TFHE実装入門

5.Identity Key Switching

松岡　航太郎

説明内容のHomNANDでの位置づけ

Identity Key Switchingとは

• "Key Switching"は一般に暗号文を復号することなしに秘密鍵を変更することを言う
  • 一般には秘密鍵の変更と同時にリプシッツ連続な関数を適用する
• ここでの"Identity Key Switching"はTLWElvl1をTLWElvl0に切り替える操作のこと
  • lvl1とlvl0は鍵が違う
  • 恒等関数を適用するので"Identity"

Identity Key Switchingのアイデア

• ここではTLWElvl1の鍵を$\mathbf{S}$と書く($s[X]$の係数のベクトル)
• TLWElvl1の$b-\mathbf{a}⋅ \mathbf{S}$をTLWEWlvl0を使って準同型的に演算する
• つまり$(\mathbf{ã},b̃)$は出力となるTLWElvl0として以下を満たすようにする
  $b̃-\mathbf{ã}⋅\mathbf{s} ≈ b-\mathbf{a}⋅ \mathbf{S}$
  • これはTLWElvl0と平文がノイズを除いて一致するようにするということ

Identity Key Switchingの素朴な実装法(スケーリングのみ)

• 論文とはずれるが、TRGSWと同じ流れで説明をしよう
  • 実のところ$n$が2のべきならExternalProductとSampleExtractIndexでもできる
    • パラメータ選定の自由度が著しく下がる
• $basebit∈\mathbb{Z}^+$はExternal Productの$Bgbit$にあたるもの
  • スケーリングが2のべきである必要はないがここでも簡単のため仮定する
• $\mathbf{KS}$を$KS_i$が$\frac{S_i}{2^{basebit}}$を平文とするTLWElvl0であるとする
  $(\mathbf{ã},b̃) = (\mathbf{0},b)-∑^{N-1}_{i=0}⌈2^{basebit}⋅a_i⌋⋅KS_i$
  • これで$b-\mathbf{a}⋅ \mathbf{S}$を準同型的に演算できるが、ノイズが大きすぎる

Identity Key SwitchingにおけるDecomposition的基数展開

• TRGSWと同じように、スケーリングだけだとだめなのでDecompositionもする
  • 桁数を$t$とする($l$に相当する)

Identity Key Switchingの具体的実装(乗算を要素選択に置き換える)

• 前のスライドのものでもだめなわけではない
  • External Productと違ってスカラー整数との積なので取れる値が限られている
• $\mathbf{KS}$を$KS_{ijk}$が$\frac{k⋅S_i}{2^{(j+1)basebit}}$を平文とするTLWElvl0と定義し直す($k ∈ [1,2^{basebit} - 1]$)
  • こうしても$\mathbf{KS}$のデータサイズは$2^{basebit}-1$倍にしかならない
  • 乗算がなくなるのでノイズの増加が抑えられる
• $k=0$の場合に関しては足す必要がないので保持しなくていい

Identity Key Switchingの具体的実装(疑似コード)

Identtity Key Switchingのパラメータと最低限実装するべきもの

• $t = 8,basebit = 2$
• Identity Key Switchingはここで説明したものが最低限