当前位置：首页 > news >正文

全同态加密理论、生态现状与未来展望（上）

news 来源：原创 2025/6/7 4:32:02

《全同态加密理论、生态现状与未来展望》系列由lynndell2010@gmail.com和mutourend2010@gmail.com整理原创发布，分为上中下三个系列：

全同态加密理论、生态现状与未来展望（上）：专注于介绍全同态加密理论知识。
全同态加密理论、生态现状与未来展望（中1）：专注于介绍全同态加密四代算法中第一代第二代FHE算法的衍化历程。
全同态加密理论、生态现状与未来展望（中2）：专注于介绍全同态加密四代算法中第三代第四代FHE算法的衍化历程。
全同态加密理论、生态现状与未来展望（下）：专注于介绍当前全同态加密生态现状及未来展望。

整个系列内容可能存在纰漏，希望能得到大家的反馈，有任何问题欢迎邮件联系lynndell2010@gmail.com和mutourend2010@gmail.com，或在本文下方评论留言。

1. 引言

1.1 格基本概念

1.1.1 格定义

定义 1 (格). 设 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n \in \mathbb{R}^m$ 为一组线性无关的向量。由 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n$ 生成的格 $L$ 指的是向量 $\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n$ 的线性组合构成的向量集合，且其所有的系数均在 $\mathbb{Z}$ 中，即：
$\{ a_1\mathbf{v}_1 + a_2\mathbf{v}_2 + \cdots + a_n\mathbf{v}_n : a_1, a_2, \cdots, a_n \in \mathbb{Z},\mathbf{v}_1, \mathbf{v}_2, \cdots, \mathbf{v}_n \in \mathbb{R}^m\}.$

任意一组可以生成格的线性无关的向量称为格的基，格基的向量个数称为格的维度。

1.1.2 格计算困难问题

最短向量问题(SVP):
在格 $L$ 中求一个非零向量 $\mathbf{v} \in L$ ，使它的欧几里得范数 $||\mathbf{v}||=\sqrt {\mathbf{v} \cdot \mathbf{v}}$ 最小。
最近向量问题(CVP):
已知一个不在格 $L$ 中的向量 $\mathbf{w} \in \mathbb{R}^m$ ，求一个向量 $\mathbf{v} \in L$ ，使它最接近 $\mathbf{w}$ 。换言之，求一个向量 $\mathbf{v} \in L$ ，使欧几里得范数 $||\mathbf{w}-\mathbf{v}||$ 最小。

在格中可能存在不止一个最短的非零向量（找出一个即可）。例如，在 $Z^2$ 中， $(0,\pm1)$ 和 $(\pm 1,0)$ 这四个向量都是SVP解。这种情形也适用于CVP。

随着格的维度 $n$ 的增加，在计算上也越来越难解。另外，即使是对SVP和CVP的近似解，在理论和应用数学的诸多领域都有许多应用。通常，CVP被认为是NP难问题，SVP在特定的"随机规约假设"下也被认为是NP难问题。

1.1.3 最短基问题(SBP)

在实际应用中，有一些很重要的SVP和CVP的变形SBP：
求一个格基 $\mathbf{v}_1,\mathbf{v}_2,\dots,\mathbf{v}_n$ ，使它在某些情况下最短。如可能需要使下式最小：
$max_{1 \leq i \leq n}||\mathbf{v}_i||~~~\vee~~~ \sum_{i=1}^n||\mathbf{v}_i||^2$
因此，可能有许多版本的SBP，这取决于如何定义基的"大小"。

1.1.4 近似最短/最近向量问题

近似最短向量问题(apprSVP)： 设 $\Psi (n)$ 是 $n$ 的一个函数。在 $n$ 维格 $L$ 中，求一个非零向量，使其不大于最短非零向量的 $\Psi (n)$ 倍。
换言之，如果 $\mathbf{v}_{\text{shortest}}$ 是格 $L$ 的最短非零向量，则求一个非零向量 $\mathbf{v} \in L$ ，使其满足：
$||\mathbf{v}|| \leq \Psi (n) ||\mathbf{v}_\text{shortest}||$

不同函数 $\Psi(n)$ 可形成不同的apprSVP。如要求设计一个算法，用于求非零的向量 $\mathbf{v} \in L$ ，满足：
$||\mathbf{v}|| \leq 3 \sqrt{n}||\mathbf{v}_{\text{shortest}}||~~~\vee~~~ ||\mathbf{v}|| \leq 2^{n/2}||\mathbf{v}_{\text{shortest}}||$
很明显，前者的算法比后者要强，但如果格的维度不大，即使对后者的解也可能是非常有用的。

近似最近向量问题(apprCVP)： 与apprSVP类似，需要求CVP的近似解。

1.1.5 LWE困难问题

LWE搜索困难问题： 已知矩阵 $\mathbf{A}\in \mathbb{Z}_q^{mn}$ 和向量 $\mathbf{b}\in \mathbb{Z}_q^{m}$ ，求向量 $\mathbf{s}\in\mathbb{Z}_q^{n}$ 是困难的。其中，
$\mathbf{b}=\mathbf{A}\mathbf{s}+\mathbf{e}\mod q.$
$\mathbf{e}\in \mathbb{Z}_N^{m}$ 是噪声（欧几里得范数很小）。

图1：LWE 搜索困难问题

LWE判决困难问题： 已知矩阵 $\mathbf{A}\in \mathbb{Z}_q^{mn}$ 和向量 $\mathbf{b}\in \mathbb{Z}_q^{m}$ ，判断是LWE实例，还是随机数实例。

1.1.6 环LWE困难问题

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。 $\bar A_{s,\chi}$ 是 $R_q\times R_q$ 上的一个概率分布。该分布以如下方式获得：随机选择 $\mathbf{a}\in R_q$ ，根据分布 $\chi$ 选择噪声向量 $\mathbf{e}\in R_q$ ，则
$\bar A_{s,\chi }=(\mathbf{a},\mathbf{b})=(\mathbf{a},\mathbf{a}\bullet \mathbf{s}+\mathbf{e})\in R_q\times R_q$
环LWE搜索困难问题： 已知 $(\mathbf{a},\mathbf{b})\in R_q\times R_q$ ，求 $\mathbf{s}\in R_q$ 是困难的。
环LWE判决困难问题： 已知环LEW $(\mathbf{a},\mathbf{b})\in R_q\times R_q$ 实例与随机均匀分布实例 $(\mathbf{a}',\mathbf{b}')$ ，无法区分。

1.1.7 优质基与劣质基

在这里插入图片描述
图2：优质基与劣质基

优质基： 向量角度比较大（Hadamard比率较大，接近1）。使用优质基，调用Babai算法，能在多项式时间内求解CVP困难问题；
劣质基： 向量角度比较小（Hadamard比率较小，接近0）。使用劣质基，不能在多项式时间内求解CVP困难问题。

已知优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ ，能在多项式时间内求劣质基 $\mathbf{W}=(\mathbf{w}_1,...,\mathbf{w}_n)$ 。
求解方法： 选择随机矩阵 $\mathbf{A}$ ，要求 $\det (\mathbf{A})=\pm1$ ，则
$\mathbf{W}:=\mathbf{A}\mathbf{V}$
反之，已知劣质基 $\mathbf{W}$ ，不能在多项式时间内求优质基 $\mathbf{V}$ 。

1.1.8 Babai算法

已知优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ ，求目标向量 $\mathbf{w}$ 的最近向量，即解决CVP困难问题。
Babai算法包括以下三个步骤：

使用优质基，能在多项式时间内求实数 $t_i\in \mathbb{R}$ ，使得 $\mathbf{w}=t_1\mathbf{v}_1+...+t_n\mathbf{v}_n$ ，即任意向量由基线性表达。
对于实数 $t_i\in \mathbb{R}$ ，取四舍五入 $a_i = \lceil t_i \rfloor$ 。
计算向量 $\mathbf{w}':=a_1\mathbf{v}_1+...+a_n\mathbf{v}_n$ ，则 $\mathbf{w}'$ 是 $\mathbf{w}$ 的最近向量。

分析：
使用优质基 $(\mathbf{v}_1,...,\mathbf{v}_n)$ ，使得对 $t_i$ 四舍五入时，误差较小，所以最终结果正确。
如果使用劣质基 $(\mathbf{w}_1,...,\mathbf{w}_n)$ 在多项式时间内求实数 $t_i\in \mathbb{R}$ ，则四舍五入的误差较大，无法获得正确结果。
如果目标向量是一个噪声（欧几里得范数很小），则 $t_i$ 非常接近0，四舍五入后获得的 $a_i$ 等于0，因此Babai算法是去噪声算法，能找到最近向量，解决CVP困难问题。

1.1.9 GGH公钥密码系统

Public-key cryptosystems from lattice reduction problems

密钥生成： 选择一个优质基 $\mathbf{V}=(\mathbf{v}_1,...,\mathbf{v}_n)$ 作为私钥。选择一个整数矩阵 $\mathbf{U}$ ，使得 $\det (\mathbf{U})= \pm 1$ 。计算 $\mathbf{W}:=\mathbf{U}\mathbf{V}$ ，则获得劣质基 $\mathbf{W}=(\mathbf{w}_1,...,\mathbf{w}_n)$ 作为公钥。
加密： 消息为小向量 $\mathbf{m}$ ，选择噪声 $\mathbf{r}$ ，输入公钥 $\mathbf{W}$ ，如下计算：
$\mathbf{c}=\mathbf{m}\cdot\mathbf{W}+\mathbf{r}$
则密文为 $\mathbf{c}$ 。
解密： 使用私钥(优质基) $\mathbf{V}$ ，输入Babai算法，如下解密：
$\begin{aligned} &\lceil \mathbf{c}\mathbf{V}^{-1}\rfloor \bullet\mathbf{V}\mathbf{W}^{-1}\\ &=\lceil (\mathbf{m}\cdot\mathbf{W}+\mathbf{r})\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1} \\ &=\lceil\mathbf{m}\cdot\mathbf{W}\mathbf{V}^{-1}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &=\lceil\mathbf{m}\cdot\mathbf{U}\mathbf{V}\mathbf{V}^{-1}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &=\lceil\mathbf{m}\cdot\mathbf{U}+\mathbf{r}\mathbf{V}^{-1}\rfloor\bullet \mathbf{U}^{-1}\\ &\approx\mathbf{m}\cdot\mathbf{U}\bullet \mathbf{U}^{-1}\\ &=\mathbf{m} \end{aligned}$
Babai算法中，如果噪声 $\mathbf{r}$ 欧几里得范数很小，则步骤1的 $t_i$ 一定更小，四舍五入后就是0，所以 $\lceil\mathbf{r}\mathbf{V}^{-1}\rfloor\approx 0$ 。

举例：

密钥生成： 私钥使用如下优质基：
$\mathbf{V} = \left[ \begin{array}{l} {\mathbf{v}_1}\\ {\mathbf{v}_2}\\ {\mathbf{v}_3}\\ {\mathbf{v}_4}\\ {\mathbf{v}_5} \end{array} \right] = \left[ \begin{matrix} 81 & 15 & 17 & 60 & 29 \\ -53 & 7 & 49 & 46 & -11 \\ 2 & 84 & -6 & -68 & -97 \\ 11 & -96 & 92 & 70 & -70 \\ 28 & -58 & 98 & -89 & 24 \\ \end{matrix} \right]$
由 $v_1, v_2, \dots, v_5$ 作为基构成的格 $L$ 的行列式值为
$\text{det}(L) = 22655546896$ 该基的 Hadamard 比率为
$\mathcal{H}(v_1, v_2, \dots, v_5) = \left[\frac{\text{det}(L)}{\|v_1\| \|v_2\| \|v_3\| \|v_4\| \|v_5\|}\right]^{1/5} \approx 0.9249$
接近1，所以是优质基。

选择如下随机矩阵： $\mathbf{U} = \begin{bmatrix} 16 & 111 & 139 & -16 & -95 \\ -91 & -642 & -747 & 185 & 471 \\ -103 & -677 & -1133 & 492 & 524 \\ -21 & -145 & -190 & 55 & 111 \\ -10 & 86 & 9 & -82 & 62 \end{bmatrix}$
满足 $\text{det}(\mathbf{U}) = 1$ 。然后与私钥相乘，得到劣质基作为公钥：
$\mathbf{W} = \mathbf{U}\mathbf{V} = \begin{bmatrix} -7145 & 19739 & -4237 & 3949 & -15400 \\ 40384 & -113685 & 25691 & -13165 & 75236 \\ 45356 & -179080 & 54894 & 27526 & 92497 \\ 9137 & -29008 & 7336 & -1039 & 18230 \\ 4600 & 4280 & -5798 & -16426 & 7011 \end{bmatrix}$ 可以看出，这组公钥基的 Hadamard
比率相对于私钥基来说非常小：
$\mathcal{H}(w_1, w_2, \dots, w_5) = \left[\frac{\text{det}(L)}{\|w_1\| \|w_2\| \|w_3\| \|w_4\| \|w_5\|}\right]^{1/5} \approx 0.0021$
接近0，所以是劣质基。
加密： 消息为 $\mathbf{m} = (-78, 48, 5, 66, 89)$ ，
选择随机噪声 $\mathbf{r} = (-9, -5, 1, -2, 4)$ ，使用如下公式加密：
$\mathbf{c} = \mathbf{m}\mathbf{W} + \mathbf{r}$ 计算得到：
$\begin{aligned} \mathbf{c} &= \begin{bmatrix} -78 & 48 & 5 & 66 & 89 \end{bmatrix} \cdot \begin{bmatrix} -7145 & 19739 & -4237 & 3949 & -15400 \\ 40384 & -113685 & 25691 & -13165 & 75236 \\ 45356 & -179080 & 54894 & 27526 & 92497 \\ 9137 & -29008 & 7336 & -1039 & 18230 \\ 4600 & 4280 & -5798 & -16426 & 7011 \end{bmatrix} + \begin{bmatrix} -9 \\ -5\\1\\ -2 \\ 4 \end{bmatrix} \\ &= (3746835, -9425535, 1806279, -2332802, 7102176) \end{aligned}$
解密： 使用Babai算法解密。将 $\mathbf{c}$ 用私钥（优质基） $v_1, v_2, \dots, v_5$ 表达。
由于 $\mathbf{c}$ 中含有噪声 $\mathbf{r}$ ，因此有：
$\mathbf{c} \cdot \mathbf{V}^{-1} \approx \begin{bmatrix} -8407.083 \\ -60082.952 \\ -64102.054 \\ 8919.983 \\ 45482.020 \end{bmatrix}$
四舍五入，再与私钥（优质基） $\mathbf{V}$ 相乘，即得到一个最近格向量（解决了CVP问题）：
$\begin{aligned} \mathbf{v'} &=\lceil \mathbf{c} \cdot \mathbf{V}^{-1}\rfloor\cdot \mathbf{V}\\ &=\begin{bmatrix}-8407 , -60083 , -64102 , 8920 , 45482\end{bmatrix}\cdot \mathbf{V}\\ &=\begin{bmatrix}3746844, -9425530, 1806278, -2332800, 7102172\end{bmatrix} \end{aligned}$
这个结果等于前面的 $\mathbf{m}\mathbf{W}$ ，即密文 $\mathbf{c}$ 去掉了噪声。即 $\mathbf{v'} =\mathbf{c}- \mathbf{r} = \mathbf{m}\mathbf{W}$ 。
接下来计算： $\mathbf{m} = \mathbf{v}' \cdot \mathbf{W}^{-1} = \begin{bmatrix}3746844, -9425530, 1806278, -2332800, 7102172\end{bmatrix}\cdot W^{-1} =\begin{bmatrix}-78, 48, 5, 66, 89\end{bmatrix}$ 解密成功。
攻击：
假设攻击者试图去破解密文，但只知道公钥（劣质基） $\mathbf{W}$ 。如果它对于公钥 $\mathbf{W}$ 应用
Babai算法的话，会得到：
$\mathbf{c} \cdot \mathbf{W} ^{-1}\approx \begin{bmatrix}3417.187,5205.909,-62877.902,351125.565, -130786.869 \end{bmatrix}$
然后四舍五入，同样会得到一个格向量:
$\mathbf{v}'' = \lceil \mathbf{c} \cdot \mathbf{W} ^{-1} \rfloor = \begin{bmatrix} 3417, 5206, -62878, 351126, -130787 \end{bmatrix}$
然后与公钥 $\mathbf{W}$ 相乘，即 $\mathbf{v}''\cdot \mathbf{W}= \lceil \mathbf{c} \cdot \mathbf{W} ^{-1} \rfloor\cdot \mathbf{W}$ 。
很明显，攻击者找到的是一个不正确的明文向量: $\begin{bmatrix} 3417, 5206, -62878, 351126, -130787 \end{bmatrix}$

对于不同的基，使用Babai算法的效果如下： $\begin{aligned} &\| \mathbf{c} - \mathbf{v}' \| =\| \mathbf{c} - \lceil \mathbf{c}\mathbf{V}^{-1} \rfloor\bullet\mathbf{V} \|= 11.2694 \\ &\| \mathbf{c} - \mathbf{v}'' \| =\| \mathbf{c} - \lceil \mathbf{c}\mathbf{W}^{-1} \rfloor\bullet\mathbf{W} \|\approx 13264.50 \end{aligned}$
因此，对于劣质基 $\mathbf{W}$ ，Babai算法的结果不能作为CVP的解。

1.2 典型方案

1.2.1 Regev05：加密1比特

On Lattices, Learning with Errors, Random Linear Codes, and Cryptography

格的维数为 $n$ ， $\chi$ 是 $\mathbb{Z}$ 上的噪声高斯分布，其欧几里得范数较小。

密钥生成： 私钥为随机向量 $sk=\mathbf{s}\leftarrow \mathbb{Z}_q^{n}$ 。
随机均匀选取矩阵 $\mathbf{A}\leftarrow \mathbb{Z}_q^{N\times n}$ 和噪声 $\mathbf{e}\leftarrow \chi^N$ ，如下计算
$\mathbf{b}:=\mathbf{A}\mathbf{s}+\mathbf{e}$
则公钥为 $PK=(\mathbf{A},\mathbf{b})$ 。
加密： 对于消息 $m\in \{0,1\}$ ，选择随机数 $\mathbf{r}\in \{0,1\}^{N}$ ，如下计算
$\begin{aligned} & c_1 := \left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{b} \in \mathbb{Z}_q\\ & \mathbf{c}_2 := \mathbf{r}^T\mathbf{A} \in \mathbb{Z}_q^{n} \end{aligned}$ 则密文为 $(c_1,\mathbf{c}_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $(c_1,\mathbf{c}_2)$ ，如下计算
$\left\lfloor {\frac{2}{q} \left[(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q\right]} \right\rfloor \mod 2$
展开如下 $\begin{aligned} &\left\lfloor {\frac{2}{q} \left[(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q\right]} \right\rfloor \\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{b} - \mathbf{r}^T \mathbf{A}\mathbf{s}\right]\\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot (\mathbf{A}\mathbf{s}+\mathbf{e}) - \mathbf{r}^T \mathbf{A}\mathbf{s}\right]\\ &=\frac{2}{q} \left[\left\lfloor {\frac{q}{2}} \right\rfloor \cdot m + \mathbf{r}^T \cdot \mathbf{e}\right]\\ &=m + e^* \end{aligned}$
当噪声 $e^*$ 小于 $\left\lfloor \frac{q}{2} \right\rfloor/2$ 时，解密是精确的。注意，噪声 $\mathbf{r}^T \cdot \mathbf{e}$ 被放大了。

1.2.2 BV11：加密1比特

Efficient Fully Homomorphic Encryption from (Standard) LWE

密钥生成： 私钥为随机向量 $sk=\mathbf{s}\leftarrow \mathbb{Z}_q^{n}$ 。
随机均匀选取矩阵 $\mathbf{A}\leftarrow \mathbb{Z}_q^{N\times n}$ 和噪声 $\mathbf{e}\leftarrow \chi^N$ ，如下计算
$\mathbf{b}:=\mathbf{A}\mathbf{s}+2\mathbf{e}$
则公钥为 $PK=(\mathbf{A},\mathbf{b})$ 。注意噪声为偶数倍。
加密： 对于消息 $m\in \{0,1\}$ ，选择随机数 $\mathbf{r}\in \{0,1\}^{N}$ ，如下计算
$\begin{aligned} & c_1 := m + \mathbf{b}^T \cdot \mathbf{r} \in \mathbb{Z}_q\\ & \mathbf{c}_2 := \mathbf{A}^T \mathbf{r} \in \mathbb{Z}_q^{n} \end{aligned}$
解密： 输入私钥 $\mathbf{s}$ 和密文 $(c_1,\mathbf{c}_2)$ ，如下计算
$(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q \mod 2$ 展开如下
$\begin{aligned} &(c_1 - \mathbf{c}_2\cdot \mathbf{s})\mod q \mod 2\\ &= (m + \mathbf{b}^T \cdot \mathbf{r} - \mathbf{A}^T \mathbf{r}\cdot \mathbf{s})\mod q \mod 2\\ &= (m + (\mathbf{A}\mathbf{s}+2\mathbf{e})^T \cdot \mathbf{r} - \mathbf{A}^T \mathbf{r}\cdot \mathbf{s})\mod q \mod 2\\ &= m + 2\mathbf{e}^T\mathbf{r}\mod 2 \end{aligned}$ 注意，噪声 $2\mathbf{e}^T\mathbf{r}$ 被放大了。

1.2.3 KTX07：加密 $l$ 比特

Lattice-based cryptography

密钥生成： 选择随机矩阵 $\mathbf{S}'\leftarrow \mathbb{Z}_q^{n\times l}$ ，则私钥为 $sk=\mathbf{S}=(1,...,1||\mathbf{S}')\in \mathbb{Z}_q^{(n+l)\times l}$ 。

随机均匀选取矩阵 $\mathbf{A}'\leftarrow \mathbb{Z}_q^{N\times n}$
和噪声矩阵 $\mathbf{E}\leftarrow \chi^{N\times l}$ ，如下计算
$\mathbf{b}:=\mathbf{A}'\mathbf{S}'+\mathbf{E}\in \mathbb{Z}_q^{N\times l}$
令
$\mathbf{A}:=[\mathbf{b}|-\mathbf{A}']\in \mathbb{Z}_q^{N\times (n+l)}$
则公钥为 $PK=\mathbf{A}$ 。以下等式成立： $\mathbf{A}\cdot \mathbf{S} =[\mathbf{b}|-\mathbf{A}']\cdot \mathbf{S} = [\mathbf{A}'\mathbf{S}'+\mathbf{E}|-\mathbf{A}']\cdot \mathbf{S} =[\mathbf{A}'\mathbf{S}'+\mathbf{E}|-\mathbf{A}']\cdot (1,...,1||\mathbf{S}') = \mathbf{E}$
加密： 消息为 $\mathbf{m}\in \mathbb{Z}_t^l$ ，令
$\mathbf{m}'=(\mathbf{m},0,...,0)\in \{0,1\}^{n+l}$ 。
选择随机向量 $\mathbf{r}\in \{-a,-a+1,...,a\}^{N}$ ，计算
$\mathbf{c}:=\left\lceil {(\frac{q}{t})\mathbf{m}'} \right\rfloor + \mathbf{A}^T \cdot \mathbf{r} \in \mathbb{Z}_q^{ (n + l)}$
则密文为 $\mathbf{c}$ 。
解密： 输入私钥 $\mathbf{S}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=\left\lceil {\frac{t}{q}(\mathbf{S}^T\mathbf{c})} \right\rfloor$
展开如下 $\begin{aligned} \left\lceil {\frac{t}{q}(\mathbf{S}^T\mathbf{c})} \right\rfloor = \left\lceil {\frac{t}{q}\left(\mathbf{S}^T \left(\left\lceil {(\frac{q}{t})\mathbf{m}'} \right\rfloor + \mathbf{A}^T \cdot \mathbf{r} \right)\right)} \right\rfloor = \left\lceil {\frac{t}{q}\left(((1,...,1||\mathbf{S}'))^T \left(\left\lceil {(\frac{q}{t})((\mathbf{m},0,...,0))} \right\rfloor + ([\mathbf{b}|-\mathbf{A}'])^T \cdot \mathbf{r} \right)\right)} \right\rfloor \end{aligned}$ 注意，噪声 $\frac{t}{q}\mathbf{E}^T\mathbf{r}$ 被放大了。

1.2.4 DGHV10：基于整数的FHE

Fully homomorphic encryption over the integers

密钥生成： 私钥为随机整数 $p$ 。公钥为 $pq$ 。 $q$ 是另外一个随机整数。
加密： 对于消息 $m\in \{0,1\}$ ，选择噪声 $e$ ，计算 $c := m + 2 e + pq$
则密文为 $c$ 。
解密： 输入私钥 $p$ 和密文 $c$ ，计算 $(c\mod p)\mod 2.$
模 $p$ 去掉了 $pq$ ，模 $2$ 去掉了噪声，留下消息 $m$ 。
同态加法： $c + c^{'} = (m + m^{'}) + 2 (r + r^{'}) + p (q + q^{'})$
解密： $(c+c'\mod p)\mod 2 = m + m'$ 。加法对噪声影响较小
同态乘法： $c\cdot c' = (m+ 2r)(m'+ 2r') + p(pqq' + mq' + m'q + 2rq' + 2r'q)$
解密： $(c\cdot c'\mod p)\mod 2 = (m +2r)(m' +2r')\mod p\mod 2$ 。

关键项 $+2r')\mod p$ 乘积后变大，可能超过 $p$ ，导致解密出错。

举例： $p = 11, q = 5, m = 0, m^{'} = 1, r = - 1, r^{'} = 1$

$c = m + 2 e + pq = 53$ 。 $c\mod 11 = -2$ 再模2，则等于0。计算正确。

$c^{'} = m^{'} + 2 e^{'} + p q^{'} = 58$ 。 $c'\mod 11 = 3$ 再模2，则等于1。计算正确。

同态乘法对噪声影响较大。

$(c\cdot c') = 53\cdot 58=3074$ ，模 $p$ 等于 $5$ ，在模 $2$ 等于 $1$ 。但是 $m\cdot m'=0$ 。计算错误。

乘法导致噪声快速增大，所以解密出错。

1.2.5 LV10：环LEW公钥加密

多项式的模运算非常适合图灵计算架构（分配的内存宽度有限）。
矩阵计算需要根据计算需求额外分配内存，所以效率稍微差点。

LV10环LEW公钥加密看作Regev的LEW公钥加密在环上的推广。

On Ideal Lattices and Learning with Errors over Rings

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。

密钥生成： 随机选择 $\mathbf{s}\in \chi$ ，作为私钥。随机选择 $\mathbf{a}\in R_q$ ，选择噪声 $e_1\in \chi$ ，计算
$\mathbf{b}=\mathbf{a}\mathbf{s}+e_1$
则公钥为 $(\mathbf{b},\mathbf{a})\in R_q\times R_q$ 。
加密： 消息为 $\mathbf{m}\in \{0,1\}^n$ ，其多项式系数 $m\in R_2$ 。随机选择 $e_2,e_3,e_4\in \chi$ ，如下计算
$\begin{aligned} &c_1=\lfloor q/2 \rfloor \cdot m + \mathbf{b}e_2 + e_3\in R_q\\ &c_2=\mathbf{a}e_2+e_4\in R_q \end{aligned}$ 则密文为 $\mathbf{c}=(c_1,c_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=\frac{2}{q}\lfloor c_1-c_2\mathbf{s} \mod q \rceil \mod 2$
展开如下： $\begin{aligned} & \frac{2}{q}\lfloor c_1-c_2\mathbf{s} \rceil \\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m + \mathbf{b}e_2 + e_3-(\mathbf{a}e_2+e_4)\mathbf{s})\\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m + (\mathbf{a}\mathbf{s}+e_1)e_2 + e_3-(\mathbf{a}e_2+e_4)\mathbf{s})\\ &=\frac{2}{q}(\lfloor q/2 \rfloor \cdot m +e_1e_2 + e_3 - e_4\mathbf{s})\\ &=m + \frac{2}{q}(e_1e_2 + e_3 - e_4\mathbf{s})\\ &=m + e^*\\ \end{aligned}$

1.2.6 LV10变形

方案特点：2倍噪声，则加密不需要放大消息，解密不需要缩小消息。

模 $q\ge 2$ ，多项式次数 $n\ge 1$ 是2的幂次方，多项式为 $f(x)=x^n+1$ 。环 $R=\mathbb{Z}[x]/f(x)$ ,环 $R_q=\mathbb{Z}_q[x]/f(x)$ 。 $\chi$ 是 $R$ 上的一个噪声概率分布。

密钥生成： 随机选择 $\mathbf{s}\in \chi$ ，作为私钥。随机选择 $\mathbf{a}\in R_q$ ，选择 $e_1\in \chi$ ，计算
$\mathbf{b}=\mathbf{a}\mathbf{s}+2e_1$
则公钥为 $(\mathbf{b},\mathbf{a})$ 。
加密： 消息为 $\mathbf{m}\in \{0,1\}^n$ ，其多项式系数 $m\in R_2$ 。随机选择 $e_2,e_3,e_4\in \chi$ ，如下计算
$\begin{aligned} &c_1=m + \mathbf{b}e_2 + e_3 \in R_q\\ &c_2=\mathbf{a}e_2+2e_4 \end{aligned}$ 则密文为 $\mathbf{c}=(c_1,c_2)$ 。
解密： 输入私钥 $\mathbf{s}$ 和密文 $\mathbf{c}$ ，如下解密
$m:=c_1-c_2\mathbf{s} \mod q\mod 2$ 展开如下： $\begin{aligned} & c_1-c_2\mathbf{s} \mod q\mod 2\\ &= m + \mathbf{b}e_2 + 2e_3-(\mathbf{a}e_2+2e_4)\mathbf{s}) \mod q\mod 2\\ &= m + (\mathbf{a}\mathbf{s}+2e_1)e_2 + 2e_3-(\mathbf{a}e_2+2e_4)\mathbf{s}) \mod q\mod 2\\ &= m + 2e_1e_2 + 2e_3-2e_4\mathbf{s} \mod q\mod 2\\ &=m + 2e^*\mod 2\\ &=m \end{aligned}$

1.3 FHE基本概念

全同态加密（Fully Homomorphic Encryption, FHE）是一种加密方案，它允许在密文上直接进行运算，从而在无需解密的情况下实现对明文的任意操作。这种功能的实现仅在加法和乘法操作可以同态执行的条件下才可能，因为这两种操作在有限环上构成一个功能完备的集合。

具体而言，任何布尔（或算术）电路都可以仅通过 XOR（加法）和 AND（乘法）门表示。换句话说，给定两个密文 $\text{Enc}(x)$ 和 $\text{Enc}(y)$ （其中， $x$ 和 $y$ 是明文， $\text{Enc}$ 是加密操作），可以通过直接对密文进行加法（或乘法）运算，得到 $x + y$ （或 $\cdot y$ ）的加密结果，而无需解密 $\text{Enc}(x)$ 和 $\text{Enc}(y)$ 。这足以对加密数据进行任何函数的评估，满足以下性质： $\text{Dec}(\text{Enc}(x) \, \Delta \, \text{Enc}(y)) = x \, \Delta \, y,$ 其中， $\Delta$ 表示加法或乘法， $\text{Dec}$ 是解密操作。

全同态加密方案由一组概率多项式时间（PPT）算法 $(\text{KeyGen}, \text{Enc}, \text{Dec}, \text{Eval})$ 组成，满足以下性质：

密钥生成 ( $\text{KeyGen}$ )： 该算法以安全参数 $\lambda$ 作为输入，输出密钥对 $(\text{sk}, \text{pk})$ 和用于在密文上执行同态操作的评估密钥 $\text{evk}$ 。
加密 ( $\text{Enc}$ )： 该算法以公钥 $\text{pk}$ 和消息 $m$
（来自消息空间）为输入，输出密文 $c$ 。
解密( $\text{Dec}$ )： 该算法以私钥 $\text{sk}$ 和密文 $c$ 为输入，输出消息 $m$ 。如果解密算法无法成功恢复加密的消息 $m$ ，则输出 $\perp$ 。
评估 ( $\text{Eval}$ )： 该算法以评估密钥 $\text{evk}$ 、一个函数 $f$ 和一组密文 $(c_1, \dots, c_t)$ 为输入，输出密文 $c_f$ 。解密 $c_f$ 后得到 $f(m_1, \dots, m_t)$ 的结果，即： $c_f = \text{Eval}_{\text{evk}}(f, (c_1, \dots, c_t)), \quad \text{Dec}_{\text{sk}}(c_f) = f(m_1, \dots, m_t)$ 。注意，密文 $c_f$ 和 $\leftarrow \text{Enc}_{\text{pk}}(f(m_1, \dots, m_t))$ 在解密后得到相同的明文，但其构造方式可能不同（如噪声水平可能不同）。

同态加密方案的两个基本特性为：

所支持函数的最大degree： 该特性定义了方案 $E$ 能正确评估的函数范围。具体而言，若 $E$ 能正确评估函数集合 $F$ 中的任何函数 $f$ ，即存在评估算法 $\text{Eval}$ ，满足：
$\text{Dec}_{\text{sk}}(\text{Eval}_{\text{evk}}(f, c_1, \dots, c_t)) = f(m_1, \dots, m_d), \quad \forall f \in F,$
其中， $c_i \leftarrow \text{Enc}_{\text{pk}}(m_i), \, \forall i \in \{1, \dots, t\}$ 。此外，该特性决定了评估密文 $c_f$ （即 $\text{Eval}$ 的输出）是否能用作后续评估算法的输入。在多跳同态加密方案中，可以对加密消息 $m$ 生成的密文 $c$ 逐一进行一系列多项式degree的函数同态评估。
密文长度的增长： 该特性描述了每次评估后密文bit长度的增长情况。如果密文长度增长的上限与函数 $f$ 的复杂度无关，则称该方案为紧凑型方案。

根据上述特性，同态加密方案可分为以下几类：

Partially HE (PHE) 只能评估包含一种算术门（即加法或乘法）的电路，且电路深度不受限制的方案。
Leveled HE (LHE) 能够评估包含加法和乘法门的电路，但仅限于预定的乘法深度L的方案。
Somewhat HE (SHE) 能够评估包含加法和乘法门的电路子集，其复杂度随着电路深度增加而增加。SHE比LHE更为通用。示例包括Gentry（2009, 2010）。
Leveled Fully HE 几乎与有级同态加密相同，但这些方案能够评估深度为L的所有电路。示例包括Brakerski和Vaikuntanathan（2014）；Brakerski等（2014）；Brakerski（2012）。
Fully HE (FHE) 能够评估包含加法和乘法门的所有电路，且电路深度不受限制的方案。示例包括Gentry（2009）和Brakerski及Vaikuntanathan（2014）；Brakerski等（2014）；Brakerski（2012），在弱环形安全模型下，这种模型保证在只使用一对私钥和公钥时的安全性。

根据FHE方案如何建模计算，FHE方案可以分为3种类型：

将计算建模为boolean circuit 布尔电路（即bits位）。如TFHE方案。
将计算建模为modular arithmetic 模运算（即"clock"运算）。如BGV和BFV方案。
将计算建模为floating point arithmetic 浮点算法。如CKKS方案。

值得强调的是，具有足够同态评估能力的部分同态加密方案（或分层全同态加密方案）可以通过"引导"技术转化为全同态加密方案。

FHE（Fully Homomorphic Encryption，全同态加密）在不解密的情况下，能够对密文执行任意计算。计算后的密文结果解密后，等于对明文做同样计算的结果。即，对于任意有效的函数 $f$ 和明文 $m$ ，FHE具备的性质为： $f (E n c (m)) = E n c (f (m))$ 。

定义 2 (全同态加密). 全同态加密算法包含4个概率多项式时间算法：密钥生成，加密，解密，密文计算。

密钥生成KeyGen $(1^\lambda)$ ： 输出公钥 $p k$ ，计算公钥 $e v k$ 和私钥 $s k$ 。
加密Enc $(p k, m)$ ： 使用公钥 $p k$ 加密一位消息 $\in \{0,1\}$ ，输出密文 $c$ 。
解密Dec $(s k, c)$ ： 使用密钥 $s k$ 解密密文 $c$ ，恢复消息 $m$ 。
同态计算Eval $c_1, \cdots, c_t)$ ： 使用计算公钥 $e v k$ ，将 $c_1, c_2, \cdots, c_t$ 输入函数 $f$ 。其中， $\{0,1\}^* \rightarrow \{0,1\}$ ，输出密文 $c_f$ 。

函数 $f$ 可表示成有限域 $GF (2)$ 上的算术电路形式。全同态加密算法是安全的，指满足语义安全。

全同态加密分类
根据计算电路的深度，全同态加密算法可以分为两种形式：

一是"纯"的全同态加密算法，即可以执行任意深度的电路计算算法，但是目前"纯"的全同态加密算法只能依靠同态解密技术（Bootstrap）和循环安全假设来实现；
二是层次型全同态加密算法，即算法只能执行深度为 $L$ 的计算电路，算法的参数依赖于 $L$ 。

L-同态： 对于一个同态加密算法HE，在存在 $L(\lambda)$ ，如果对于深度为 $L$ 的任何有限域 $GF (2)$ 上的算术电路 $f$ ，以及任意输入 $m_1, m_2, \cdots, m_t$ 满足以下条件：
$\Pr[\text{HE.Dec}_{sk}(\text{HE.Eval}_{evk}(f, c_1, c_2, \cdots, c_t)) \neq f(m_1, m_2, \cdots, m_t)] = \text{negl}(\lambda),$
其中，Dec是HE的解密算法，Eval 是密文计算算法， $s k$ 是密钥， $e v k$ 是密文计算公钥。通常称为同态加密算法 HE 是 L-同态。

部分同态加密（Somewhat Homomorphic Encryption, SWHE）： 算法只能执行有限电路深度的密文计算，部分同态加密算法是L同态的。
紧凑性：
如果一个同态加密算法的解密电路是独立于计算深度的，即密文的长度与计算电路的深度无关，则称该同态加密算法是紧凑的。
全同态： 如果一个紧凑的同态加密算法是 $L$ 同态的且 $\infty$ ，即可以任意多项式深度的计算电路，则称该算法是全同态的。
层次型全同态：
如果某全同态加密算法的公钥/密钥生成算法中，将作为输入参数的 $L$ 明确嵌入了电路计算深度 $L$ ，则称该算法是层次型全同态算法。

2. 关键技术

格上加密算法产生的密文是一种噪声密文，即在明文里叠加噪声，因此密文计算时会导致密文中的噪声增长，当噪声增长超过某个界限时，就不能正确解密。因此，实现金全同态加密的关键是对密文计算过程中的噪声增长进行管理。
目前有3种噪声管理技术：

同态解密/自举（bootstrapping）；
模交换（modulus switching），在3.2.5节阐述；
位展开（bit decomposition）。

2.1 Bootstrapping自举

自举技术是 Gentry 实现全同态加密的奠基石。Gentry 在实现全同态加密时，注意到如果同时执行自己的解密算法，即输入的密文是对原密文中每一位加密的结果，输入的密钥是对原密文密钥每一位加密的结果，那么经过同态执行解密算法就会得到一个新的密文，这个新的密文噪声是固定的。因此，可以通过同态解密技术约束（管理）密文的噪声。

密钥生成： 私钥和公钥对分别为 $sk_1,pk_1),(sk_1,pk_1)$ 。
加密： 使用 $pk_1$ 对明文 $m$ 加密 $\langle m \rangle = \text{Enc}(pk_1, m)$ 。注意，私钥 $sk_1$ 能脱衣服1 $\langle \ \rangle$ 算法：输入 $sk_1$ 和 $\langle m \rangle$ ，进行 $k_1$ 次加法和 $k_2$ 次乘法的组合，则脱掉衣服1 $\langle \ \rangle$ 。
加密： 使用 $pk_2$ 对密文 $\langle m \rangle$ 加密 $[\kern-0.15em[ \langle m \rangle ]\kern-0.15em] = \text{Enc}(pk_2, \langle m \rangle)$ 。注意，私钥 $sk_2$ 能脱衣服2 $[\kern-0.15em[ \ ]\kern-0.15em]$ ，需要 $k_1$ 次加法和 $k_2$ 次乘法的组合。
加密： 使用 $pk_2$ 对密文 $sk_1$ 加密 $[\kern-0.15em[ sk_1 ]\kern-0.15em]=\text{Enc}(pk_2, sk_1)$ 。
**同态运算：**输入 $sk_1 ]\kern-0.15em]$ 和 $[\kern-0.15em[ \langle m \rangle ]\kern-0.15em]$ ，进行 $k_1$ 次同态加法和 $k_2$ 次同态乘法的组合，脱掉衣服1 $\langle \ \rangle$ ，获得 $[\kern-0.15em[m]\kern-0.15em]$ 。

等价于同态解密： $[\kern-0.15em[m]\kern-0.15em] = \text{Dec}( [\kern-0.15em[ sk_1 ]\kern-0.15em], [\kern-0.15em[ \langle m \rangle ]\kern-0.15em] )$ 。用 $sk_1 ]\kern-0.15em]$ 脱掉衣服1 $\langle \ \rangle$ ，还剩衣服2 $[\kern-0.15em[ \ ]\kern-0.15em]$ 。

核心思想：步骤3到步骤5，称为换衣服，但不走光（明文 $m$ 和私钥 $sk_1$ 不泄露）

假设衣服1密文 $\langle m \rangle$ ，经过 $n$ 次同态运算变为衣服1密文 $\langle m \rangle'$ 。此时噪声积累很严重，后续仅能进行 $k_1$ 次同态加法和 $k_2$ 次同态乘法运算了。
使用步骤3,4,5【换衣服】，执行 $k_1$ 次同态加法和 $k_2$ 次同态乘法，将衣服1密文 $\langle m \rangle'$ 变为衣服2密文 $[\kern-0.15em[m]\kern-0.15em]$ ，则能够进行 $n$ 次同态运算，变为 $[\kern-0.15em[m]\kern-0.15em]'$ 。又仅剩余 $k_1$ 次同态加法和 $k_2$ 次同态乘法运算了。
再使用步骤3,4,5，继续换衣服，则又可以同态运算 $n$ 次，而不泄露明文 $m$ 和私钥 $sk_1$ 。

Bootstrapping自举：每同态运算 $n$ 次后，则换衣服，则再同态运算 $n$ 次，则再换衣服，以此类推。

由于每层电路（ $k_1$ 次加法和 $k_2$ 次乘法运算的组合）都需要密钥对 $pk_1, sk_1)$ ，所以层次型全同态加密算法的公钥 $(pk_1, pk_2, \cdots, pk_{L+1})$ 和 $(sk_1, sk_2, \cdots, sk_L)$ 构成。如果是循环安全的，每层电路就可以使用相同的密钥对，减少密钥数量。尽管同态解密是实现全同态加密的基石，但同态解密的效率很低，其复杂度为 $\mathcal{O}(\lambda^3)$ 。

Bootstrapping自举/同态解密【换衣服】是一种通用的管理噪声的技术，可以应用于所有FHE算法， 只要解密电路的深度小于算法本身的同态计算电路的深度。

2.2 位展开

当噪声主要依赖于某一个向量 $\mathbf{x} \in \mathbb{Z}_q^n$ 时，为降低噪声的影响，可将该向量位展开，即将向量中的每个元素展开成二进制形式，从而向量 $\mathbf{x}$ 的范数 $l_1 (\mathbf{x})$ 的最大值从 $n q$ 变成 $n\log q$ ，降低噪声。

BitDecomp(x): $\mathbf{x} \in \mathbb{Z}^n$ ，令 $\mathbf{w}_i \in \{0, 1\}^n$ ，满足： $\mathbf{x} = \sum_{i=0}^{\lceil \log q \rceil - 1} 2^i \cdot \mathbf{w}_i (\mod q)$ ，
输出：
$(\mathbf{w}_0, \mathbf{w}_1, \cdots, \mathbf{w}_{\lceil \log q \rceil - 1}) \in \{0, 1\}^{n \lceil \log q \rceil}$

BitDecomp $^{-1}$ (y):是BitDecomp $(x)$ 的逆运算。令：
$\mathbf{y} = (\mathbf{w}_0, \mathbf{w}_1, \cdots, \mathbf{w}_{\lceil \log q \rceil - 1})$
则BitDecomp $^{-1}$ ( $\mathbf{y}$ ) 输出：
$\sum_{i=0}^{\lceil \log q \rceil - 1} 2^i \cdot \mathbf{w}_i (\mod q)$
即使向量 $\mathbf{w}$ 中的元素不是0和1，该定义依然成立。

Flatten( $\mathbf{y}$ ): 令Flatten( $\mathbf{y}$ ) = BitDecomp(BitDecomp $^{-1}$ ( $\mathbf{y}$ ))，则 Flatten( $\mathbf{y}$ ) 是一个元素为 0 和 1 构成的向量。因此，Flatten 能够将一个元素不是 0 和 1 的向量转化成一个元素为0和1的向量，而维数不变。Gentry等在2013年提出使用 Flatten 技术作为密文噪声管理。
向量位展开后，为了使得向量的内积保持不变，需要另外一个向量变成如下形式：
Powersof2(y): 输入 $\mathbf{y} \in \mathbb{Z}^n$ ，输出
$(\mathbf{y}, 2\mathbf{y}, \cdots, 2^{\lceil \log q \rceil - 1}\mathbf{y}) \mod q \in \mathbb{Z}^{n \cdot \lceil \log q \rceil}$

对于所有 $\mathbf{x} \in \mathbb{Z}_q^n$ 和 $\mathbf{y} \in \mathbb{Z}_q^n$ ，有如下性质：
$\langle\mathbf{x}, \mathbf{y}\rangle = \langle\text{BitDecomp}(\mathbf{x}), \text{Powersof2}(\mathbf{y})\rangle =\langle\text{Powersof2}(\mathbf{x}), \text{BitDecomp}(\mathbf{y})\rangle$

同理，对于任何一个 $\cdot \lceil \log q \rceil$ 维向量 $\mathbf{a}$ ，有：
$\langle\mathbf{a}, \text{Powersof2}(\mathbf{y})\rangle = \langle\text{BitDecomp}^{-1}(\mathbf{a}), \mathbf{y}\rangle =\langle\text{Flatten}(\mathbf{a}), \text{Powersof2}(\mathbf{y})\rangle$

参考文献

GGH公钥密码系统 Public-key cryptosystems from lattice reduction problems
Regev05论文On Lattices, Learning with Errors, Random Linear Codes, and Cryptography
Brakerski12论文Fully Homomorphic Encryption without Modulus Switching from Classical GapSVP
Micciancio-Regev书 Lattice-based cryptography
KTX07论文Multi-bit Cryptosystems Based on Lattice Problems
DGHV10论文Fully homomorphic encryption over the integers
LV10论文On Ideal Lattices and Learning with Errors over Rings
Gentry09论文Fully homomorphic encryption using ideal lattices
CR16论文Recovering Short Generators of Principal Ideals in Cyclotomic Rings
BV11论文Efficient Fully Homomorphic Encryption from (Standard)LWE
LTV13论文On-the-fly multiparty computation on the cloud via multikey fully homomorphic encryption
GSW13论文Homomorphic Encryption from Learning with Errors:Conceptually-Simpler, Asymptotically-Faster, Attribute-Based
TRLWE18论文TFHE: Fast Fully Homomorphic Encryption over the Torus
陈智罡全同态加密：从理论到实践
周福才、徐剑格理论与密码学
Google Jeremy Kun 2024.5博客 A High-Level Technical Overview of Fully Homomorphic Encryption
Optalysys团队2024年10月博客 Fully Homomorphic Encryption industry leaders join forces to form global FHE Hardware Consortium
Fhenix团队2023年10月17日博客 The Holy Grail of Encryption: The Rise of FHE Technology
NGC Ventures团队2024年1月12日博客 Introduction to FHE and Blockchain: Implications for Scalability and Privacy
Awesome Fully Homomorphic Encryption (FHE) x Blockchain resources, libraries, projects, and more
Awesome Homomorphic Encryption
PANews 2024年9月17日文章全同态加密（FHE）的进展与应用
2022年论文《Survey on Fully Homomorphic Encryption, Theory, and Applications》
Craig Gentry 2022年论文《Homomorphic encryption: a mathematical survey》
2024年12月20日Jorge Myszne，Niobium Microsystems 首席产品官博客 3 Homomorphic Encryption Trends for 2025
HCLTech团队2024年6月研报 Homomorphic encryption: Exploring technology trends and future approach
2024年论文《vFHE: Verifiable Fully Homomorphic Encryption》
PPS Lab团队2023年10月博客 Arithmetizing FHE in Circom
PPS Lab团队2023年10月博客 A primer on the FHEW & TFHE schemes
2024年论文《Oraqle: A Depth-Aware Secure Computation Compiler》
2023年10月论文《A Survey on Implementations of Homomorphic Encryption Schemes》
Sunscreen团队2021年8月博客 An Intro to Fully Homomorphic Encryption for Engineers
TFHE：2016年论文《Faster Fully Homomorphic Encryption: Bootstrapping in less than 0.1 Seconds》
BGV：2011年论文《Fully Homomorphic Encryption without Bootstrapping》
BFV：2012年论文《Somewhat Practical Fully Homomorphic Encryption》
CKKS：2016年论文《Homomorphic Encryption for Arithmetic of Approximate Numbers》
HomomorphicEncryption.org 2018年slide Building Applications with Homomorphic Encryption
Greenfield Capital 2024年7月博客 The muted Seven – 7 things you should consider re confidential compute
Sunscreen 2023年8月博客 How SNARKs fall short for FHE
2024年4月18日BigBrainVC团队博客 Flawed Homomorphic Encryption
2024年Verisense Network slide An Introduction To FHE and Its Application in Rust
Vitalik 2020年7月20日博客 Exploring Fully Homomorphic Encryption
2023年论文《Verifiable Fully Homomorphic Encryption》
2018年《Homomorphic Encryption Standard v1.1》
2021年论文《SoK: Fully Homomorphic Encryption Compilers》
2024年论文《SoK: Fully Homomorphic Encryption Accelerators》
Sunscreen团队2023年5月博客 Building an FHE compiler for the real world
Zama团队2023年5月23日博客 Private Smart Contracts Using Homomorphic Encryption
Craig Gentry 2024年6月分享视频 FHE: Past, Present and Future