TFHE実装入門

5.Identity Key Switching

松岡　航太郎

説明内容のHomNANDでの位置づけ

Identity Key Switchingとは

• "Key Switching"は一般に暗号文を復号せずに秘密鍵を変更することを言う
  • 一般には秘密鍵の変更と同時にリプシッツ連続な関数を適用する
• ここでの"Identity Key Switching"はTLWElvl1をTLWElvl0に切り替える操作のこと
  • lvl1とlvl0は鍵が違う
  • 恒等関数を適用するので"Identity"

Identity Key Switchingのアイデア

• ここではTLWElvl1の鍵を$\mathbf{S}$と書く($s[X]$の係数のベクトル)
• TLWElvl1の$b-\mathbf{a}⋅ \mathbf{S}$をTLWEWlvl0を使って暗号上で計算する
• つまり$(\mathbf{ã},b̃)$を出力となるTLWElvl0として以下を満たすようにする
  $b̃-\mathbf{ã}⋅\mathbf{s} ≈ b-\mathbf{a}⋅ \mathbf{S}$
  • これはTLWElvl0と平文がノイズを除いて一致するようにするということ

Identity Key Switchingの素朴な実装法(スケーリングのみ)

• 論文とはずれるが、TRGSWと同じ流れで説明をしよう
  • 実のところ$n$が2のべきならExternalProductとSampleExtractIndexでもできる
    • パラメータ選定の自由度が著しく下がる(BFVやCKKSでは使う)
• $basebit∈\mathbb{Z}^+$はExternal Productの$Bgbit$にあたるもの
  • スケーリングが2のべきである必要はないがここでも簡単のため仮定する
• $\mathbf{KS}$を$KS_{ij}$が$\frac{S_{ij}}{2^{basebit}}$を平文とするTLWElvl0であるとする
  • $i$がベクトルの次元、$j$が多項式の係数側
    $(\mathbf{ã},b̃) = (\mathbf{0},b)-∑^{N-1}_{i=0}⌈2^{basebit}⋅a_i⌋⋅KS_i$
  • これで$b-\mathbf{a}⋅ \mathbf{S}$を準同型的に演算できるが、ノイズが大きすぎる

Identity Key SwitchingにおけるDecomposition的基数展開

• TRGSWと同じように、スケーリングだけだとだめなのでDecompositionもする
  • 桁数を$t$とする($l$に相当する)

Identity Key Switchingの具体的実装(乗算を要素選択に置換)

• 前のスライドのものでもだめなわけではない
  • External Productと違ってスカラー整数との積なので取れる値が限られている
• $\mathbf{KS}$を$KS_{ijo}$が$\frac{o⋅S_i}{2^{(j+1)basebit}}$を平文とするTLWElvl0と定義し直す($o ∈ [1,2^{basebit} - 1]$)
  • $\mathbf{KS}$のデータサイズは$2^{basebit}-1$倍になる
  • 乗算がなくなるってノイズの増加が抑えられるのでそれとのトレードオフ
• $o=0$の場合に関しては足す必要がないので保持しなくていい

Identity Key Switchingの具体的実装(疑似コード)

Identtity Key Switchingのパラメータと最低限実装するべきもの

• $t = 5,basebit = 2$
• Identity Key Switchingはここで説明したものが最低限