这篇文章主要介绍了CKKS算法的数学基础，并且基于这个基础讲了一下CKKS算法中的旋转操作。

一些记号

我们记整数环为 $\mathbb{Z}$，有理数环为 $\mathbb{Q}$，实数域为 $\mathbb{R}$，复数域为 $\mathbb{C}$。

对正整数 $m$，记 ${\mathbb{Z}}_m$ 为模 $m$剩余类。记${\mathbb{Z}}_m^{\ast }$ 为 ${\mathbb{Z}}_m$ 里有模乘法逆元的元素，则 ${\mathbb{Z}}_m^{\ast }$ 是乘法群。

${\mathbb{Z}}_m^{\ast }$ 里的元素，都是一些和 $m$ 互素的元素，并且 $\left|{\mathbb{Z}}_m^{\ast }\right|=\varphi (m)$，其中 $\varphi$ 是欧拉计数函数，$\varphi (m)=len(\{k:1\le k\le m,gcd(k,m)=1\})$。

记 $[m]=\{0,\dots ,m-1\},m>0$。注意一个事儿： ${\mathbb{Z}}_m$ 和 $[m]$ 可不是一个东西啊！

单位原根和分圆多项式

单位根
$m$ 是正整数，$F$ 是域。 如果 $\omega \in F,{\omega }^m=1$，那么$\omega$ 叫做 $m$ 次单位根，等价于$\omega$ 是 $X^m-1\in F[X]$ 的根。 如果没有比 $\omega$ 更小的 $m$ 次单位根，那么 $m$ 次单位根 $\omega$ 叫单位原根。

$\omega$ 是 $m$ 次单位根。那么，如果 $k\equiv \ell (\mathrm{m}\mathrm{o}\mathrm{d}m)$，则 ${\omega }^k={\omega }^{\ell }$。则可以引出$m$ 次单位根的等价类。

$\omega$ 是 $m$ 次单位原根，则可以知道原根的构造：

• 单位根都可以写成 ${\omega }^j,j\in {\mathbb{Z}}_m$

• 单位原根都可以写成 ${\omega }^j,j\in {\mathbb{Z}}_m^{\ast }$

在复数域 $\mathbb{C}$ 上看这个事，$\omega :=e^{2\pi \mathbf{i}/m}\in \mathbb{C}$是 $m$ 次单位原根。则多项式
$${\Phi }_m(X):=\prod _{j\in {\mathbb{Z}}_m^{\ast }}\left(X-{\omega }^j\right)\in \mathbb{C}[X]$$
叫 $m$ 次分圆多项式。显然 $m$ 次分圆多项式首一且度为$\varphi (m)$。

几个结论：

• ${\Phi }_m(X)\in \mathbb{Z}[X]$
• ${\Phi }_m(X)$ 在 $\mathbb{Q}$上不可约。
• $X^m-1={\prod }_{d\mid m}{\Phi }_d(X)$

第三个结论给了 ${\Phi }_m(X)$ 的迭代形式。 ${\Phi }_1(X)=X-1$。对于$m>1$，有

$${\Phi }_m(X)=\frac{X^m-1}{{\prod }_{d\mid m,d<m}{\Phi }_d(X)}$$

分圆环 $\mathcal{A},{\mathcal{A}}_q,{\mathcal{A}}_{\mathbb{Q}}$, ${\mathcal{A}}_{\mathbb{R}}$

$m>1$ 为整数。记 ${\Phi }_m(X)\in \mathbb{Z}[X]$ 为$m$ 阶分圆多项式。
我们将要考虑商环 $\mathcal{A}:=\mathbb{Z}[X]/\left({\Phi }_m(X)\right)$，即整系数多项式环模 ${\Phi }_m(X)$.

$m>1$ 为整数。考虑商环 ${\mathcal{A}}_q={\mathbb{Z}}_q[X]/\left({\bar{\Phi }}_m(X)\right)$，其中 ${\bar{\Phi }}_m(X)$ 是 ${\Phi }_m(X)$ 塞到 ${\mathbb{Z}}_q[X]$ 里的像，即把 ${\Phi }_m(X)$ 的系数在 ${\mathbb{Z}}_q$ 里取模。

有时假设 $q$ 和 $m$互素。此时， $X^m-1$ 在 ${\overline{\mathbb{Z}}}_q$ 上有 $m$ 个不同的根，其中${\overline{\mathbb{Z}}}_q$ 是 ${\mathbb{Z}}_q$的代数闭包，此时${\bar{\Phi }}_m(X)\in {\mathbb{Z}}_q[X]$ 同理，在 ${\overline{\mathbb{Z}}}_q$ 有 $\varphi (m)$ 个不同的 $m$ 次原根。

有时也会考虑 ${\mathcal{A}}_{\mathbb{Q}}:=\mathbb{Q}[X]/\left({\Phi }_m(X)\right)$ 、 ${\mathcal{A}}_{\mathbb{R}}:=\mathbb{R}[X]/\left({\Phi }_m(X)\right)$. 和 $\mathcal{A}$ 类似。只不过把系数一换。

自然(canonical)嵌入和相关的无穷范数

$\omega :=e^{2\pi \mathbf{i}/m}\in \mathbb{C}$ 是 $m$ 次单位原根，也是${\Phi }_m(X)$ 的根。
考虑两个多项式 $f(X),g(X)\in \mathbb{Z}[X]$ ，使得 $f(X)\equiv g(X)\left(\mathrm{m}\mathrm{o}\mathrm{d}{\Phi }_m(X)\right)$。

再考虑${\omega }^j$, $j\in {\mathbb{Z}}_m^{\ast }$，则 ${\omega }^j$ 是${\Phi }_m(X)$的根，则必有 $f\left({\omega }^j\right)=g\left({\omega }^j\right)$。这就有了一个等价类。不妨找个代表元 $\mathbf{a}$，使得 $\mathbf{a}\left({\omega }^j\right):=f\left({\omega }^j\right)$。

那么 $\mathbf{a}\in \mathcal{A}$ 就是多项式（函数） $a$ 在所有单位原根下的（函数）值。可以把这个映射过程写作（注意，这个 $j$ 是有序的！）：
$$\mathrm{canon}(\mathbf{a}):={\left(\mathbf{a}\left({\omega }^j\right)\right)}_{j\in {\mathbb{Z}}_m^{\ast }}$$
定义无穷范数：
$$\Vert \mathbf{a}\Vert :=\Vert \mathrm{canon}(\mathbf{a}){\Vert }_{\infty }$$
i.e.
$$\Vert \mathbf{a}\Vert =\max \left\{\left|\mathbf{a}\left({\omega }^j\right)\right|:j\in {\mathbb{Z}}_m^{\ast }\right\},$$
这个东西 $\Vert \cdot \Vert$ 叫自然范数。

范数的几样性质：正定、齐次、三角不等式，这里还有次乘性：

• $\Vert \mathbf{a}+\mathbf{b}\Vert \le \Vert \mathbf{a}\Vert +\Vert \mathbf{b}\Vert$， $\forall \mathbf{a},\mathbf{b}\in \mathcal{A}$ （三角不等式）
• $\Vert c\mathbf{a}\Vert =|c|\Vert \mathbf{a}\Vert$，$\forall \mathbf{a}\in \mathcal{A},c\in \mathbb{Z}$（齐次）
• $\Vert ab\Vert \le \Vert a\Vert \Vert b\Vert$，$\forall \mathbf{a},\mathbf{b}\in \mathcal{A}$。（次乘）

在 ${\mathcal{A}}_{\mathbb{Q}}$ 或 ${\mathcal{A}}_{\mathbb{R}}$ 上有类似的结论。以后就用$\Vert \mathbf{a}\Vert =\Vert$ canon $(\mathbf{a}){\Vert }_{\infty }$ 来指代 ${\mathcal{A}}_{\mathbb{Q}}$ 或 ${\mathcal{A}}_{\mathbb{R}}$ 中 $\mathbf{a}$ 的范数。

标准 & powerful基

下面需要先做一个符号上的区分：

符号（变量） $X$ 和这玩意在 ${\Phi }_m(X)$ 上的像 $\mathbf{x}:=$$\left[X\mathrm{m}\mathrm{o}\mathrm{d}{\Phi }_m(X)\right]$ ，其中 $\mathbf{x}\in \mathcal{A}=\mathbb{Z}[X]/\left({\Phi }_m(X)\right)$。

实际上，$\mathcal{A}$ 也可以写成 $\mathcal{A}=\{f(\mathbf{x}):f(X)\in \mathbb{Z}[X]\}$。

$\mathbf{x}\in \mathcal{A}$ 满足 ${\Phi }_m(\mathbf{x})=0$（因为模都给你模完了）。此外，$\mathcal{A}$ 中每个元素均可唯一表示成 $f(\mathbf{x})$，其中 $f(X)\in \mathbb{Z}[X]$ 的度数小于 $\varphi (m)$。

立即推出对于任意的 $\mathbf{a}\in \mathcal{A}$ 都可以唯一地表示成：
$$\mathbf{a}=\sum _{i\in [\varphi (m)]}{a}_i{\mathbf{x}}^i.$$
于是
$${\left\{{\mathbf{x}}^i\right\}}_{i\in [\varphi (m)]}$$
构成了 $\mathcal{A}$ 的一个 $\mathbb{Z}$-基底， 称为 $\mathcal{A}$ 的标准基底。

设 $m=m_1\cdots m_k$ 是 $m$ 的素分解。考虑一个新的商环
$$\mathcal{B}:=\mathbb{Z}\left[Y_1,\dots ,Y_k\right]/\left({\Phi }_{m_1}\left(Y_1\right),\dots ,{\Phi }_{m_k}\left(Y_k\right)\right)$$

对于 $t=1,\dots ,k$, 记 ${\mathbf{y}}_t$ 为 $Y_t$ 在 $\mathcal{B}$ 的像。 于是有 $\mathcal{B}=\mathbb{Z}\left[{\mathbf{y}}_1,\dots ,{\mathbf{y}}_k\right]$. 那么，每个 $\mathcal{B}$ 中元可以唯一写成 $g\left({\mathbf{y}}_1,\dots ,{\mathbf{y}}_k\right)$ 的形式，其中 $g\left(Y_1,\dots ,Y_k\right)\in \mathbb{Z}\left[Y_1,\dots ,Y_k\right]$， 其中 $Y_t$ 的度数小于 $\varphi \left(m_t\right)$ for $t=1,\dots ,k$。则
$${\left\{{\mathbf{y}}_1^{i_1}\cdots {\mathbf{y}}_k^{i_k}\right\}}_{i_1\in \left[\varphi \left(m_1\right)\right],\dots ,i_k\in \left[\varphi \left(m_k\right)\right]}$$
构成 $\mathcal{B}$ 的 $\mathbb{Z}$-基底。

环 $\mathcal{A}$ 和 $\mathcal{B}$ 实际上是同构的。 记 ${\mathbf{x}}_t:={\mathbf{x}}^{m/m_t}\in \mathcal{A}$ ， $t=1,\dots ,k$. 则有从 $g\left({\mathbf{y}}_1,\dots ,{\mathbf{y}}_k\right)\in \mathcal{B}$ 到 $g\left({\mathbf{x}}_1,\dots ,{\mathbf{x}}_k\right)\in \mathcal{A}$ ， $g\left(Y_1,\dots ,Y_k\right)\in \mathbb{Z}\left[Y_1,\dots ,Y_k\right]$ 的同构映射。

这个同构映射为 $\mathcal{A}$ 定义了另一个$\mathbb{Z}$-基底：
$${\left\{{\mathbf{x}}_1^{i_1}\cdots {\mathbf{x}}_k^{i_k}\right\}}_{i_1\in \left[\varphi \left(m_1\right)\right],\dots ,i_k\in \left[\varphi \left(m_k\right)\right]}.$$
叫它 $\mathcal{A}$的 powerful basis。

除了基于规范嵌入的范数之外，$\mathcal{A}$ 上其他的范数可以根据上述基底定义。

Galois自同构

记 $\mathcal{A}=\mathbb{Z}[X]/\left({\Phi }_m(X)\right)$ ，然后 $\mathcal{A}=\mathbb{Z}[\mathbf{x}]$ ，其中 $\mathbf{x}:=\left[X\mathrm{m}\mathrm{o}\mathrm{d}{\Phi }_m(X)\right]$ 是未定元 $X$ 在 $\mathcal{A}$ 中的像。

对于 $j\in {\mathbb{Z}}_m^{\ast }$ ，第 $j$ 个 Galois自同构 ${\theta }_j$ 是环同构：
$$\begin{array}{rl}{\theta }_j:\mathcal{A}& *\mathcal{A}\\ f(\mathbf{x})& *f\left({\mathbf{x}}^j\right)(\text{ for }f(X)\in \mathbb{Z}[X])\end{array}$$
${\theta }_j$ 是well-defined，因为在 $\mathbb{Z}[X]$上，${\Phi }_m\left(X^j\right)$ 可被 ${\Phi }_m(X)$整除。考虑它们的根，如果 $\omega :=e^{2\pi i}/m\in \mathbb{C}$ 是原根, 那么 ${\omega }^j$ 也是。所以 $\omega$ 是 ${\Phi }_m\left(X^j\right)$ 的根。又因为 ${\Phi }_m(X)$ 的最小性，所以 ${\Phi }_m\left(X^j\right)$ 可被 ${\Phi }_m(X)$整除。此即若 $f(\mathbf{x})=g(\mathbf{x})$，则 $f\left({\mathbf{x}}^j\right)=g\left({\mathbf{x}}^j\right)$，良定性得证。

对于 $j,j^{\prime }\in {\mathbb{Z}}_m^{\ast }$，有
$${\theta }_j\circ {\theta }_{j^{\prime }}={\theta }_{j{j}^{\prime }}={\theta }_{j^{\prime }}\circ {\theta }_j$$
若 $j^{\prime }=j^{-1}\in {\mathbb{Z}}_m^{\ast }$，则 ${\theta }_{j^{\prime }}$ 是 ${\theta }_j$的逆，于是 ${\theta }_j$ 是双射。

对任意 $\mathbf{a}\in \mathcal{A}$，可以注意到 $\mathrm{canon}\left({\theta }_j(\mathbf{a})\right)$ 就是 canon $(\mathbf{a})$ 的置换，因此 $\Vert {\theta }_j(\mathbf{a})\Vert =\Vert \mathbf{a}\Vert$.

${\mathcal{A}}_q、{\mathcal{A}}_{\mathbb{Q}}$ 和 ${\mathcal{A}}_{\mathbb{R}}$上的Galois自同构同理可得。

明文上的一些代数学

回忆一下我写过的CKKS文章，消息叫做message（是向量或者矩阵），明文叫做plaintext（是多项式），密文叫做ciphertext（是一对多项式）。

记 $\mathcal{A}=\mathbb{Z}[X]/\left({\Phi }_m(X)\right)$。于是CKKS中的明文可以被视为环 ${\mathcal{A}}_P$ 的元素，其中 $P=p^r$ 是素数的幂，且 $p$ 不整除 $m$。

环 ${\mathcal{A}}_P$ 实际上是一个 ${\mathbb{Z}}_P$-代数（有加法和乘法的线性空间），意味着在这个环里有一个 ${\mathbb{Z}}_P$ 的同构拷贝作为子环。

首先考虑一下 $r=1$ 的情况，于是 $P=p$ 是素数，${\mathbb{Z}}_p$ 是一个域。

此时 ${\mathcal{A}}_p$ 是一个 ${\mathbb{Z}}_p$-代数并且包含域 ${\mathbb{Z}}_p$ 作为子域，所以可以自然地把 ${\mathcal{A}}_p$ 看成 ${\mathbb{Z}}_p$ 下的向量空间。

下面先回忆一下 ${\mathcal{A}}_p$ 的定义， ${\mathcal{A}}_p={\mathbb{Z}}_p[X]/\left({\bar{\Phi }}_m(X)\right)$，其中 ${\bar{\Phi }}_m(X)$ 是分圆多项式 ${\Phi }_m(X)$ 的系数模 $p$ 的结果，是 ${\mathbb{Z}}_p[X]$ 的元素。我们假设 $p$ 不整除 $m$。

我们还定义了 $\mathbf{x}:=\left[X\mathrm{m}\mathrm{o}\mathrm{d}{\bar{\Phi }}_m(X)\right]$, 于是 ${\mathcal{A}}_p={\mathbb{Z}}_p[\mathbf{x}]$, 意味着对 ${\mathcal{A}}_p$ 中的所有元素，都有一个 $f(X)\in {\mathbb{Z}}_p[X]$ 和它对应。

一些常见结论：

• 把多项式 ${\bar{\Phi }}_m(X)\in {\mathbb{Z}}_p[X]$ 完全因式分解成
  $${\bar{\Phi }}_m(X)=F_1(X)\cdots F_n(X)$$
  其中 $F_i(X)\in {\mathbb{Z}}_p[X]$ 是不同的不可约多项式，每个多项式都有度数 $d$； 于是 $\varphi (m)=nd$.
• $d$ 是 $p$ 模 $m$ 的阶数，此即 $d$ 是 $p^d\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}m)$ 成立的最小整数。

于是由中国剩余定理的多项式版本，可以搞出来一个 ${\mathbb{Z}}_p$-代数的同构
$$\begin{array}{rl}{\mathcal{A}}_p& *{\mathbb{Z}}_p[X]/\left(F_1(X)\right)\times \cdots \times {\mathbb{Z}}_p[X]/\left(F_n(X)\right)\\ f(\mathbf{x})& *\left(\left[f(X)\mathrm{m}\mathrm{o}\mathrm{d}{F}_1(X)\right],\dots ,\left[f(X)\mathrm{m}\mathrm{o}\mathrm{d}{F}_n(X)\right]\right)\left(\text{ for }f(X)\in {\mathbb{Z}}_p[X]\right)\end{array}$$

还可以这么看 $\mathcal{A}={\mathbb{Z}}_p[X]/{\Phi }_m(X)$。记 $E={\mathbb{Z}}_p[X]/\left(F_1(X)\right)$。则可以在 ${\bar{\Phi }}_m(X)$ 里的不可约因子里任选一个 $F_1(X)$。记 $\eta :=\left[X\mathrm{m}\mathrm{o}\mathrm{d}{F}_1(X)\right]\in$$E$。

现在 $F_1(X)$ 不可约，则 $E$ 是一个基数为 $p^d$ 的有限域。我们也有 $E={\mathbb{Z}}_p[\eta ]$，意味着 $E$ 中每个元素都可以写成 $f(\eta )$ 的形式，其中 $f(X)\in {\mathbb{Z}}_p[X]$。这样 ${\mathbb{Z}}_p$ 自然成了 $E$ 的子域。根据定义， $\eta$ 是 $F_1(X)$ 的根， $\eta \in E$ 也是 $m$ 次单位原根。

现在考虑群 ${\mathbb{Z}}_m^{\ast }$。易知 ${\bar{\Phi }}_m(X)$ 在 $E$ 上有 $\varphi (m)$ 个根 ${\eta }^j$ for $j\in {\mathbb{Z}}_m^{\ast }$。因此这 $\varphi (m)$ 个根需要被分配到 ${\bar{\Phi }}_m(X)$ 的不可约因子上。于是，每个不可约因子 $F_i(X)$ 在 $E$ 上都有 $d$ 个根。

上面说的这些个根是怎么分配的呢？考虑由 $\bar{p}:=[p\mathrm{m}\mathrm{o}\mathrm{d}m]\in {\mathbb{Z}}_m^{\ast }$ 生成的 ${\mathbb{Z}}_m^{\ast }$ 的乘法子群 $H$。这个子群有 $d$ 个不同元素 $\overline{1},\bar{p},\dots ,{\bar{p}}^{d-1}$。考虑商群 ${\mathbb{Z}}_m^{\ast }/H$，有 $n=\varphi (m)/d$ 个不同的陪集，每个陪集长这样：

$$kH=\{kh:h\in H\}\subseteq {\mathbb{Z}}_m^{\ast }$$
$k$ 是陪集代表。

现在从每个陪集里面找一个代表，得到一串数 $k_1,\dots ,k_n\in {\mathbb{Z}}_m^{\ast }$。则 $H$ 在 ${\mathbb{Z}}_m^{\ast }$ 里的所有陪集是：
$$k_{1}H,\dots ,k_{n}H\text{. }$$
每个 ${\mathbb{Z}}_m^{\ast }$ 中的元素都在一个陪集中。

下面我们要把多项式域的结果扔到向量空间上了。首先看一个结果：

• 对于任意的代表集 $k_1,\dots ,k_n\in {\mathbb{Z}}_m^{\ast }$ of $H$ in ${\mathbb{Z}}_m^{\ast }$, 可以把它组织成下面的形式，使得对 $i=1,\dots ,n$，多项式 $F_i(X)$ 在 $E$ 上有 $d$ 个根，即 ${\eta }^k$ for $k\in k_{i}H$.

因此，对 $i=1,\dots ,n$ 我们都有 ${\mathbb{Z}}_p$-代数的同构：
$$\begin{array}{rl}{\mathbb{Z}}_p[X]/\left(F_i(X)\right)& *E\\ \left[f(X)\mathrm{m}\mathrm{o}\mathrm{d}{F}_i(X)\right]& *f\left({\eta }^{k_i}\right)\left(\text{ for }f(X)\in {\mathbb{Z}}_p[X]\right).\end{array}$$

因为 $E$ 中每个元素都可以写成 $f(\eta )$ 的形式，其中 $f(X)\in {\mathbb{Z}}_p[X]$。于是有 ${\mathbb{Z}}_p$-代数的同构：

$$\begin{array}{rl}{\mathcal{A}}_p& *E^n\\ f(\mathbf{x})& *\left(f\left({\eta }^{k_1}\right),\dots ,f\left({\eta }^{k_n}\right)\right)\left(\text{ for }f(X)\in {\mathbb{Z}}_p[X]\right).\end{array}$$
我们不妨称 $E$ 为槽(slot)代数。${\mathcal{A}}_p*E^n$ 这个自同构允许我们在 $E^n$ 做逐元素的加法和乘法，并且可以对应到 ${\mathcal{A}}_p$ 上。

比如$\mathbf{a}\in {\mathcal{A}}_p$ 对应 $\left({\alpha }_1,\dots ,{\alpha }_n\right)\in E^n$ ， $\mathbf{b}\in {\mathcal{A}}_p$ 对应 $\left({\beta }_1,\dots ,{\beta }_n\right)\in E^n$，则 $\mathbf{a}+\mathbf{b}$ 对应 $\left({\alpha }_1+{\beta }_1,\dots ,{\alpha }_n+{\beta }_n\right)\in E^n$， $\mathbf{a}\cdot \mathbf{b}$ 对应 $\left({\alpha }_1\cdot {\beta }_1,\dots ,{\alpha }_n\cdot {\beta }_n\right)\in$$E^n$.

在计算上实现这个自同构也比较简单。

Galois自同构和向量内数据的移动

有了 ${\mathcal{A}}_p*E^n$ 这个自同构，我们就可以对向量（或者说多项式），弄一些SIMD操作。但是，在向量内部移动数据也是有用的一批。这个事可以通过上一篇文章介绍的 ${\mathcal{A}}_p$ 上的Galois自同构实现。

回忆杀：对于 $j\in {\mathbb{Z}}_m^{\ast }$，第 $j$ 个 Galois 自同构 ${\theta }_j$ 是 ${\mathbb{Z}}_p$-代数的自同构：
$$\begin{array}{rl}{\theta }_j:{\mathcal{A}}_p& *{\mathcal{A}}_p\\ f(\mathbf{x})& *f\left({\mathbf{x}}^j\right)\left(\text{ for }f(X)\in {\mathbb{Z}}_p[X]\right)\end{array}$$
由 ${\mathcal{A}}_p*E^n$ 这个自同构
$$f(\mathbf{x})\in {\mathcal{A}}_p*\left(f\left({\eta }^{k_1}\right),\dots ,f\left({\eta }^{k_n}\right)\right)\in E^n$$
我们可以得到
$${\theta }_j(f(\mathbf{x}))\in {\mathcal{A}}_p*\left(f\left({\eta }^{j{k}_1}\right),\dots ,f\left({\eta }^{j{k}_n}\right)\right)\in E^n$$
因此，${\theta }_j$ 在向量上做的置换比较特殊。通过精心选取 $k_1,\dots ,k_n$就可以用特定的Galois自同构来做一些有用的映射。

Frobenius自同构

映射
$$\begin{array}{rl}\sigma :E& *E\\ f(\eta )& *f\left({\eta }^p\right)\left(\text{ for }f(X)\in {\mathbb{Z}}_p[X]\right).\end{array}$$
是 ${\mathbb{Z}}_p$-代数的自同构，称为 Frobenius自同构。Frobenius自同构在有限域中十分重要。

一个结论是， $\forall \alpha \in E$ 有 $\sigma (\alpha )={\alpha }^p$.

另一个结论是 $\forall \alpha \in E$ 有
$$\alpha \in {\mathbb{Z}}_p*\sigma (\alpha )=\alpha .$$
在自同构 ${\mathcal{A}}_p*E^n$
$$f(\mathbf{x})\in {\mathcal{A}}_p*\left(f\left({\eta }^{k_1}\right),\dots ,f\left({\eta }^{k_n}\right)\right)\in E^n$$
下，我们有
$${\theta }_{\bar{p}}(f(\mathbf{x}))\in {\mathcal{A}}_p*\left(f\left({\eta }^{p{k}_1}\right),\dots ,f\left({\eta }^{p{k}_n}\right)\right)=\left(\sigma \left(f\left({\eta }^{k_1}\right)\right),\dots ,\sigma \left(f\left({\eta }^{k_n}\right)\right)\right)\in E^n,$$
其中 $\bar{p}=[p\mathrm{m}\mathrm{o}\mathrm{d}m]\in {\mathbb{Z}}_m^{\ast }$。因此，映射 ${\theta }_{\bar{p}}$ 是逐元素的。

在超方体(hypercube)上做旋转

我们已经知道自同构 ${\theta }_{\bar{p}}$ 做了一个Frobenius映射，映射到向量中每一个元素上，但是目前为止这个映射并没有完成类似于CKKS的旋转操作。现在我们看一下怎么用 ${\theta }_j$ 做旋转。

首先是一些简单的例子：

一维旋转（！！！！！！！！！！！！）

设 $g\in {\mathbb{Z}}_m^{\ast }$ 并且假设 $1,g,g^2,\dots ,g^{n-1}$ 是 $H$ 在 ${\mathbb{Z}}_m^{\ast }$ 上的所有的陪集代表。. 那么必然有 $g^n\in H$。

为什么？注意到对于某个 $e\in \{0,\dots ,n-1\}$ 和某个 $h\in H$，必有 $g^n=g^{e}h$ 。此外，必有 $e=0$ ，否则 $g^{n-e}\in H$，意味着两个不同的陪集代表在 $H$ 里，而这不可能。所以有 $g^n=h\in H$。

假设 $g^n=1$，则对于自同构 ${\mathcal{A}}_p*E^n$，我们用上 ${\mathbb{Z}}_m^{\ast }$ 中所有的 $H$ 的陪集代表 $1,g,\dots ,g^{n-1}\in {\mathbb{Z}}_m^{\ast }$，于是有：
$$f(\mathbf{x})\in {\mathcal{A}}_p*\left(f\left({\eta }^1\right),f\left({\eta }^g\right),\dots ,f\left({\eta }^{g^{n-2}}\right),f\left({\eta }^{g^{n-1}}\right)\right)\in E^n$$
做映射 ${\theta }_g$ 便有：
$${\theta }_g(f(\mathbf{x}))\in {\mathcal{A}}_p*\left(f\left({\eta }^g\right),f\left({\eta }^{g^2}\right),\dots ,f\left({\eta }^{g^{n-1}}\right),f\left({\eta }^{g^n}\right)\right)\in E^n$$
由于我们假设了 $g^n=1$，所以
$${\theta }_g(f(\mathbf{x}))\in {\mathcal{A}}_p*\left(f\left({\eta }^g\right),f\left({\eta }^{g^2}\right),\dots ,f\left({\eta }^{g^{n-1}}\right),f\left({\eta }^1\right)\right)\in E^n$$
于是我们最终做到了旋转这件事。

对于 $e=1,\dots ,n-1$，做映射 ${\theta }_{g^e}$ 可以做到“向左”旋转 $e$ 位。

现在假设 $g^n\in H$ ，但是 $g^n\ne 1$。这意味着 $g^n={\bar{p}}^s\in {\mathbb{Z}}_m^{\ast }$ ，其中 $s\in \{1,\dots ,d-1\}$。此时我们有：
$${\theta }_g(f(\mathbf{x}))\in {\mathcal{A}}_p*\left(f\left({\eta }^g\right),f\left({\eta }^{g^2}\right),\dots ,f\left({\eta }^{g^{n-1}}\right),{\sigma }^s\left(f\left({\eta }^1\right)\right)\right)\in E^n.$$
于是对向量 $\mathbf{a}$ 做 ${\theta }_g$ 确实是旋转了，但是在最后一个地方加了点扰动（伪旋转）。

更一般的结论是，对于 $e=1,\dots ,n-1$ ，映射 ${\theta }_{g^e}$ 向左旋转了 $e$ 位，同时把最后的 $e$ 位扰动了。向右旋转同理。

如果向量里真有不在 ${\mathbb{Z}}_p$ 里的元素的话，我们仍然可以做旋转。如下所示：

对于 $\mathbf{a}\in {\mathcal{A}}_p$，我们可以用一个掩码 ${\mathbf{M}}_e$，它对应的是
$${\mathbf{M}}_e\in {\mathcal{A}}_p*(\underset{n-e{1}^{\prime }\mathrm{s}}{\underbrace{1,\dots ,1}},\underset{e{0}^{\prime }s}{\underbrace{0,\dots ,0}})\in E^n.$$
我们也有
$$1-{\mathbf{M}}_e\in {\mathcal{A}}_p*(\underset{n-e{0}^{\prime }s}{\underbrace{0,\dots ,0}},\underset{e{1}^{\prime }s}{\underbrace{1,\dots ,1}})\in E^n$$

如果
$$\mathbf{a}\in {\mathcal{A}}_p*\left({\alpha }_0,\dots ,{\alpha }_{n-1}\right)\in E^n$$
那么
$$M_e\cdot {\theta }_{g^e}(\mathbf{a})\in {\mathcal{A}}_p*({\alpha }_e,\dots ,{\alpha }_{n-1},\underset{e{0}^{\prime }s}{\underbrace{0,\dots ,0}})\in E^n$$
并且
$$\left(1-{\mathbf{M}}_e\right)\cdot {\theta }_{g^{e-n}}(\mathbf{a})\in {\mathcal{A}}_p*(\underset{n-e{0}^{\prime }s}{\underbrace{0,\dots ,0}},{\alpha }_0,\dots ,{\alpha }_{e-1})\in E^n$$
于是有
$$M_e\cdot {\theta }_{g^e}(\mathbf{a})+\left(1-M_e\right)\cdot {\theta }_{g^{e-n}}(\mathbf{a}).$$

它便是旋转的结果。

更高效的做法是这样：
$${\theta }_{g^{\ast }}\left(\left(1-{\mathbf{M}}_{n-e}\right)\cdot \mathbf{a}\right)+{\theta }_{g^{k-n}}\left({\mathbf{M}}_{n-e}\cdot \mathbf{a}\right)$$