Criptare Homomorfică Completă: Tehnologia Care Calculează pe Secrete

Craig Gentry a demonstrat că acest lucru este posibil în 2009, după aproximativ trei decenii în care criptografii s-au întrebat dacă ar putea exista. Ideea: îți criptezi datele, le înmânezi altcuiva, aceștia efectuează calcule asupra lor, îți returnează un rezultat, iar când decriptezi acel rezultat, acesta este corect. Persoana care a efectuat calculele nu ți-a văzut niciodată datele. Nu o versiune curățată. Nu un hash. Valorile reale de la bază, niciodată expuse, nici măcar o microsecundă. Aceasta este criptarea complet homomorfă — o formă de criptare care permite unui terț să efectueze calcule asupra datelor tale fără a le decripta vreodată.

Deci, ce este FHE (Fully Homomorphic Encryption)? Nu este un truc. Este o proprietate matematică a anumitor scheme de criptare. Trimiți cuiva o cutie încuiată. Ei rearanjează conținutul. O deschizi, iar aranjamentul este corect. Ei nu au avut niciodată cheia.

De ce alternativele nu sunt suficiente

Înainte de a intra în modul în care funcționează FHE, merită să fim specifici cu privire la problema pe care o rezolvă, deoarece majoritatea abordărilor pentru „calcul pe date sensibile" implică un compromis pe care oamenii au învățat să îl accepte fără să-l pună la îndoială.

Abordarea standard: criptează datele în repaus și în tranzit, decriptează înainte de procesare. Furnizorul tău de cloud, vânzătorul tău de analiză, serviciul tău ML — toți au nevoie de text simplu pentru a-și face treaba. Le extinzi încrederea prin necesitate. Acest lucru funcționează până când nu mai funcționează: o breșă, o citație, o amenințare din interior, o politică de acces configurată greșit.

Mediile de execuție de încredere (TEE) precum Intel SGX creează o regiune de memorie protejată pe care nici sistemul de operare nu o poate citi. Calculele sensibile au loc în interiorul enclavei. Acest lucru este cu adevărat util, dar ai încredere în furnizorul de hardware și pariezi că implementarea enclavei nu are defecte exploatabile. SGX a avut câteva.

Confidențialitatea diferențială adaugă zgomot statistic calibrat la rezultatele interogărilor, ceea ce limitează cât de mult poate deduce un atacator despre persoane din rezultatele agregate. Protejează agregările, nu calculele pe înregistrări individuale.

FHE este singura abordare în care datele nu sunt niciodată decriptate pe server, iar dovada de securitate nu necesită încredere în niciun hardware sau terță parte. Garanția este matematică.

Mecanica, pe scurt

Schemele FHE definesc operații aritmetice direct pe texte cifrate. Adunarea homomorfă și înmulțirea homomorfă pe valori criptate produc, atunci când sunt decriptate, același rezultat ca efectuarea acelor operații pe textele clare subiacente.

Două operații pare limitat. Nu este. Adunarea și înmulțirea peste câmpuri binare îți dau porți AND și XOR, care îți dau circuite digitale arbitrare. Orice funcție pe care un calculator o poate calcula poate fi exprimată în termenii acestor două operații. Acesta este puntea de la „aritmetică pe numere criptate" la „calcul arbitrar pe date criptate".

Problema structurală este zgomotul. Fiecare operație FHE introduce o mică eroare în textul cifrat. Erorile se acumulează. Dacă treci prin suficiente operații, zgomotul copleșește semnalul — textul cifrat devine nedecriptabil. Perspicacitatea lui Gentry a fost bootstrapping-ul: evaluarea circuitului de decriptare homomorf pe textul cifrat zgomotos pentru a produce un text cifrat proaspăt, cu zgomot redus, cu aceeași valoare a textului clar. Cu alte cuvinte, rulezi decriptarea în interiorul criptării. Zgomotul se resetează fără ca datele să fie vreodată expuse.

Schemele care gestionează un număr limitat de operații înainte ca zgomotul să devină fatal se numesc nivelate sau oarecum homomorfice. Bootstrapping-ul este cel care câștigă „complet" în FHE.

Unde este implementat acum

Pentru majoritatea aplicațiilor, FHE este încă prea lent. Aplicațiile care rulează astăzi împărtășesc un profil: adâncime limitată a circuitului, sensibilitate ridicată a datelor și o parte care poate absorbi costurile de calcul în schimbul unei garanții matematice de confidențialitate.

Inferența ML privată este cea mai clară potrivire. Un client are intrări sensibile. Un server are un model proprietar. FHE permite serverului să evalueze modelul pe intrări criptate și să returneze un rezultat criptat. Niciuna dintre părți nu expune ceea ce protejează. Zama oferă acest lucru pentru arhitecturi specifice de modele. Adâncimea circuitului este previzibilă și gestionabilă.

Analiza genomică privată a fost o sarcină de referință de când iDASH a început să organizeze competiții de genomică criptată în 2014. Evaluarea riscului de boală, studiile de asociere la nivelul întregului genom și alinierea secvențelor au toate construcții FHE. Datele genomice sunt unul dintre puținele tipuri de date în care riscul de confidențialitate este atât permanent, cât și se extinde la persoane care nu au consimțit niciodată să împărtășească nimic.

Interogările financiare confidențiale acoperă interogările de interval, căutările în baze de date criptate și evaluarea fraudei pe istoricuri de tranzacții criptate. Aceste sarcini rulează suficient de rar, iar datele sunt suficient de sensibile, încât suprasarcina de calcul este acceptabilă.

Confidențialitatea blockchain este un domeniu activ. Contractele inteligente se execută public pe lanț în mod implicit. Sistemele bazate pe TFHE îți permit să rulezi logica contractului pe stare criptată, ceea ce permite lucruri precum licitații private, vot confidențial și mecanisme de ofertare sigilată în care corectitudinea este verificabilă public, dar intrările nu sunt expuse. Proiectul fhEVM al Zama vizează acest lucru în mod specific.

Fundamente de securitate

Securitatea FHE se reduce la dificultatea problemei Learning With Errors (LWE) și a variantei sale inelară (RLWE). Aceste probleme întreabă: date multe ecuații liniare aproximative peste un inel sau rețea, recuperați secretul. Nu se cunoaște niciun algoritm de timp polinomial pentru niciuna, nici pe hardware clasic, nici pe hardware cuantic.

Acest lucru plasează FHE în familia criptografiei post-cuantice. Standardizarea post-cuantică a NIST este construită pe probleme din familia LWE, ceea ce oferă ipotezelor subiacente o examinare și o încredere suplimentare. Acestea fiind spuse, LWE a fost supus unor atacuri serioase de mai puțin de 20 de ani. RSA și curbele eliptice au în spate 40+ ani de criptanaliză eșuată. Nivelul de încredere este ridicat, dar nu identic.

Parametrii guvernează securitatea. Gradul polinomial, dimensiunea modulului și distribuția zgomotului trebuie alese pentru a face instanța LWE dificilă la nivelul de securitate dorit. Consorțiul HomomorphicEncryption.org publică seturi de parametri recomandați. Utilizarea valorilor implicite ale bibliotecii care au fost validate în raport cu aceste recomandări este puternic preferată față de configurațiile personalizate.

Contextul competitiv

FHE este una dintre mai multe tehnologii de calcul care păstrează confidențialitatea și sunt din ce în ce mai folosite împreună, mai degrabă decât ca substitute.

Calculul securizat multipartit (MPC) distribuie un calcul între mai multe părți, niciuna dintre ele nevăzând intrarea completă. Este adesea mai rapid decât FHE pentru funcții specifice și este o potrivire naturală atunci când părțile sunt definite în avans. FHE funcționează cu un singur server neîncrezut.

Dovezile cu cunoștințe zero (ZKP) permit unei părți să dovedească că o afirmație este adevărată fără a dezvălui martorul. ZKP-urile dovedesc; FHE calculează. Sunt complementare, iar sistemele reale le folosesc pe ambele: FHE pentru calcul privat, ZKP-uri pentru verificarea că calculul a fost efectuat corect.

Protocoalele hibride care combină FHE și MPC sunt un domeniu activ de cercetare. Niciuna dintre tehnologii singură nu satisface toate cerințele; combinarea lor poate oferi performanțe mai bune și garanții mai puternice decât oricare în mod independent.