参考文献：

1. [NLV11] Naehrig M, Lauter K, Vaikuntanathan V. Can homomorphic encryption be practical?[C]//Proceedings of the 3rd ACM workshop on Cloud computing security workshop. 2011: 113-124.
2. [MJS+16] Méaux P, Journault A, Standaert F X, et al. Towards stream ciphers for efficient FHE with low-noise ciphertexts[C]//Advances in Cryptology–EUROCRYPT 2016: 35th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Vienna, Austria, May 8-12, 2016, Proceedings, Part I 35. Springer Berlin Heidelberg, 2016: 311-343.
3. [CDK+21] Chen H, Dai W, Kim M, et al. Efficient homomorphic conversion between (ring) LWE ciphertexts[C]//International Conference on Applied Cryptography and Network Security. Cham: Springer International Publishing, 2021: 460-479.
4. [CHK+21] Cho J, Ha J, Kim S, et al. Transciphering framework for approximate homomorphic encryption[C]//International Conference on the Theory and Application of Cryptology and Information Security. Cham: Springer International Publishing, 2021: 640-669.
5. [DGG+21] Dobraunig C, Grassi L, Guinet A, et al. Ciminion: symmetric encryption based on toffoli-gates over large finite fields[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Cham: Springer International Publishing, 2021: 3-34.
6. [HKL+22] Ha J, Kim S, Lee B H, et al. Rubato: Noisy ciphers for approximate homomorphic encryption[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Cham: Springer International Publishing, 2022: 581-610.
7. [DGH+23] Dobraunig C, Grassi L, Helminger L, et al. Pasta: A Case for Hybrid Homomorphic Encryption[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2023, 2023(3): 30-73.

HHE

[NLV11] 实现了 BV 算法，研究同态加密的实用性。为了解决 HE 密文规模太大的问题，他们提出了 Hybrid Homomorphic Encryption / Transciphering Framework，组合使用对称加密（SE）和同态加密（HE）。

对于 Client-Server Model，如图所示：

HHE 关注的场景：

• 2PC 场景（client + server），client 的计算/通信能力受限（云计算），或者 server 具有私有函数（机器学习）
  1. client 生成 SE 密钥，以及 HE 公私钥，发布公钥
  2. client 使用 SE 加密数据，并使用 HE 加密 SE 的密钥，发送两者给 server
  3. server 先同态解密 SE 密文，然后同态计算，最后发送 HE 密文给 client
  4. client 解密 HE 密文，获得计算结果
• MPC 场景（data providers + key holders + evaluators），可用于数据的秘密收集（物联网）
  1. key holders（分布式）生成 HE 公私钥，发布公钥
  2. data providers 生成各自的 SE 密钥，使用 SE 加密数据，并使用 HE 加密 SE 的密钥，发送两者给 evaluators
  3. evaluators 先同态解密 SE 密文，然后同态计算，最后发送 HE 密文给 key holders
  4. key holders（分布式）解密 HE 密文，获得计算结果

LWE-Native Encryption

[CDK+21] 使用 Galois 自同构实现了 RLWE 密文的相位某些系数的消除，于是可以把 LWE 密文嵌入到 RLWE 密文，然后使用 FFT-style 算法实现了多个 LWE 密文的打包（LWEs-to-RLWE）

基于此，[CDK+21] 建议在云计算场景中，使用对称版本的 Regev 加密方案。由于 LWE-based 都是 FHE 友好的，可以较为自然地在 RLWE 密文下同态解密（只需计算线性部分，不必纠错）。

1. client 使用 PRF 生成各个 LWE 密文的随机带，$a_j=PRF(seed,j)\in {\mathbb{Z}}_q^N$
2. client 将消息 $m_j\in {\mathbb{Z}}_t$ 随机编码为 ${\mu }_j\in {\mathbb{Z}}_q$（携带高斯噪声），计算 $b_j=⟨a_j,s⟩+{\mu }_j$
3. client 发送的 SE 密文形如 $(seed,b_0,b_1,\cdots )$，具有较低的 ciphertext expansion factor（但是 $b_j$ 带噪，密文扩张总是不可避免），具体为 $\frac{\log q}{\log t}+|seed|$
4. server 同态线性解密，获得 ${\mu }_j$ 带噪的消息编码，然后直接同态运算（需要 Regev 本身就具有足够的 Levels，也就是 $\log q\gg \log t$）
5. server 将得到的 RLWE 密文降低到最低的 Level，返回给 client

Filter Permutator & FLIP

[MJS+16] 考虑了两种对称加密，

• 分组密码（Block ciphers）：各个消息分组上，解密电路的深度是固定的，但是由于使用了大轮数迭代，乘法深度很高。
• 流密码（Stream Ciphers）：初始的消息分组，解密电路的深度很小，但随着密钥流的生成，乘法深度会越来越高。

综合考虑两者的优缺点，[MJS+16] 组合它们设计了新的流密码，即满足分组密码的常数深度，又满足流密码的较浅深度。

Filter Permutator

首先，他们提出了一个新的流密码结构，被称为 Filter Permutator Construction，它包含三部分：密钥寄存器、随机置换生成器（randomized linear layers）、滤波器（简单的非线性运算）。如图所示，

密钥流的每一个比特都是根据 $F\circ P_i(K)$ 计算出来的，电路深度是常数的，并且没有大轮数迭代。

FLIP

接着 [MJS+16] 构造了一族 Filter Permutators，称之为 FLIP。这个流密码是工作在布尔值 ${\mathbb{Z}}_2$ 上的（如果 FHE 的自然明文空间是 ${\mathbb{Z}}_t,t\ge 3$，那么布尔电路的乘法深度会很高）。

首先，他们定义了布尔函数的直和，并证明了它可以将两个函数的 Non Linearity, Resiliency, Algebraic Immunity, Fast Algebraic Immunity 等安全属性组合并增强（细节请看原文）。

然后定义了三种简单的布尔函数，并给出了它们的安全属性（略）：

[MJS+16] 使用 Filter Permutator Construction 去构造流密码，使用的滤波器 $F:{\mathbb{Z}}_2^{n_1+n_2+n_3}\to {\mathbb{Z}}_2$ 是上述三种布尔函数的直和，令 $n_1,n_2,n,k,n_3=\frac{nk(k+1)}{2}$ 是合适的整数，
$$F(x_0,\cdots ,x_{n_1+n_2+n_3-1})=L_{n_1}\oplus Q_{n_2/2}\oplus \underset{i=1}{\overset{n}{⨁}}{T}_k$$
注意到函数直和的各个子函数的变量都是相互独立的，且函数求值结果是通过 XOR 组合的，因此这个滤波器 $F$ 的乘法深度很低。

对于随机置换的生成，可以使用 Knuth / Fisher–Yates shuffle Algorithm。如果它接入一个 true random generator，那么它生成的随机置换是等概率的。

from random import randint
def randomize (arr, n):
	for i in range(n-1,0,-1): # From n downto 1
		j = randint(0,i+1) # Pick a random index from 0 to i
		arr[i],arr[j] = arr[j],arr[i] # Swap arr[i] with the element at random index
	return arr

RtF Framework & HERA

[CHK+21] 注意到真实世界的数据主要是浮点数，但是 CKKS 和 SE 并不兼容

• CKKS 支持定点复数的带噪算术，SE 解密则需要精确的模运算。
• 如果把 SE 强行迁移到复数域上，由于 SE 本质上就是将消息 $m_i$ 经过某个带密钥的多项式求值为密文 $c_i$，但是对于正确的密钥 $k$ 总会有 $\Vert E_k(m_i)-c_i{\Vert }_2=0$，这是以 $k$ 为根的复数域多项式。利用牛顿迭代法或者梯度下降法，容易求出近似的根。

他们提出了 RtF (Real-to-Finite-field) framework，组合使用 BFV 以及 CKKS，并设计了一个 BGV/BFV 友好的 SE 方案，称为 HERA。

RtF Framework

假设 BFV 的明文模数是 $t$，[CHK+21] 的思路是：将实数 $m\in \mathbb{R}$ 缩放为 ${\mathbb{Z}}_t$ 中元素，然后使用某个 ${\mathbb{Z}}_t$ 上的 SE 加密它。于是可以使用 BFV 高效地解密 SE 密文，然后使用 CKKS 自举算法实现密文的切换。[CHK+21] 在 BFV 的 slot 上计算密钥流，在 BFV 的 coeff 上解密出消息，最后转换到 CKKS 的 slot 上计算函数。

框架为：

这里要求 BFV 和 CKKS 共享：分圆环维度 $N$、模数链 { q i } i \{q_i\}_i {qi​}i​、公私钥 $(pk,sk)$。假设 SE 密钥是 $k\in {\mathbb{Z}}_t^n$，我们要求 $n\mid l$，这里的 $l\mid N$ 是 BFV 的明文槽个数，对应的 CKKS 也是子环 $Y=X^{N/l}$ 上的稀疏自举（明文槽个数为 $l/2$）。[CHK+21] 定义了密钥 $k$（列矢）的重复编码，
$$Concat(k)=(k\Vert k\Vert \cdots \Vert k)\in {\mathbb{Z}}_t^{n\times B}$$
并提出了两种 BFV 打包方式：

• column-wise packing，设置 $B=l/n$，把这个矩阵按列展开为 ${\mathbb{Z}}_t^l$ 列矢，加密到单个 BFV 密文中。如果要计算 $A\cdot k$，其中 $A\in {\mathbb{Z}}_t^{n\times n}$，首先令 $A^{\prime }=I_{l/n}\otimes A$，然后使用 BSBG 对角线方法（或者 Pegasus 的瓷砖算法），同时计算 $l/n$ 个副本 $A\cdot k$，这需要 Rotate 操作。
• row-wise packing，设置 $B=l$，把这个矩阵的每个 ${\mathbb{Z}}_t^l$ 行矢分别加密到 $n$ 个 BFV 密文中。如果要计算 $A\cdot k$，其中 $A\in {\mathbb{Z}}_t^{n\times n}$，那么就简单计算 $n$ 个密文的乘加（并行 $l$ 个副本），不需要 Rotate 操作。

它们被用于 SE 在 HE 中的同态解密。[CHK+21] 采用任意的 ${\mathbb{Z}}_t$ 上流密码，算法为：

Client 将消息分组为 $m_i\in {\mathbb{R}}^n$，编码到 ${\mathbb{Z}}_t^n$ 上使用 SE 分别加密。对应的 Keystream 是根据 $k\in {\mathbb{Z}}_t^n$ 以及 n c i ∈ { 0 , 1 } λ nc_i \in \{0,1\}^\lambda nci​∈{0,1}λ 生成的。Client 除了发送 $k$ 的 HE 密文以及 $m_i$ 的 SE 密文外，还需要发送分别使用的 Nonce 给 Server 去同态重构密钥流。

HERA

[CHK+21] 设计了一种 FHE-friendly 流密码，叫做 HERA，它的自然运算是 ${\mathbb{Z}}_t$ 上的算术运算，且它的设计目标是乘法深度尽可能低（但是乘法复杂度会较高）。SE 的基本设计框架是：线性运算（扩散）、非线性运算（S-box，抵御求逆）、轮密钥加（带密钥的变换），如此重复若干轮。

[MJS+16] 使用了 randomized linear layers 以及很简单的非线性布尔函数，如果简单地将 FILP 迁移到 ${\mathbb{Z}}_t$ 上，由于 BFV 中的（常数）矩阵乘法的计算开销需要大量的 KS 操作，导致线性层的复杂度甚至比简单非线性层更高。为了减小线性层的开销，[CHK+21] 则是使用了 randomized key schedule（随机化的轮密钥编排）以及固定且稀疏的线性层，非线性运算使用了简单的立方函数，最终构造了 AES-like 的流密码（似乎就是 CTR 模式的分组密码？只是不需要求逆）

HERA 的构造如下，

对于密钥编排，HERA 使用 nonce 和 XOF 来生成随机串 $rc=(r{c}_0,r{c}_1,\cdots ,r{c}_r)\in ({\mathbb{Z}}_t^{16}{)}^{r+1}$，定义如下的轮密钥加，其中的 $+,\cdot$ 都是 component-wise 运算，
$$ARK[k,nc,i](x)=x+k\cdot r{c}_i$$
对于线性层，HERA 使用 MDS matrix（Maximum Distance Separable）分别执行列混淆以及行混淆。MDS matrix 具有最大的分支数 $n+1$（branch number），因此具有很好的扩散性。

[CHK+21] 设置 HERA 的状态是 ${\mathbb{Z}}_t^{4\times 4}$（排列 16 个数），于是直接使用了 AES 中的 MDS 矩阵（从 $GF(2^8)$ 迁移到 ${\mathbb{Z}}_t$），

对于非线性层，HERA 使用简单的立方函数 $x^3$ 作为 S-box，定义
$$Cube(x)=(x_0^3,x_1^3,\cdots ,x_{15}^3)$$
需要满足 $\gcd (3,t-1)=1$，使得 $x^3$ 在 ${\mathbb{Z}}_t^{\ast }$ 上可逆，从而 S-box 是个双射。

对于加密模式，HERA 采用了 inner-counter mode，对于任意的 $k>0$，定义计数器 $ctr=0,1,\cdots ,k-1$，计算的密钥流是：
$$z[ctr]=HERA[k,nc\Vert ctr](ic)$$
固定的常数向量 $ic=(1,2,\cdots ,16)\in {\mathbb{Z}}_t^{16}$，并要求 $t\ge 17$ 是素数。

经过多种的现有攻击的分析，[CHK+21] 给出了一些实例化的参数集。为了实现 $80$ 比特安全强度，迭代轮数为 $r=4$；为了实现 $128$ 比特安全强度，迭代轮数为 $r=5$。

Noisy Symmetric Ciphers & Rubato

[HKL+22] 观察到 SE 和 HE 基于不同的安全原理，

• conventional SE 需要时间的检验，使用了关于 key 高次的多项式求逆
• LWE-based SE 基于困难问题和安全归约，使用 noise 抵御代数攻击

他们提出了两者的权衡，构造了新的 Rubato，它使用一个 low-degree keyed function $E_k:{\mathbb{Z}}_q^n\to {\mathbb{Z}}_q^l$，并假设形如 $(a,E_k(a)+e)\in {\mathbb{Z}}_q^n\times {\mathbb{Z}}_q^l$ 的样本是计算均匀的，其中 $a$ 由 XOF 生成，$e$​ 是高斯噪声。为了分析它的安全性，需要同时使用 symmetric cryptanalysis 以及 LWE cryptanalysis（感觉 SE 的设计好随便啊）。这里的 $q$ 是 RtF 框架中 BFV 的明文模数，而非密文模数。

Rubato 延续了 HERA 的设计结构（随机化密钥编排 + 固定的 MSD 矩阵），但不再使用 Cube 非线性层，而是使用了 [DGH+23] 所建议的另一种 Feistel-Like S-Box。由于这个 Feistel 求逆是简单的（次数很低，无法抵御 MITM 代数攻击），因此他们还采取了 [DGG+21] 的截断技术（直接丢弃部分信息，则求逆必须枚举）。

它直接采用了 HERA 的随机化密钥编排 $ARK[k,nc,i](x)=x+k\cdot r{c}_i$，并推广了状态 $x\in {\mathbb{Z}}_q^n$ 的大小为 $n=v^2$（这里 $q$ 是 HE 密文模数，而在 HERA 中使用的是 ${\mathbb{Z}}_t^{16}$ 明文模数），使用 $v$ 阶 MSD 矩阵去执行状态的混淆。为了计算效率，一般会寻找短的稀疏的 MSD 矩阵。Rubato 给出了 $v=4,6,8$ 的选取建议，

对于非线性层，Rubato 使用了 Feistel Network via a Quadratic Function，定义为：
$$Feistel(x)=(x_1,x_2+x_1^2,\cdots ,x_n+x_{n-1}^2)$$
它是双射，且次数仅为 $2$，这比 Cube 的次数更低，并且混合了相邻的状态分量。这个 Feistel 的求逆很容易，为了抵御 MITM 代数攻击，执行完 AES-like 轮函数之后，还要执行截断函数 $T{r}_{n,l}(x)=(x_1,\cdots ,x_l)$ 以抵御求逆（并且密码设计中永远不执行求逆运算）。

在输出密钥流之前，采样离散高斯噪声 $e_1,\cdots ,e_l\leftarrow {\mathcal{D}}_{\alpha q}$，定义运算：
$$AGN(x)=(x_1+e_1,\cdots ,x_l+e_l)\in {\mathbb{Z}}_q^l$$
也就是说，Rubato 产生的密钥流是带噪的，它只能用于 RtF Framework 中（虽然是在 BFV 上解密，但最终是在 CKKS 上的近似运算），而不能用到精确的 FHE 上面。

Rubato 也采取了 inner-counter mode，密钥流是 $z[ctr]=Rubato[k.nc\Vert ctr](ic)$，其中 $ic=(1,2,\cdots ,n)\in {\mathbb{Z}}_q^n$，一般地 $q\gg n$。给定消息 $m_i\in {\mathbb{R}}^l$，密文是
$$c_i=\lfloor \Delta \cdot m_i\rceil +z[i](\mathrm{mod}q)$$
缩放因子 $\Delta \in \mathbb{R}$，假如 $\Vert m{\Vert }_1\le s$，则选取 $\Delta =\frac{q}{16s}$（没说为什么这么选）。由于 $z[i]$ 带噪，因此 BFV（明文模数 $q$，密文模数 $Q$）只能解密出缩放的近似值 $\lfloor \Delta \cdot m_i\rceil +e_i\in {\mathbb{Z}}_q$，不过接着就切换到 CKKS 密文上成为 $\frac{Q_0}{q}(\lfloor \Delta \cdot m_i\rceil +e_i)+e_{BFV}+e_{boot}\in {\mathbb{Z}}_{Q^{\prime }}$（首先 BFV 模切换到最低的 $Q_0$，接着自举提升 CKKS 的密文模数到 $Q^{\prime }$）。由于我们是用 CKKS 做近似计算的，Rubato 引入的噪声 $e_i$ 仅略微降低了明文精度，但不影响使用。

经过安全性分析后，[HKL+22] 给出了同一个安全级别下的不同参数集，$80$ 比特安全性的迭代轮数最低为 $r=2$，而 $128$ 比特安全性的迭代轮数是 r ∈ { 2 , 3 , 5 } r \in \{2,3,5\} r∈{2,3,5}，乘法深度比 HERA 更低。