《XMK-CKKS: Extended Multiple Key Homomorphic Encryption over CKKS》 中科院2区

总结

​ 提出了xMK-CKKS,一种多密钥同态方案。客户端使用聚合公钥加密梯度，解密的时候需要所有客户端提供解密份额，协助服务器解密总和。基于FadAvg和XMK-CKKS提出一个ppfl模型。在半诚实模型下可以防止n-1个客户端和服务器的勾结。

xMK-CKKS

### setup

​ 给定安全参数$\lambda$，输出公共安全参数$(n,q,\chi ,\psi ,\varphi ,a)$

keygen

​ 对每个客户端$d_i$,采样私钥$s_{i}\leftarrow\chi $，公钥$b_i=-s_i\cdot a+e_i\pmod q$

​ 定义聚合公钥为：$\tilde{b}={\sum }_{i=1}^N{b}_i=-\left({\sum }_{i=1}^N{s}_i\right)\cdot a+{\sum }_{i=1}^N{e}_i(\mathrm{mod}q)$

enc

​ $d_i$对明文$m_i$进行加密：$c{t}_i=(c_{i0},c_{i1})=(v_i\cdot \tilde{b}+m_i+e_0^{d_i},v_i\cdot a+e_1^{d_i})(\mathrm{mod}q)$

add

​ $\begin{array}{rl}{\mathbf{C}}_{\mathbf{sum}}& =\sum _{i=1}^N{\mathbf{ct}}_{\mathbf{i}}\triangleq (C_{su{m}_0},C_{su{m}_1})\\ & =\left(\sum _{i=1}^N{c}_0^{d_i},\sum _{i=1}^N{c}_1^{d_i}\right)\\ & =\left(\sum _{i=1}^N{v}^{d_i}\cdot \tilde{b}+m_i+e_0^{d_i}),\sum _{i=1}^N(v^{d_i}\cdot a+e_1^{d_i})\right)(\mathrm{mod}q)\end{array}$

dec

​ 对每个客户端$d_i$,计算自己的解密份额$D_i$

​ $\begin{array}{rl}{D}_i& =s_i\cdot C_{su{m}_1}+e_i^{\ast }\\ & =s_i\cdot \sum _{i=1}^N(v_i\cdot a+e_1^{d_i})+e_i^{\ast }\left(\mathrm{mod}q\right)\end{array}$

​ 明文和可以被恢复，公式如下：

​ $\begin{array}{rcl}{C}_{su{m}_0}+{\sum }_{i=1}^N{D}_i\mathrm{mod}q& =& C_{su{m}_0}+{\sum }_{i=1}^N{s}_i\cdot C_{su{m}_1}+{\sum }_{i=1}^N{e}_i^{\ast }\mathrm{mod}q\end{array}$

基于xmk-ckk的联邦学习流程

​ 以fedavg算法为基础，在每轮训练中所有设备均参与。

setup

​ 对所有客户端，生成各自的私钥。将聚合公钥广播给所有客户端。

本地训练

​ 对每个客户端来说，在本地数据上进行训练，得到更新后的梯度w。将其编码为明文m。使用聚合公钥将其加密为ct发送到服务器。

聚合密文

​ 服务器收到所有密文后计算$c_{sum}$，将c1发给各客户端进行计算。

解密份额上传

​ 每个客户端使用自己的si计算di，发给服务器。

服务器解密并更新模型

​ ${\sum }_{i=1}^N{m}_i\approx C_{su{m}_0}+{\sum }_{i=1}^N{D}_i\left(\mathrm{mod}q\right)$

​ 服务器计算m并将其作为下一轮的w。