Гомоморфное шифрование

Гомоморфное шифрование — это форма шифрования , которая позволяет выполнять вычисления над зашифрованными данными без предварительной их расшифровки. Результирующие вычисления остаются в зашифрованной форме, которая при расшифровке приводит к выводу, идентичному тому, который был бы получен, если бы операции выполнялись с незашифрованными данными. Гомоморфное шифрование можно использовать для аутсорсингового хранения и вычислений с сохранением конфиденциальности . Это позволяет шифровать данные и передавать их для обработки в коммерческие облачные среды в зашифрованном виде.

Гомоморфное шифрование устраняет необходимость обработки данных в открытом виде, тем самым предотвращая атаки, которые позволили бы хакеру получить доступ к этим данным во время их обработки, используя повышение привилегий . ^[1]

Для конфиденциальных данных, таких как медицинская информация, гомоморфное шифрование может использоваться для включения новых услуг путем устранения барьеров конфиденциальности, препятствующих обмену данными, или повышения безопасности существующих услуг. Например, прогнозную аналитику в здравоохранении может быть сложно применить через стороннего поставщика услуг из-за проблем с конфиденциальностью медицинских данных . Но если вместо этого поставщик услуг прогнозной аналитики сможет работать с зашифрованными данными, не имея ключей для дешифрования, эти проблемы конфиденциальности уменьшатся. Более того, даже если система поставщика услуг будет взломана, данные останутся в безопасности. ^[2]

Описание [ править ]

Гомоморфное шифрование — это форма шифрования с дополнительной возможностью оценки для вычислений над зашифрованными данными без доступа к секретному ключу . Результат такого вычисления остается зашифрованным. Гомоморфное шифрование можно рассматривать как расширение криптографии с открытым ключом. ^{[ как? ]} . Гомоморфизм относится к гомоморфизму в алгебре: функции шифрования и дешифрования можно рассматривать как гомоморфизмы между пространствами открытого текста и зашифрованного текста.

Гомоморфное шифрование включает в себя несколько типов схем шифрования, которые могут выполнять различные классы вычислений над зашифрованными данными. ^[3] Вычисления представлены либо в виде логических, либо в виде арифметических схем. Некоторыми распространенными типами гомоморфного шифрования являются частично гомоморфное, несколько гомоморфное, уровневое полностью гомоморфное и полностью гомоморфное шифрование:

• Частично гомоморфное шифрование охватывает схемы, которые поддерживают оценку схем, состоящих только из одного типа вентиля, например, сложения или умножения.
• Несколько гомоморфные схемы шифрования могут оценивать два типа вентилей, но только для подмножества схем.
• Выровненное полностью гомоморфное шифрование поддерживает оценку произвольных схем, состоящих из нескольких типов вентилей ограниченной (заранее определенной) глубины.
• Полностью гомоморфное шифрование (FHE) позволяет оценивать произвольные схемы, состоящие из нескольких типов вентилей неограниченной глубины, и является самым сильным понятием гомоморфного шифрования.

Для большинства схем гомоморфного шифрования мультипликативная глубина схем является основным практическим ограничением при выполнении вычислений над зашифрованными данными. Гомоморфные схемы шифрования по своей сути гибки . С точки зрения гибкости гомоморфные схемы шифрования имеют более слабые свойства безопасности, чем негомоморфные схемы.

История [ править ]

Гомоморфные схемы шифрования были разработаны с использованием разных подходов. В частности, полностью гомоморфные схемы шифрования часто группируются в поколения, соответствующие базовому подходу. ^[4]

Pre-FHE [ править ]

Проблема построения полностью гомоморфной схемы шифрования была впервые предложена в 1978 году, через год после публикации схемы RSA. ^[5] Более 30 лет было неясно, существует ли решение. За этот период частичные результаты включали следующие схемы:

• Криптосистема RSA (неограниченное количество модульных умножений)
• Криптосистема Эль-Гамаля (неограниченное число модульных умножений)
• Криптосистема Гольдвассера – Микали (неограниченное количество эксклюзивных операций)
• Криптосистема Бенало (неограниченное количество модульных дополнений)
• Криптосистема Пайе (неограниченное количество модульных дополнений)
• Система Сандера-Янга-Юнга (более 20 лет решила проблему для схем логарифмической глубины) ^[6]
• Криптосистема Боне-Го-Ниссима (неограниченное количество операций сложения, но не более одного умножения) ^[7]
• полиномиального размера Криптосистема Ишая-Паскина ( ветвящиеся программы ) ^[8]

первого поколения FHE ​

Крейг Джентри , используя решетчатую криптографию , описал первую правдоподобную конструкцию полностью гомоморфной схемы шифрования в 2009 году. ^[9] Схема Джентри поддерживает операции сложения и умножения зашифрованных текстов, из которых можно построить схемы для выполнения произвольных вычислений. Конструкция начинается с несколько гомоморфной схемы шифрования, которая ограничивается оценкой полиномов низкой степени по зашифрованным данным; он ограничен, потому что каждый зашифрованный текст в некотором смысле зашумлен, и этот шум растет по мере сложения и умножения зашифрованных текстов, пока в конечном итоге шум не сделает полученный зашифрованный текст нерасшифрованным.

Затем Джентри показывает, как немного изменить эту схему, чтобы сделать ее самозагружаемой , т. е. способной оценивать собственную схему дешифрования, а затем, по крайней мере, еще одну операцию. Наконец, он показывает, что любая гомоморфная схема шифрования, допускающая самозагрузку, может быть преобразована в полностью гомоморфное шифрование посредством рекурсивного самовложения. Для «шумной» схемы Джентри процедура начальной загрузки эффективно «обновляет» зашифрованный текст, гомоморфно применяя к нему процедуру дешифрования, тем самым получая новый зашифрованный текст, который шифрует то же значение, что и раньше, но имеет меньший шум. Периодически «обновляя» зашифрованный текст всякий раз, когда шум становится слишком большим, можно вычислить произвольное количество сложений и умножений, не увеличивая слишком сильно шум.

Джентри основывал безопасность своей схемы на предполагаемой сложности двух проблем: некоторых проблем наихудшего случая над идеальными решетками и проблемы суммы разреженного (или малого веса) подмножества. Доктор философии Джентри. Тезис ^[10] предоставляет дополнительную информацию. Реализация оригинальной криптосистемы Джентри-Халеви показала время около 30 минут на базовую битовую операцию. ^[11] Обширная работа по проектированию и реализации в последующие годы улучшила производительность этих ранних реализаций на многие порядки.

В 2010 году Мартен ван Дейк, Крейг Джентри , Шай Халеви и Винод Вайкунтанатан представили вторую полностью гомоморфную схему шифрования, ^[12] который использует многие инструменты конструкции Джентри, но не требует идеальных решеток . Вместо этого они показывают, что несколько гомоморфный компонент идеальной схемы Джентри, основанной на решетке, можно заменить очень простой, несколько гомоморфной схемой, использующей целые числа. Таким образом, схема концептуально проще, чем схема идеальной решетки Джентри, но имеет аналогичные свойства в отношении гомоморфных операций и эффективности. Несколько гомоморфный компонент в работе Ван Дейка и др. аналогична схеме шифрования, предложенной Левейлом и Наккешем в 2008 году. ^[13] а также тот, который был предложен Брэмом Коэном в 1998 году. ^[14]

Однако метод Коэна не является даже аддитивно гомоморфным. Схема Левьейла-Наккаша поддерживает только сложение, но ее можно изменить, чтобы она также поддерживала небольшое количество умножений. Многие уточнения и оптимизации схемы Ван Дейка и др. были предложены в ряде работ Жана-Себастьяна Корона, Танкреда Лепуана, Аврадипа Мандаля, Давида Наккаша и Мехди Тибуши. ^{[15] [16] [17] [18]} Некоторые из этих работ включали также реализации полученных схем.

второго поколения FHE ​

Гомоморфные криптосистемы этого поколения являются производными от методик, которые разрабатывались, начиная с 2011-2012 годов, Звикой Бракерски , Крейгом Джентри , Винодом Вайкунтанатаном и другими. Эти инновации привели к разработке гораздо более эффективных и частично гомоморфных криптосистем. К ним относятся:

• Схема Бракерски-Джентри-Вайкунтанатана (BGV, 2011), ^[19] опираясь на методы Бракерски-Вайкунтанатана; ^[20]
• Схема на основе NTRU Лопеса-Альта, Тромера и Вайкунтанатана (LTV, 2012); ^[21]
• Схема Бракерски/Фан-Веркаутерена (BFV, 2012 г.), ^[22] криптосистемы Бракерски построение масштабно-инвариантной ; ^[23]
• Схема на основе NTRU Боса, Лаутера, Лофтуса и Нерига (BLLN, 2013), ^[24] опираясь на LTV и масштабно-инвариантную криптосистему Бракерски; ^[23]

Безопасность большинства этих схем основана на сложности проблемы (кольцевого) обучения с ошибками (RLWE), за исключением схем LTV и BLLN, которые полагаются на чрезмерно растянутый алгоритм. ^[25] вариант вычислительной задачи NTRU . Этот вариант NTRU впоследствии был показан уязвимым для атак на решетку подполей. ^{[26] [25]} поэтому эти две схемы больше не используются на практике.

Все криптосистемы второго поколения по-прежнему следуют основной схеме исходной конструкции Джентри, а именно: они сначала создают в некоторой степени гомоморфную криптосистему, а затем преобразуют ее в полностью гомоморфную криптосистему с помощью начальной загрузки.

Отличительной особенностью криптосистем второго поколения является то, что все они характеризуются гораздо более медленным ростом шума во время гомоморфных вычислений. Дополнительные оптимизации, проведенные Крейгом Джентри , Шаем Халеви и Найджелом Смартом , привели к созданию криптосистем с почти оптимальной асимптотической сложностью: ${\displaystyle T}$ операции с данными, зашифрованными с помощью параметра безопасности ${\displaystyle k}$ имеет сложность всего ${\displaystyle T\cdot \mathrm {polylog} (k)}$. ^{[27] [28] [29]} Эти оптимизации основаны на методах Smart-Vercauteren, которые позволяют упаковывать множество значений открытого текста в один зашифрованный текст и работать со всеми этими значениями открытого текста в режиме SIMD . ^[30] Многие достижения этих криптосистем второго поколения также были перенесены в криптосистему целых чисел. ^{[17] [18]}

Еще одной отличительной чертой схем второго поколения является то, что они достаточно эффективны для многих приложений даже без использования начальной загрузки, а работают в уровневом режиме FHE.

третьего поколения FHE ​

В 2013 году Крейг Джентри , Амит Сахай и Брент Уотерс (GSW) предложили новый метод построения схем FHE, который позволяет избежать дорогостоящего этапа «релинеаризации» при гомоморфном умножении. ^[31] Звика Бракерски и Винод Вайкунтанатан заметили, что для определенных типов схем криптосистема GSW имеет еще более медленную скорость роста шума и, следовательно, более высокую эффективность и более высокий уровень безопасности. ^[32] Затем Джейкоб Альперин-Шериф и Крис Пейкерт описали очень эффективную технику начальной загрузки, основанную на этом наблюдении. ^[33]

Эти методы были дополнительно улучшены для разработки эффективных кольцевых вариантов криптосистемы GSW: FHEW (2014). ^[34] и ТФХЕ (2016). ^[35] Схема FHEW была первой, которая показала, что, обновляя зашифрованные тексты после каждой отдельной операции, можно сократить время начальной загрузки до долей секунды. FHEW представил новый метод вычисления логических вентилей для зашифрованных данных, который значительно упрощает начальную загрузку, и реализовал вариант процедуры начальной загрузки. ^[33] Эффективность FHEW была дополнительно повышена за счет схемы TFHE, реализующей кольцевой вариант процедуры начальной загрузки. ^[36] используя метод, аналогичный методу FHEW.

четвертого поколения FHE ​

В 2016 году Чхон, Ким, Ким и Сон (CKKS) ^[37] предложил приближенную схему гомоморфного шифрования, которая поддерживает особый вид арифметики с фиксированной запятой, которую обычно называют блочной арифметикой с плавающей запятой . Схема CKKS включает эффективную операцию изменения масштаба, которая уменьшает масштаб зашифрованного сообщения после умножения. Для сравнения, такое масштабирование требует начальной загрузки в схемах BGV и BFV. Операция изменения масштаба делает схему CKKS наиболее эффективным методом оценки полиномиальных приближений и предпочтительным подходом для реализации приложений машинного обучения, сохраняющих конфиденциальность . Схема вносит несколько ошибок аппроксимации, как недетерминированных, так и детерминированных, которые требуют специального обращения на практике. ^[38]

В статье Байю Ли и Даниэле Миччанчо 2020 года обсуждаются пассивные атаки на CKKS, предполагая, что стандартного определения IND-CPA может быть недостаточно в сценариях, когда результаты расшифровки являются общими. ^[39] Авторы применяют атаку к четырем современным библиотекам гомоморфного шифрования (HEAAN, SEAL, HElib и PALISADE) и сообщают, что можно восстановить секретный ключ по результатам расшифровки в нескольких конфигурациях параметров. Авторы также предлагают стратегии смягчения последствий этих атак и включают в документ «Ответственное раскрытие информации», предполагая, что библиотеки гомоморфного шифрования уже реализовали меры по смягчению последствий атак до того, как статья стала общедоступной. Также была опубликована дополнительная информация о стратегиях смягчения последствий, реализованных в библиотеках гомоморфного шифрования. ^{[40] [41]}

гомоморфные Частично криптосистемы ​

В следующих примерах обозначения ${\displaystyle {\mathcal {E}}(x)}$ используется для обозначения шифрования сообщения ${\displaystyle x}$.

Недополненный RSA

Если открытый ключ RSA имеет модуль ${\displaystyle n}$ и показатель шифрования ${\displaystyle e}$, то шифрование сообщения ${\displaystyle m}$ дан кем-то ${\displaystyle {\mathcal {E}}(m)=m^{e}\;{\bmod {\;}}n}$. Гомоморфное свойство тогда

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=m_{1}^{e}m_{2}^{e}\;{\bmod {\;}}n\\[6pt]&=(m_{1}m_{2})^{e}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(m_{1}\cdot m_{2})\end{aligned}}}$

Эль-Гамаль

В криптосистеме Эль-Гамаля в циклической группе ${\displaystyle G}$ порядка ${\displaystyle q}$ с генератором ${\displaystyle g}$, если открытый ключ ${\displaystyle (G,q,g,h)}$, где ${\displaystyle h=g^{x}}$, и ${\displaystyle x}$ секретный ключ, то шифрование сообщения ${\displaystyle m}$ является ${\displaystyle {\mathcal {E}}(m)=(g^{r},m\cdot h^{r})}$, для какого-то случайного ${\displaystyle r\in \{0,\ldots ,q-1\}}$. Гомоморфное свойство тогда

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{r_{1}},m_{1}\cdot h^{r_{1}})(g^{r_{2}},m_{2}\cdot h^{r_{2}})\\[6pt]&=(g^{r_{1}+r_{2}},(m_{1}\cdot m_{2})h^{r_{1}+r_{2}})\\[6pt]&={\mathcal {E}}(m_{1}\cdot m_{2}).\end{aligned}}}$

Гольдвассер-Микали

В криптосистеме Гольдвассера – Микали , если открытым ключом является модуль ${\displaystyle n}$ и квадратичный невычет ${\displaystyle x}$, то шифрование немного ${\displaystyle b}$ является ${\displaystyle {\mathcal {E}}(b)=x^{b}r^{2}\;{\bmod {\;}}n}$, для какого-то случайного ${\displaystyle r\in \{0,\ldots ,n-1\}}$. Гомоморфное свойство тогда

${\displaystyle {\begin{aligned}{\mathcal {E}}(b_{1})\cdot {\mathcal {E}}(b_{2})&=x^{b_{1}}r_{1}^{2}x^{b_{2}}r_{2}^{2}\;{\bmod {\;}}n\\[6pt]&=x^{b_{1}+b_{2}}(r_{1}r_{2})^{2}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(b_{1}\oplus b_{2}).\end{aligned}}}$

где ${\displaystyle \oplus }$ обозначает сложение по модулю 2 (т.е. исключающее-или ).

Бенало

В криптосистеме Бенало , если открытым ключом является модуль ${\displaystyle n}$ и база ${\displaystyle g}$ с размером блока ${\displaystyle c}$, то шифрование сообщения ${\displaystyle m}$ является ${\displaystyle {\mathcal {E}}(m)=g^{m}r^{c}\;{\bmod {\;}}n}$, для какого-то случайного ${\displaystyle r\in \{0,\ldots ,n-1\}}$. Гомоморфное свойство тогда

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{m_{1}}r_{1}^{c})(g^{m_{2}}r_{2}^{c})\;{\bmod {\;}}n\\[6pt]&=g^{m_{1}+m_{2}}(r_{1}r_{2})^{c}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(m_{1}+m_{2}\;{\bmod {\;}}c).\end{aligned}}}$

Пайе

В криптосистеме Пайе , если открытым ключом является модуль ${\displaystyle n}$ и база ${\displaystyle g}$, то шифрование сообщения ${\displaystyle m}$ является ${\displaystyle {\mathcal {E}}(m)=g^{m}r^{n}\;{\bmod {\;}}n^{2}}$, для какого-то случайного ${\displaystyle r\in \{0,\ldots ,n-1\}}$. Гомоморфное свойство тогда

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{m_{1}}r_{1}^{n})(g^{m_{2}}r_{2}^{n})\;{\bmod {\;}}n^{2}\\[6pt]&=g^{m_{1}+m_{2}}(r_{1}r_{2})^{n}\;{\bmod {\;}}n^{2}\\[6pt]&={\mathcal {E}}(m_{1}+m_{2}).\end{aligned}}}$

Другие частично гомоморфные криптосистемы

• Криптосистема Окамото-Утиямы
• Криптосистема Наккеша – Штерна
• Криптосистема Дамгорда – Юрика
• Сандер-Янг-Схема шифрования.
• Криптосистема Боне-Го-Ниссима
• Криптосистема Ишая – Паскина
• Криптосистема Джой-Либерта ^[42]
• Криптосистема Кастаньоса-Лагийоми ^[43]

Полностью гомоморфное шифрование [ править ]

Криптосистема, поддерживающая произвольные вычисления над зашифрованными текстами, известна как полностью гомоморфное шифрование (FHE). Такая схема позволяет создавать программы с любой желаемой функциональностью, которые можно запускать на зашифрованных входных данных для получения зашифрованного результата. Поскольку такой программе никогда не требуется расшифровывать входные данные, ее может запустить ненадежная сторона, не раскрывая ее входные данные и внутреннее состояние. Полностью гомоморфные криптосистемы имеют большое практическое значение при передаче частных вычислений на аутсорсинг, например, в контексте облачных вычислений . ^[44]

Реализации [ править ]

Этот раздел чрезмерно опирается на ссылки на первоисточники . Пожалуйста, улучшите этот раздел, добавив вторичные или третичные источники . Найти источники:   «Гомоморфное шифрование» – новости   · газеты   · книги   · ученый   · JSTOR ( июль 2022 г. ) ( Узнайте, как и когда удалить это сообщение )

Список библиотек FHE с открытым исходным кодом, реализующих схемы FHE второго поколения (BGV/BFV), третьего поколения (FHEW/TFHE) и/или четвертого поколения (CKKS), представлен ниже.

Существует несколько реализаций полностью гомоморфных схем шифрования с открытым исходным кодом. Реализации схемы FHE второго и четвертого поколений обычно работают в уровневом режиме FHE (хотя в некоторых библиотеках все еще доступна загрузка) и поддерживают эффективную SIMD -подобную упаковку данных; они обычно используются для вычислений зашифрованных целых чисел или действительных/комплексных чисел. Реализации схемы FHE третьего поколения часто загружаются после каждой операции, но имеют ограниченную поддержку упаковки; Первоначально они использовались для вычисления логических схем по зашифрованным битам, но были расширены для поддержки целочисленной арифметики и одномерного вычисления функций. Выбор использования схемы второго поколения, третьего или четвертого поколения зависит от типов входных данных и желаемых вычислений.

Стандартизация [ править ]

В 2017 году исследователи из IBM , Microsoft , Intel , NIST и других компаний сформировали открытый консорциум — Консорциум по стандартизации гомоморфного шифрования (Homomorphicencryption.org) безопасности сообщества , который поддерживает стандарт гомоморфного шифрования (Стандарт). ^{[64] [65] [66]}

См. также [ править ]

• Гомоморфное разделение секретов
• Гомоморфные подписи для сетевого кодирования
• Частная биометрия
• Верифицируемые вычисления с использованием полностью гомоморфной схемы.
• Шифрование на стороне клиента
• Конфиденциальные вычисления
• Симметричное шифрование с возможностью поиска
• Безопасные многосторонние вычисления
• Шифрование с сохранением формата
• Полиморфный код
• Частный перекрёсток

Ссылки [ править ]

Внешние ссылки [ править ]

• Сообщество FHE.org (конференция, встреча и дискуссионная группа)
• Ссылки Даниэле Миччанчо на FHE
• Ссылки Винода Вайкунтанатана на FHE
• «Алиса и Боб в зашифрованном пространстве» . Американский учёный . Сентябрь 2012 года . Проверено 8 мая 2018 г.
• Список реализаций гомоморфного шифрования, поддерживаемый на GitHub.