Cryptosystems Homomorphic เกณฑ์อย่างเต็มที่

9

เมื่อเร็ว ๆ นี้ Craig Gentry เผยแพร่รูปแบบการเข้ารหัสกุญแจสาธารณะครั้งแรก (บนพื้นที่ธรรมดา {0,1}) ซึ่งเต็มไปด้วยโฮโมมอร์ฟิคซึ่งหมายความว่าเราสามารถประเมิน AND และ XOR ได้อย่างมีประสิทธิภาพและกะทัดรัดโดยไม่ต้องใช้คีย์ถอดรหัสลับ

ฉันสงสัยว่ามีวิธีใดที่ชัดเจนในการเปลี่ยน cryptosystem คีย์สาธารณะให้เป็น cryptosystem ของคีย์สาธารณะที่ทุกคนสามารถเข้ารหัสและและ XOR ได้ แต่การถอดรหัสนั้นเป็นไปได้เฉพาะในกรณีที่บางคน (ทั้งหมด) แบ่งปันทีมคีย์ขึ้น

ฉันจะสนใจในความคิดใด ๆ เกี่ยวกับเรื่องนั้น

ขอบคุณล่วงหน้า

FW

cr.crypto-security circuit-complexity homomorphic-encryption

2

นี่เป็นความอยากรู้มากกว่าและไม่สามารถใช้กับคำถามของคุณได้โดยตรง ที่น่าสนใจเนื่องจากโครงการนี้เป็นแบบโฮโมมอร์ฟิคอย่างสมบูรณ์พรรคจึงสามารถสร้างคู่กุญแจสาธารณะและคีย์ส่วนตัวซ้ำ ๆ

— Ross Snider

1

ใกล้จะตอบคำถามของคุณ แต่ยังไม่เพียงพอที่จะโพสต์เป็นคำตอบ: FHE เป็นเรื่องใหม่ทั้งหมด - มีเพียงสองรูปแบบที่เสนอ (ทั้งโดย Gentry) สำหรับความรู้ของฉันไม่มีการเผยแพร่งานใน Threshold FHE อย่างไรก็ตามอาจมีงานที่ทำในระบบ homomorphic บางส่วน (เช่น Paillier, Goldwasser, ฯลฯ ) ฉันจะเริ่มดูที่นั่นเพื่อดูว่าผลลัพธ์สามารถ 'ส่งไปยัง' ไปยัง FHE ได้อย่างง่ายดายหรือไม่

— Ross Snider

6

กระดาษใหม่โดย Steven Myers, Mona Sergi และ Abhi Shelat บน eprint, " Threshold เต็มการเข้ารหัส Homomorphic และการคำนวณความปลอดภัย " อ้างว่าโครงการเข้ารหัสการเข้ารหัส homomorphic

จากนามธรรมของพวกเขา:

...

ผู้ดี [Gen09a] แสดงวิธีรวมความคิดทั้งสองเข้ากับการเข้ารหัสแบบโฮโมมอร์ฟิคอย่างเต็มรูปแบบเพื่อสร้างโปรโตคอลหลายฝ่ายที่ปลอดภัยที่อนุญาตให้ประเมินฟังก์ชั่น $f$ ใช้การสื่อสารที่เป็นอิสระจากคำอธิบายวงจรของ $f$ และการคำนวณที่เป็นพหุนาม $|f|$ . บทความนี้กล่าวถึงข้อเสียเปรียบที่สำคัญของวิธีการของ Gentry: เรากำจัดการใช้วิธีการที่ไม่ใช่กล่องดำที่มีอยู่ในคอมไพเลอร์ของ Naor และ Nissim

เมื่อต้องการทำเช่นนี้เราจะแสดงวิธีการปรับเปลี่ยนโครงสร้างการเข้ารหัส homomorphic ทั้งหมดของ Van Dijk et al [vDGHV10] เป็นเกณฑ์การเข้ารหัส homomorphic อย่างเต็มที่

...

พรึบเราสร้างโปรโตคอลการคำนวณหลายฝ่ายที่ปลอดภัยแบบกล่องดำครั้งแรกที่อนุญาตการประเมินฟังก์ชั่น $f$ ใช้การสื่อสารที่เป็นอิสระจากคำอธิบายวงจรของ $f$ .

— user686
แหล่งที่มา

3

ฉันไม่ทราบลักษณะเฉพาะของรูปแบบของ Gentry แต่ cryptosystem ของ threshold อื่น ๆ ทั้งหมดนั้นต้องการ homomorphisms สอง (อันที่สามคือนัย) ที่เกี่ยวข้องกับกุญแจสาธารณะและกุญแจลับ:

${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
$c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
$m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

( ${\sf KG}$ เป็นฟังก์ชั่นที่ให้รหัสลับส่งคืนกุญแจสาธารณะ: $pk={\sf KG}(sk)$ .)

หากเงื่อนไขเหล่านี้มีไว้สำหรับการดำเนินการบางอย่าง $\oplus$ และ $\otimes$ มันเป็นไปได้เล็กน้อยที่จะทำการถอดรหัสแบบกระจาย (n-out-of-n) และอาจเป็นไปได้สำหรับ threshold (m-out-of-n) หากการดำเนินการ $\oplus$ ตัวอย่างเช่นเพียงพอสำหรับการแก้ไขพหุนาม

ตัวอย่างเช่นใน threshold Elgamal $\oplus$ นอกจากนี้และสิ่งนี้ช่วยให้การแก้ไข

แม้ว่าจะไม่มีใครตอบคำถามเดิม แต่บางคนอาจตอบคำถามเหล่านี้ได้: (1) FHE ของ Gentry เหมาะสมกับพิมพ์เขียวด้านบนหรือไม่ ${\sf KG}$ , ${\sf Enc}$ , ${\sf Dec}$ ) (2) มีลักษณะโฮโมมอร์ฟิซึมอยู่ระหว่างกุญแจสาธารณะและกุญแจลับหรือไม่? (3) ถ้าเป็นเช่นนั้นการดำเนินการคืออะไร?

นอกจากนี้ฉันไม่ได้บอกว่าเงื่อนไขเหล่านี้จำเป็นต้องมีขีด จำกัด ของระบบเข้ารหัส การขาดโฮโมมอร์ฟิซึมแบบนี้ไม่ได้หมายความว่าการถอดรหัสเกณฑ์เป็นไปไม่ได้

— PulpSpy
แหล่งที่มา