Enc(a) + Enc(b)= Enc(a + b)compute without decrypting

Criptare homomorfă

11 min citireCriptografie

Criptarea homomorfă este tehnica criptografică care vă permite să efectuați calcule pe date criptate fără a le decripta mai întâi. Matematica există din 1978, versiunea practică complet omomorfă din 2009, iar performanța inginerească s-a îmbunătățit cu 10.000× în ultimul deceniu. Dacă este gata de producție, a trecut de la „nu” la „uneori da” în doar câțiva ani.

Întregul articol al articolului este oferit în limba engleză mai jos.

Criptarea homomorfă (HE) este o clasă de scheme de criptare care permit calculul direct pe texte cifrate. Rezultatul, atunci când este decriptat, este egal cu rezultatul efectuării aceleiași operații pe textele clare. Un client de încredere deține cheile; un server neîncrezat poate rula analize, învățare automată sau funcții arbitrare pe date criptate fără să vadă niciodată datele în sine.

Ideea de bază

Un exemplu simplu: imaginați-vă un cifr în care Encrypt(a) + Encrypt(b) = Encrypt(a + b). Dacă trimiteți serverului Encrypt(5) și Encrypt(7), acesta calculează suma pentru a obține Encrypt(12). Decriptați și vedeți 12. Serverul nu a învățat nimic despre numerele dvs., dar a produs suma corectă.

Schemele homomorfe reale sunt mai complexe, dar principiul este același: textele cifrate au o structură algebrică care oglindește textele simple subiacente.

Ttrei categorii. Criptare homomorfă (PHE). Acceptă un singur tip de operație – fie adunare, fie înmulțire, nu ambele. RSA este homomorfă multiplicativ; Paillier este homomorf aditiv. Au aplicații practice (votare electronică, agregare privată) și performanță rezonabilă.
  • Smewhat Homomorphic Encryption (SHE). Acceptă atât adunarea, cât și înmulțirea, dar doar un număr limitat de operații înainte ca textul cifrat să devină prea zgomotos pentru a fi decriptat corect. Criptare (FHE). Acceptă calcule arbitrare. Revoluția lui Craig Gentry din 2009 a introdus prima schemă FHE; generațiile ulterioare (BGV, BFV, CKKS, TFHE) au făcut-o progresiv mai rapidă.

    • Povestea performanței

    FHE principalul obstacol a fost performanța. Schema originală a lui Gentry a fost de aproximativ 100 de trilioane de ori mai lentă decât calcularea pe text simplu. Stadiul actual al tehnicii (CKKS pentru aritmetică aproximativă, TFHE pentru circuite booleene) variază de la 100× la 100.000× mai lent decât textul simplu, în funcție de operație. Este încă lent, dar permite aplicații reale pentru cazuri de utilizare în care sensibilitatea datelor contează mai mult decât viteza.

    • CKKS — aritmetică aproximativă pe numere reale; bun pentru inferența învățării automate, unde erorile mici sunt acceptabile.
    • BGV, BFV — aritmetică exactă a întregului întreg; bun pentru operațiuni cu baze de date.
    • TFHE — circuite booleene cu bootstrapping rapid; bun pentru controlul fluxului.

    Implementări în lumea reală

    • Sugestii private de la Microsoft Edge folosește HE pentru a cripta adresa URL pe care browserul urmează să o viziteze, îi permite Microsoft să calculeze sugestii legate de intrarea criptată, returnează rezultate.
    • Apple Private Cloud Compute și Private Federated Learning utilizează tehnici legate de HE pentru a agrega actualizările modelului utilizatorului fără a vedea contribuțiile individuale.
    • Furnizorii de cloud (AWS, Azure) încep să lucreze la o ofertă specifică de servicii de analiză, cum ar fi FHE date criptate ale pacientului.
    • Băncile utilizează HE pentru analiza riscurilor între instituții fără a partaja datele clienților.
    • Esistemele de alegere utilizează scheme homomorfe adiționale pentru agregarea voturilor, protejând în același timp buletinele de vot individuale. biblioteci
      • Microsoft SEAL — sursă deschisă, matură, suport pentru schemă amplă
      • OpenFHE — succesorul întreținut de comunitate pentru PALISADE
      • PLZ48XXPLZ49'ConcreteX Cadru axat pe TFHE cu API de nivel înalt
      • HElib — Biblioteca de cercetare IBM
      • tfhe-rs — Implementarea Rust a TFHE

      Limitations gotchas

      • Ciphertext size. Un bit criptat poate fi de zeci de kiloocteți. Un set de date mic criptat poate fi de gigaocteți.
      • Lbuget de zgomot limitat. Fiecare operație adaugă zgomot; în cele din urmă decriptarea eșuează. Bootstrapping reîmprospătează zgomotul, dar este costisitor.
      • Adancimea funcției. Calculele profunde necesită mai multe niveluri multiplicative, mărind dimensiunile parametrilor.
      • Nu pentru orice. Operațiunile precum ramificarea sau sortarea intermediară nu sunt eficiente pentru că FHE nu par eficiente. valori.
      • Gestiunea cheilor. Cheia de decriptare este foarte sensibilă — pierderea ei înseamnă pierderea accesului la datele dvs.; scurgerea acestuia învinge întregul punct.

      HE vs MPC vs ZK

      Ttrei tehnologii de păstrare a confidențialității asociate adesea confuze:

      • Criptare homomorfă, criptează o altă parte, criptează o altă parte, criptează o altă parte. decriptează.
      • Secure Multi-Party Computation (MPC) — mai multe părți calculează împreună o funcție fără a-și dezvălui intrările. Protocoale diferite, compromisuri diferite.
      • Zero-Knowledge Proofs (ZK) — demonstrarea unei afirmații este adevărată fără a dezvălui informații suplimentare. Scop diferit: dovada, nu calcul.

      Cele trei sunt complementare; sistemele moderne de confidențialitate le combină adesea.

      Performanța viitorului

      FHE continuă să se îmbunătățească. Accelerarea hardware (suportul CUDA de la NVIDIA pentru HE, FPGA-uri și ASIC-uri personalizate de la Optalysys și altele, primitivele Intel Intel) reduce decalajul cu calculul textului simplu cu un alt ordin de mărime. În următorii 5-10 ani, probabil că FHE va trece de la „cercetare interesantă” la „mainstream pentru cazuri de utilizare a confidențialității de mare valoare”. Nu va înlocui criptarea convențională – o completează.

    Întrebări frecvente

    Este sigură criptarea homomorfă?
    Schemele mature (CKKS, BGV, BFV, TFHE) se bazează pe problema Learning With Errors, considerată sigură chiar și împotriva calculatoarelor cuantice. Bug-urile de implementare și atacurile pe canalele laterale rămân îngrijorări; teoria criptografică este solidă.
    Îmi pot stoca datele cu HE în cloud?
    În cazuri specifice, da - unii furnizori de servicii cloud oferă HE-as-a-service pentru analiză a datelor criptate. Pentru stocarea generală, HE este exagerat în comparație cu criptarea în repaus, plus criptarea pe partea clientului. HE contează atunci când cloud-ul trebuie să calculeze datele fără a le decripta.
    Care este diferența dintre PHE și FHE?
    PHE acceptă un singur tip de operație (adunare SAU multiplicare); FHE acceptă calcule arbitrare, inclusiv ambele. PHE este rapid și practic; FHE este lent, dar complet general. Folosiți PHE atunci când operațiunile de care aveți nevoie se potrivesc; utilizați FHE atunci când aveți nevoie de flexibilitate.
    Este folosit HE în produse reale?
    Din ce în ce mai mult. Sugestiile private ale Microsoft Edge, învățarea federată de la Apple, unele analize ale riscurilor bancare și un număr tot mai mare de aplicații ML pentru asistență medicală folosesc HE. O adoptare mai largă are loc pe măsură ce performanța se îmbunătățește și instrumentele se maturizează.
    Vor sparge calculatoarele cuantice HE?
    Se crede că schemele moderne HE bazate pe zăbrele (CKKS, BGV, BFV, TFHE) sunt rezistente la cuantum. Securitatea lor se bazează pe aceleași probleme grele folosite în criptografia post-cuantică. Comunitatea criptografică consideră HE una dintre direcțiile de criptare post-cuantică sigură.
    Criptarea homomorfă explicată: calculul pe date pe care nu le puteți citi