Es gibt viele elegante Ideen in der Kryptographie. Vollständig homomorphe Verschlüsselung (FHE) ist vielleicht die absurdeste, die tatsächlich funktioniert.
Die Idee: Sie verschlüsseln Ihre Daten, übergeben sie an jemand anderen, dieser führt Berechnungen darauf durch, gibt ein Ergebnis zurück, und wenn Sie dieses Ergebnis entschlüsseln, ist es korrekt. Die Person, die die Berechnungen durchgeführt hat, hat Ihre Daten nie gesehen. Keine bereinigte Version. Kein Hash. Die tatsächlichen zugrunde liegenden Werte, nie offengelegt, nicht einmal für eine Mikrosekunde.
Craig Gentry bewies dies 2009 als möglich. Die Kryptographie-Community hatte sich zuvor rund 30 Jahre lang gefragt, ob dies erreichbar sei.
Wie FHE funktioniert
Reguläre Verschlüsselung ist eine Einbahntür. Sie sperren die Daten, und jeder, der etwas damit tun möchte, muss sie zuerst entsperren. FHE hält die Tür gesperrt, lässt Sie aber die Möbel von außen umstellen.
Genauer gesagt: FHE-Schemata definieren zwei Operationen auf Chiffretexten, die typischerweise homomorphe Addition und homomorphe Multiplikation genannt werden. Diese bilden die gleichen Operationen auf den zugrunde liegenden Klartexten ab. Wenn Sie zwei verschlüsselte Werte addieren, entspricht das Ergebnis nach der Entschlüsselung der Summe der Originale. Dasselbe gilt für die Multiplikation.
Diese zwei Operationen reichen aus, um jede Funktion aufzubauen, die ein Computer berechnen kann. (Addition und Multiplikation über binären Feldern ergeben AND- und XOR-Gatter, die beliebige Schaltkreise ermöglichen.) Das ist die Brücke von „zwei Operationen auf verschlüsselten Zahlen" zu „beliebige Berechnung auf verschlüsselten Daten".
Das Problem ist das Rauschen. Jede FHE-Operation fügt dem Chiffretext eine kleine Fehlermenge hinzu. Führen Sie genug Operationen durch, überwältigt das Rauschen das Signal. Sie können nicht mehr entschlüsseln. Gentrys wichtigster Beitrag war eine Technik namens Bootstrapping: eine Methode, den Entschlüsselungsschaltkreis auf dem Chiffretext auszuführen, während er noch verschlüsselt ist, was den Rauschpegel zurücksetzt. Es ist zutiefst seltsam, wenn man zu lange darüber nachdenkt. Die Entschlüsselungsfunktion entschlüsselt… innerhalb der Verschlüsselung. Das macht das Schema „vollständig" homomorph statt nur „teilweise" homomorph.
Teilweise homomorphe Verschlüsselung (SHE) verarbeitet eine feste Anzahl von Operationen, bevor das Rauschen fatal wird. Gestufte homomorphe Verschlüsselung (LHE) verarbeitet eine vorbestimmte Schaltkreistiefe. FHE verarbeitet jeden Schaltkreis, unbegrenzt, weil Bootstrapping das Weitermachen ermöglicht.
Wo FHE heute einsetzbar ist
Für die meisten Anwendungen ist FHE noch zu langsam. Aber „die meisten" hat eine scharfe Grenze. Es gibt heute echte Einsätze.
Private maschinelle Lernschlussfolgerung. Ein Client hat sensible Eingabedaten. Ein Server hat ein proprietäres Modell. Keiner möchte dem anderen offenlegen, was er hat. FHE lässt den Server sein Modell auf der verschlüsselten Eingabe des Clients auswerten und ein verschlüsseltes Ergebnis zurückgeben, das der Client entschlüsseln kann. Der Server sieht die Eingabe nie. Der Client sieht die Modellgewichte nie. Unternehmen haben dies für spezifische Modellarchitekturen eingesetzt. Die Arbeitslast passt zu FHEs aktuellen Einschränkungen, weil die Schaltkreistiefe begrenzt und vorhersehbar ist.
Private genomische Berechnung. Genomische Daten sind auf eine Weise sensibel, die über eine Sozialversicherungsnummer hinausgeht: Sie betreffen Ihre Verwandten, sie sind dauerhaft, und die Datenschutzrisiken verstärken sich, wenn Referenzdatenbanken wachsen. Forscher haben FHE verwendet, um Krankheitsrisikobewertungen und genetische Vergleiche zu berechnen, ohne die zugrunde liegenden Sequenzen der berechnenden Partei zu offenbaren. iDASH-Wettbewerbe haben diesen Anwendungsfall seit 2014 benchmarkt.
Private Datenbankabfragen. Sie möchten eine Datenbank abfragen, ohne zu offenbaren, wonach Sie suchen. Schlüsselwortsuche, Bereichsabfragen und Mengenzugehörigkeitstests haben alle FHE-Konstruktionen. Der Overhead ist noch erheblich, aber für niedrigfrequente, hochwertige Abfragen handhabbar.
Föderierte Berechnung mit Datenschutzgarantien. Mehrere Krankenhäuser möchten ein Modell auf ihren kombinierten Patientendaten trainieren, ohne Datensätze zu teilen. FHE (oft kombiniert mit sicherer Mehrparteienberechnung) ermöglicht die kombinierte Berechnung ohne die Datenzusammenführung.
FHE im Vergleich zu anderen datenschutzwahrenden Ansätzen
FHE existiert nicht isoliert. Es ist ein Werkzeug in einem Stack, der Folgendes umfasst:
Sichere Mehrparteienberechnung (MPC): Mehrere Parteien berechnen gemeinsam eine Funktion, ohne ihre Eingaben gegenseitig zu offenbaren. MPC ist für spezifische Funktionen oft schneller als FHE und erfordert mehrere nicht kolludierende Parteien. FHE funktioniert mit einem einzelnen Server.
Differenzieller Datenschutz (DP): fügt Ausgaben kalibriertes Rauschen hinzu, um zu begrenzen, was ein Angreifer über Einzelpersonen in einem Datensatz ableiten kann. DP schützt vor Inferenzangriffen auf aggregierte Ergebnisse, bietet aber keine Berechnung auf privaten Eingaben.
Vertrauenswürdige Ausführungsumgebungen (TEEs): Hardware-Enklaven (Intel SGX, AMD SEV), die Code in einem abgeschirmten Speicherbereich ausführen, den das Betriebssystem nicht lesen kann. TEEs setzen voraus, dass Sie dem Hardware-Hersteller vertrauen und keine Fehler in der Implementierung vorhanden sind. FHE setzt voraus, dass Sie der Mathematik vertrauen.
Zero-Knowledge-Beweise (ZKPs): ermöglichen es Ihnen, eine Aussage als wahr zu beweisen, ohne zu offenbaren, warum sie wahr ist. ZKPs beweisen Eigenschaften; FHE berechnet auf privaten Werten. Sie ergänzen sich.
Hybridsysteme werden immer häufiger. FHE verarbeitet die sensible Berechnung; ZKPs verifizieren, dass die Berechnung korrekt durchgeführt wurde; MPC verteilt das Vertrauen. Die Grenzen zwischen diesen Technologien lösen sich auf, da Praktiker Systeme aufbauen, die gleichzeitig Eigenschaften von mehreren benötigen.
