El xifratge homomòrfic és segur?

Els esquemes madurs (CKKS, BGV, BFV, TFHE) es basen en el problema Learning With Errors, considerat segur fins i tot contra ordinadors quàntics. Els errors d'implementació i els atacs de canals laterals segueixen sent preocupants; la teoria criptogràfica és sòlida.

Puc emmagatzemar les meves dades amb HE al núvol?

En casos específics, sí, alguns proveïdors de núvol ofereixen HE com a servei per a l'anàlisi de dades xifrades. Per a l'emmagatzematge general, HE és excessiu en comparació amb el xifrat en repòs i el xifratge del costat del client. HE importa quan el núvol necessita calcular les dades sense desxifrar-les.

Quina diferència hi ha entre PHE i FHE?

PHE admet un tipus d'operació (suma O multiplicació); FHE admet càlculs arbitraris incloent tots dos. PHE és ràpid i pràctic; La FHE és lenta però completament general. Utilitzeu PHE quan s'ajustin les operacions que necessiteu; utilitzeu FHE quan necessiteu flexibilitat.

S'utilitza HE en productes reals?

Cada cop més. Els suggeriments privats de Microsoft Edge, l'aprenentatge federat d'Apple, algunes anàlisis de risc bancari i un nombre creixent d'aplicacions de ML per a la salut utilitzen HE. S'està adoptant una adopció més àmplia a mesura que millora el rendiment i les eines maduren.

Els ordinadors quàntics trencaran HE?

Es creu que els esquemes HE moderns basats en gelosia (CKKS, BGV, BFV, TFHE) són resistents a la quàntica. La seva seguretat es basa en els mateixos problemes difícils que s'utilitzen en la criptografia postquàntica. La comunitat criptogràfica considera HE una de les direccions de xifrat postquàntic segur.

Explicació del xifrat homomòrfic: la computació amb dades que no podeu llegir

El xifratge homomòrfic és la tècnica criptogràfica que us permet realitzar càlculs sobre dades xifrades sense desxifrar-les abans. Les matemàtiques existeixen des del 1978, la versió pràctica totalment homomòrfica des del 2009, i el rendiment de l'enginyeria ha millorat 10.000 × durant l'última dècada. Tant si està llest per a la producció ha passat del "no" al "de vegades sí" en els últims anys.

El cos complet de l'article es proporciona en anglès a continuació.

El xifratge homomòrfic (HE) és una classe d'esquemes de xifratge que permeten el càlcul directament en textos xifrats. El resultat, quan es desxifra, és igual al resultat de realitzar la mateixa operació en els textos en pla. Un client de confiança té les claus; un servidor no fiable pot executar anàlisis, aprenentatge automàtic o funcions arbitràries en dades xifrades sense veure mai les dades en si mateixes.

La idea bàsica

Un exemple senzill: imagineu un xifrat on Encrypt(a) + Encrypt(b) = Encrypt(a + b). Si envieu el servidor Encrypt(5) i Encrypt(7), calcula la suma per obtenir Encrypt(12). Desxifra i veus 12. El servidor no ha après res sobre els teus números, però ha produït la suma correcta.

Els esquemes homomòrfics reals són més complexos, però el principi és el mateix: els textos xifrats tenen una estructura algebraica que reflecteix els textos sense format subjacent. Xifratge homomòrfic (PHE). Admet un tipus d'operació: suma o multiplicació, no totes dues. RSA és multiplicativament homomorf; Paillier és additivament homomòrfic. Tenir aplicacions pràctiques (votació electrònica, agregació privada) i un rendiment raonable.

Encriptació homomòrfica (SHE). Admet suma i multiplicació, però només un nombre limitat d'operacions abans que el text xifrat es faci massa sorollós per desxifrar-lo correctament. Encriptació (FHE). Admet càlculs arbitraris. L'avenç de Craig Gentry el 2009 va introduir el primer esquema FHE; les generacions posteriors (BGV, BFV, CKKS, TFHE) l'han fet progressivament més ràpid.

La història del rendiment

FHE ha estat el rendiment. L'esquema original de Gentry era uns 100 bilions de vegades més lent que calcular en text pla. L'estat actual de l'art (CKKS per a aritmètica aproximada, TFHE per a circuits booleans) oscil·la entre 100 × i 100.000 × més lent que el text sense format, depenent de l'operació. Això encara és lent, però permet aplicacions reals per a casos d'ús on la sensibilitat de les dades importa més que la velocitat.

CKKS — aritmètica aproximada de nombres reals; bo per a la inferència d'aprenentatge automàtic on s'accepten petits errors.
BGV, BFV — aritmètica de nombres enters exactes; bo per a operacions de bases de dades.
TFHE — circuits booleans amb arrencada ràpida; bo per controlar el flux.

Implementacions al món real

Suggeriments privats de Microsoft Edge utilitza HE per xifrar l'URL que el navegador està a punt de visitar, permet a Microsoft calcular suggeriments relacionats amb l'entrada xifrada, retornar resultats.
Apple Private Cloud Compute i Private Federated Learning utilitzen tècniques relacionades amb HE per agregar actualitzacions de models d'usuari sense veure contribucions individuals.
Els proveïdors de Cloud (AWS, Azure) estan començant a oferir serveis específics per a l'anàlisi de la càrrega genèrica com a FHE. dades xifrades de pacients.
Banks utilitzen HE per a l'anàlisi de riscos entre institucions sense compartir dades de clients.
Essistemes de selecció utilitzen esquemes additius homomòrfics per a l'agregació de vots alhora que protegeixen les paperetes individuals.

XPLZ37 biblioteques

Microsoft SEAL: suport de codi obert, madur i ampli d'esquemes
OpenFHE: successor mantingut per la comunitat de PALISADE
0ConcreteX Marc centrat en TFHE amb APIs d'alt nivell
HElib — Biblioteca de recerca d'IBM
tfhe-rs — Implementació Rust de TFHE

Limitations i TFHE gotchas

Mida del text xifrat. Un bit xifrat pot tenir desenes de kilobytes. Un petit conjunt de dades xifrat pot ser gigabytes.
LPressupost de soroll limitat. Cada operació afegeix soroll; finalment el desxifrat falla. L'arrencada refresca el soroll, però és car.
Profunditat de la funció. Els càlculs profunds requereixen molts nivells multiplicatius, augmentant la mida dels paràmetres.
No per a tot. Operacions com ara la ramificació o l'ordenació intermèdia no són eficients perquè no hi ha una forma intermèdia de ramificació FHE. values.
Gestió de claus. La clau de desxifrat és molt sensible: perdre-la significa perdre l'accés a les vostres dades; filtrar-lo derrota tot el punt.

HE vs MPC vs ZK

Ttres tecnologies relacionades amb la preservació de la privadesa sovint es confonen:

Encriptació homomòrfica: xifratge de text d'una altra part, xifratge d'una altra part decrypts.
Secure Multi-Party Computation (MPC) — diverses parts calculen conjuntament una funció sense revelar les seves entrades. Diferents protocols, diferents compromisos.
Zero-Knowledge Proofs (ZK): demostrar que una afirmació és certa sense revelar informació addicional. Objectiu diferent: prova, no càlcul.

Els tres són complementaris; els sistemes de privadesa moderns sovint els combinen.

El rendiment del futur

FHE continua millorant. L'acceleració de maquinari (suport CUDA de NVIDIA per a HE, FPGA personalitzats i ASIC d'Optalysys i altres, els primitius HE d'Intel) està reduint la bretxa amb el càlcul de text pla en un altre ordre de magnitud. Els propers 5-10 anys probablement veuran que FHE passarà de la "investigació interessant" a la "mainstream per a casos d'ús de privadesa d'alt valor". No substituirà el xifratge convencional, sinó que el complementa.

Preguntes freqüents

El xifratge homomòrfic és segur?: Els esquemes madurs (CKKS, BGV, BFV, TFHE) es basen en el problema Learning With Errors, considerat segur fins i tot contra ordinadors quàntics. Els errors d'implementació i els atacs de canals laterals segueixen sent preocupants; la teoria criptogràfica és sòlida.
Puc emmagatzemar les meves dades amb HE al núvol?: En casos específics, sí, alguns proveïdors de núvol ofereixen HE com a servei per a l'anàlisi de dades xifrades. Per a l'emmagatzematge general, HE és excessiu en comparació amb el xifrat en repòs i el xifratge del costat del client. HE importa quan el núvol necessita calcular les dades sense desxifrar-les.
Quina diferència hi ha entre PHE i FHE?: PHE admet un tipus d'operació (suma O multiplicació); FHE admet càlculs arbitraris incloent tots dos. PHE és ràpid i pràctic; La FHE és lenta però completament general. Utilitzeu PHE quan s'ajustin les operacions que necessiteu; utilitzeu FHE quan necessiteu flexibilitat.
S'utilitza HE en productes reals?: Cada cop més. Els suggeriments privats de Microsoft Edge, l'aprenentatge federat d'Apple, algunes anàlisis de risc bancari i un nombre creixent d'aplicacions de ML per a la salut utilitzen HE. S'està adoptant una adopció més àmplia a mesura que millora el rendiment i les eines maduren.
Els ordinadors quàntics trencaran HE?: Es creu que els esquemes HE moderns basats en gelosia (CKKS, BGV, BFV, TFHE) són resistents a la quàntica. La seva seguretat es basa en els mateixos problemes difícils que s'utilitzen en la criptografia postquàntica. La comunitat criptogràfica considera HE una de les direccions de xifrat postquàntic segur.