基于小步大步法（BSGS）的同态加密多项式求值

摘要

本文介绍如何使用小步大步（Baby-Step-Giant-Step，BSGS）加速同态加密的多项式求值，尽量减少密文和密文乘法的次数。

公式

假设我们需要求多项式 $p(x)=a_0+a_{1}x+a_2{x}^2+\cdots +a_n{x}^n$ 在某一点 $x$ 的值。

如果直接计算，需要计算$x^1,x^2,\cdots ,x^n$，需要$n$次密文乘法。
即使使用Horner法则计算：
$p(x)=(\cdots ((a_{n}x+a_{n-1})x+a_{n-2})x+\cdots )x+a_0$
也需要$n$次的密文乘法。

在同态加密中，$a_i$与密文$x$的代价是远远小于两个密文相乘的。

令$k_1=k_2,k_1{k}_2=n+1$，那么可以将$p(x)$重新写为：
$p(x)={\sum }_{j=0}^{k_2-1}({\sum }_{i=0}^{k_1-1}{a}_{i+j{k}_1}{x}^i)x^{j{k}_1}$.

因此，我们需要计算$x^1,x^2,\cdots ,x^{k_1-1}$和$x^{k_1},x^{2k_1},\cdots ,x^{(k_2-1)k_1}$.

令$k_1=k_2$，那么需要计算$2\sqrt{n+1}$。

然后根据公式计算，在每一次外部的乘法都会需要一次密文乘以密文，因此一共需要$3\sqrt{n+1}$次密文乘法。

然后，我们还可以继续利用Horner法则进行优化：
$p(x)=(\cdots ((a_{(k_2-1)k_1}{x}^{k_1-1}+a_{(k_2-1)k_1-1}{x}^{k_1-2}+\cdots +a_{(k_2-1)k_1-k_1})x^{k_1}+a_{(k_2-2)k_1-1}{x}^{k_1-1}+\cdots +a_{(k_2-2)k_1-k_1})x^{k_1}+\cdots )x^{k_1}+a_{k_1-1}{x}^{k_1-1}+\cdots +a_0$.

这样就避免$x^{2k_1},\cdots ,x^{(k_2-1)k_1}$.的额外计算。

参考文献

[1] Paterson, Michael S., and Larry J. Stockmeyer. “On the number of nonscalar multiplications necessary to evaluate polynomials.” SIAM Journal on Computing 2.1 (1973): 60-66.

原文地址：https://blog.csdn.net/watqw/article/details/142551021

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！