文链接： hexens.io/blog/simd-in-f...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～