我将现代的FHE技术视作两类，一种是基于RLWE的层次同态加密（LHE），包括了BGV，BFV和CKKS，这种方案一般来说支持多项式打包技术，可以一次性运算（加法乘法）多个数据，效率上较高，但LHE目前来说Bootstrapping开销比较大，一般来说只当作支持有限次数的运算的同态加密方法使用。

而第二类技术以FHEW和TFHE为代表的高效自举（Bootstrapping）技术，但问题在于这类的方案对于多项式打包并不友好。但也有优势，对于LHE类型的方案来说，只支持加法和乘法操作，对于一下非多项式的函数，比如激活函数，需要使用高次多项式拟合。而第FHEW类型的方案可以在自举的同时运算一个任意的函数。

用粗体小写$\mathbf{a}$来表示一个向量，小写$a$表示一个标量或者多项式，$R_q$表示一个模$q$和模$X^n+1$多项式环，$\Vert a{\Vert }_{\infty }$表示向量或多项式的无穷范数，即$a$中的最大项。$\sigma$表示一个随机分布（一般具体为高斯分布）。

多项式环：

$R$：定义为$\mathbb{Z}\mathrm{mod}{X}^n+1$，

$R_q$，$R_t$，包含参数$n$，$q$，$t$。

$R_q:R\mathrm{mod}q$。

一般形式：${\sum }_{i\in [\mathrm{0...}n-1]}{a}_i\cdot x^i,a_i\in {\mathbb{Z}}_q$。

例子：

n=8，$16x^7+2x^6+\cdots +15x+2\in R_{17}$。

一般来说明文空间为$R_t$或$R$，密文空间为$R_q^2$。

$\mathsf{LWE}$问题：

有一个秘密向量$\mathbf{s}$，给定多组$(\mathbf{a},b)\in {\mathbb{Z}}_q^{n+1}$，其中$\mathbf{a}\in {\mathbb{Z}}_q^n$是随机选取的向量$b=⟨\mathbf{a},\mathbf{s}⟩+e$，$e\in \sigma$，通过$(\mathbf{a},b)$推出$\mathbf{s}$是困难的。

$\mathsf{RLWE}$问题：

有一个秘密多项式$s$，给定多组$(a,b)\in R_q^2$，其中$a\in R_q$是随机选取的多项式，$b=as+e$，$e\in {\sigma }^n$，通过$(a,b)$推出$s$是困难的。

RLWE类型的同态加密（BGV，BFV，CKKS）密文的通用格式为$\mathsf{ct}=(c_0,c_1)\in R_q^2$，有时候也写作$\mathsf{ct}=(a,b)$，其中$b=as+e+m$。

这里三个方案有一点小小的区别：

BGV的明文空间为$R_t$，密文格式为$(a,as+te+m)$，

BFV的明文空间为$R_t$，密文格式为$(a,as+e+\Delta m),\Delta =\lfloor \frac{q}{t}\rfloor$，

CKKS的明文空间为$R$，密文格式为$(a,as+e+\Delta m),\Delta =2^k$。

注意到BFV和CKKS中$\Delta$的定义是不一致的，BFV中$\Delta$作用是为了与BGV中的$t$类似，是为了保证明文空间$R_t$范围内解密的精确性。

而CKKS中$\Delta$是为了能够在${\mathbb{Z}}_q$中表示浮点数，以(k=10)的情况为例，可用$1280$表示$1.25\cdot 2^{10}$。在应用中，$k$可以取到60。

目前来说，我会把BGV和BFV放在一类，都是对于整数(${\mathbb{Z}}_t$)的同态加密方案。他们的计算能力（即噪声增长）和性能都差不多，在$t>2^{16}$时，BGV效率会更优一些。但BFV的易用度要高于BGV，因为BGV的模数会不断变小，处理不同模数下密文之间的操作会比较麻烦，而BFV的模数是保持不变的。$t$最小取$2$，最大取$\sim 2^{59}$

但由于BGV特殊的modulus switching机制，所以对于模数的选取有特殊要求，因此很多开源库没有实现BGV。都是将CKKS和BFV实现了，这两个协议可以共用一套参数（$R_q$相同）。

可参考资料：BGV与BFV对比

对于CKKS来说，他的主要优势在于可以计算浮点数或者说复数$\mathbb{C}$（但复数使用较少），效率方面与BGV和BFV相差不多，但有对于浮点数的计算有误差存在，不像BGV和BFV是精确的加密。

总结：三者的效率差不多。BGV和BFV是整数方案，精确。CKKS支持浮点数，不精确。

下面以CKKS举例说明一下RLWE类型密文的加密解密过程：

公开参数：多项式环$R_q$