同态加密：正则嵌入、理想格和RLWE问题

这一篇博客的主要内容在于，介绍RLWE问题以及它满足的困难性。

首先，看一下分圆多项式。这个没啥好说的，我在我的往期博客里写过。

需要提一嘴的就是$\mathbb{Z}[\xi ]\cong \mathbb{Z}[X]/{\Phi }_m(X)$。这个式子的意义在于用${\Phi }_m$的根做插值可以唯一确定$\mathbb{Z}[X]/{\Phi }_m(X)$里的元素，或者说，这两个结构是同构的。

本来以为$\mathbb{Z}[\xi ]$是插值结果，再一看是个多项式线性空间，只不过最高次数被限制为n-1。

于是由于同构，我们可以规定$R$的次数为${\Phi }_m$的次数。
可以对线性空间 $\mathbb{Z}[\xi ]$ 指定幂基(power basis)。

在 $m$ 为素数方幂的情况下，分圆多项式长得还比较标致。
对于一般的 $m$ ，就不太行了。

说真的，上面这个话说得不明不白的…不妨看一下我下面的解释和例子。

我们要实现的是上面胶片里所说的线性映射：
$$\sigma :R\to C^n$$

映射是线性的，意味着我们只需要确定基的映射方式，比如power basis，就知道全空间的映射方式。

举个例子，在空间 $R=\mathbb{Z}[X]/(1+X^2)$上，$m=4$，power basis就是 1 和 $X$ 。 Z 2 ∗ = { 0 , 1 } Z^*_2 = \{0, 1\} Z2∗​={0,1}，$\xi =i,-i$。

在我看来，这两张胶片写得可以说是十分辣鸡了。这个自然嵌入映射$\sigma$，本质上就是给定一个 $R$ 里的多项式 $p$，你把所有的本原根 $\xi$ 代进去得到$p(\xi )$。

比如我们看下面的例一。 对多项式$1$和$X$进行自然嵌入，就是把$\xi =i,-i$ 代入变量$X$，得到向量（分别是(1, 1)和(i, -i)）。

再看下面的例二。当 $m=3$ 时，$\xi =(-1+\sqrt{3}i)/2,(-1-\sqrt{3}i)/2$。分别代入1和$X$可得。

理想格。

理想是一个环上的子集，加法封闭在理想本身中，乘法封闭在环上。

于是由于正则嵌入的引入，我们就可以把LWE困难问题放到多项式环上了。

上图说的是，我们在$R=\mathbb{Z}[X]/(1+X^2)$上，已经把1和$X$做了嵌入。$1$和$X$的线性组合已经在$R$里构成了一个格，那么他们在自然嵌入后的向量空间里也构成了一个格。$1$和$X$已经是$R$的基了，那么嵌入后的东西也是向量格的基了。

$X-2$和$-3X+1$是格$<X-2,3X-1>$上的理想。所以$<X-2,3X-1>$也叫理想格。这个理想格是$<1,X>$的子格。

于是我们可定义Ring-LWE问题。