Ist homomorphe Verschlüsselung sicher?

Die ausgereiften Schemata (CKKS, BGV, BFV, TFHE) basieren auf dem Problem des Lernens mit Fehlern und gelten selbst gegenüber Quantencomputern als sicher. Implementierungsfehler und Seitenkanalangriffe bleiben weiterhin besorgniserregend. Die kryptografische Theorie ist fundiert.

Kann ich meine Daten bei HE in der Cloud speichern?

In bestimmten Fällen ja – einige Cloud-Anbieter bieten HE-as-a-Service für die Analyse verschlüsselter Daten an. Für die allgemeine Speicherung ist HE im Vergleich zu „Encrypted-at-Rest“ plus clientseitiger Verschlüsselung zu viel des Guten. HE ist wichtig, wenn die Cloud die Daten verarbeiten muss, ohne sie zu entschlüsseln.

Was ist der Unterschied zwischen PHE und FHE?

PHE unterstützt einen Operationstyp (Addition ODER Multiplikation); FHE unterstützt beliebige Berechnungen, einschließlich beider. PHE ist schnell und praktisch; FHE ist langsam, aber völlig allgemein. Verwenden Sie PHE, wenn die von Ihnen benötigten Vorgänge passen. Nutzen Sie FHE, wenn Sie Flexibilität benötigen.

Wird HE in echten Produkten verwendet?

Zunehmend. Die privaten Vorschläge von Microsoft Edge, das föderierte Lernen von Apple, einige Bankrisikoanalysen und eine wachsende Zahl von ML-Anwendungen im Gesundheitswesen nutzen HE. Mit zunehmender Leistung und ausgereifteren Werkzeugen findet eine breitere Akzeptanz statt.

Werden Quantencomputer HE zerstören?

Moderne gitterbasierte HE-Systeme (CKKS, BGV, BFV, TFHE) gelten als quantenresistent. Ihre Sicherheit beruht auf denselben schwierigen Problemen, die auch in der Post-Quanten-Kryptographie verwendet werden. Die kryptografische Community betrachtet HE als eine der Post-Quanten-sicheren Verschlüsselungsrichtungen.

Homomorphe Verschlüsselung erklärt: Rechnen mit Daten, die Sie nicht lesen können

Homomorphe Verschlüsselung ist die kryptografische Technik, mit der Sie Berechnungen an verschlüsselten Daten durchführen können, ohne diese vorher zu entschlüsseln. Die Mathematik gibt es seit 1978, die praktische, vollständig homomorphe Version seit 2009, und die technische Leistung hat sich im letzten Jahrzehnt um das Zehntausendfache verbessert. Ob es produktionsreif ist, hat sich in den letzten Jahren von „nein“ zu „manchmal ja“ verändert.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Homomorphe Verschlüsselung (HE) ist eine Klasse von Verschlüsselungsschemata, die Berechnungen direkt auf Chiffretexten ermöglichen. Das entschlüsselte Ergebnis entspricht dem Ergebnis der gleichen Operation an den Klartexten. Ein vertrauenswürdiger Client besitzt die Schlüssel; Ein nicht vertrauenswürdiger Server kann Analysen, maschinelles Lernen oder beliebige Funktionen für verschlüsselte Daten ausführen, ohne die Daten selbst jemals zu sehen. Wenn Sie dem Server Encrypt(5) und Encrypt(7) senden, berechnet er die Summe, um Encrypt(12) zu erhalten. Sie entschlüsseln und sehen 12. Der Server hat nichts über Ihre Zahlen gelernt, sondern die richtige Summe erzeugt.

XPLZ16 (PHE). Unterstützt einen Operationstyp – entweder Addition oder Multiplikation, nicht beides. RSA ist multiplikativ homomorph; Paillier ist additiv homomorph. Sie verfügen über praktische Anwendungen (elektronische Abstimmung, private Aggregation) und eine angemessene Leistung.

Etwas homomorphe Verschlüsselung (SHE). Unterstützt beliebige Berechnungen. Der Durchbruch von Craig Gentry im Jahr 2009 führte zum ersten FHE-Programm; Nachfolgende Generationen (BGV, BFV, CKKS, TFHE) haben es immer schneller gemacht.

Die Leistungsgeschichte

FHEs größtes Hindernis war die Leistung. Gentrys ursprüngliches Schema war etwa 100 Billionen Mal langsamer als die Berechnung mit Klartext. Der aktuelle Stand der Technik (CKKS für Näherungsarithmetik, TFHE für boolesche Schaltkreise) liegt je nach Operation zwischen 100-fach und 100.000-fach langsamer als Klartext. Das ist immer noch langsam, ermöglicht aber echte Anwendungen für Anwendungsfälle, bei denen die Datenvertraulichkeit wichtiger ist als die Geschwindigkeit.

CKKS – Näherungsarithmetik auf reellen Zahlen; gut für maschinelle Lerninferenzen, bei denen kleine Fehler akzeptabel sind.
BGV, BFV – exakte Ganzzahlarithmetik; gut für Datenbankoperationen.
TFHE – boolesche Schaltkreise mit schnellem Bootstrapping; gut für den Kontrollfluss Learning nutzt HE-bezogene Techniken, um Benutzermodellaktualisierungen zu aggregieren, ohne einzelne Beiträge zu sehen Daten.
Wahlsysteme XPLZ34 support
OpenFHE – von der Community gepflegter Nachfolger von PALISADE
Concrete – Zamas TFHE-fokussiertes Framework mit High-Level-APIs
HElib – IBMs Forschung Bibliothek
tfhe-rs – Rust-Implementierung von TFHE

XPLZ61 Ein verschlüsselter kleiner Datensatz kann Gigabyte groß sein.
Begrenztes Rauschbudget. Jeder Vorgang fügt Rauschen hinzu; schließlich schlägt die Entschlüsselung fehl. Bootstrapping frischt das Rauschen auf, ist aber teuer.
Funktionstiefe. XPLZ74 Werte.
Schlüsselverwaltung. Der Entschlüsselungsschlüssel ist äußerst sensibel – wenn Sie ihn verlieren, verlieren Sie den Zugriff auf Ihre Daten. Das Durchsickern macht den ganzen Sinn zunichte decrypts.
Secure Multi-Party Computation (MPC) – mehrere Parteien berechnen gemeinsam eine Funktion, ohne ihre Eingaben preiszugeben. Unterschiedliche Protokolle, unterschiedliche Kompromisse.
Zero-Knowledge Proofs (ZK) – Beweisen, dass eine Aussage wahr ist, ohne zusätzliche Informationen preiszugeben. Anderes Ziel: Beweis, nicht Berechnung.
Die drei ergänzen sich; Moderne Datenschutzsysteme kombinieren sie oft.
Die zukünftige
FHE-Leistung verbessert sich ständig. Die Hardwarebeschleunigung (NVIDIAs CUDA-Unterstützung für HE, benutzerdefinierte FPGAs und ASICs von Optalysys und anderen, Intels HE-Grundelemente) verringert den Abstand zur Klartextberechnung um eine weitere Größenordnung. In den nächsten fünf bis zehn Jahren wird sich FHE wahrscheinlich von „interessanter Forschung“ zu „Mainstream für hochwertige Anwendungsfälle für den Datenschutz“ entwickeln. Es wird die herkömmliche Verschlüsselung nicht ersetzen – es ergänzt sie.

Häufig gestellte Fragen

Ist homomorphe Verschlüsselung sicher?: Die ausgereiften Schemata (CKKS, BGV, BFV, TFHE) basieren auf dem Problem des Lernens mit Fehlern und gelten selbst gegenüber Quantencomputern als sicher. Implementierungsfehler und Seitenkanalangriffe bleiben weiterhin besorgniserregend. Die kryptografische Theorie ist fundiert.
Kann ich meine Daten bei HE in der Cloud speichern?: In bestimmten Fällen ja – einige Cloud-Anbieter bieten HE-as-a-Service für die Analyse verschlüsselter Daten an. Für die allgemeine Speicherung ist HE im Vergleich zu „Encrypted-at-Rest“ plus clientseitiger Verschlüsselung zu viel des Guten. HE ist wichtig, wenn die Cloud die Daten verarbeiten muss, ohne sie zu entschlüsseln.
Was ist der Unterschied zwischen PHE und FHE?: PHE unterstützt einen Operationstyp (Addition ODER Multiplikation); FHE unterstützt beliebige Berechnungen, einschließlich beider. PHE ist schnell und praktisch; FHE ist langsam, aber völlig allgemein. Verwenden Sie PHE, wenn die von Ihnen benötigten Vorgänge passen. Nutzen Sie FHE, wenn Sie Flexibilität benötigen.
Wird HE in echten Produkten verwendet?: Zunehmend. Die privaten Vorschläge von Microsoft Edge, das föderierte Lernen von Apple, einige Bankrisikoanalysen und eine wachsende Zahl von ML-Anwendungen im Gesundheitswesen nutzen HE. Mit zunehmender Leistung und ausgereifteren Werkzeugen findet eine breitere Akzeptanz statt.
Werden Quantencomputer HE zerstören?: Moderne gitterbasierte HE-Systeme (CKKS, BGV, BFV, TFHE) gelten als quantenresistent. Ihre Sicherheit beruht auf denselben schwierigen Problemen, die auch in der Post-Quanten-Kryptographie verwendet werden. Die kryptografische Community betrachtet HE als eine der Post-Quanten-sicheren Verschlüsselungsrichtungen.