web-dev-qa-db-ja.com

完全または部分的準同型暗号化はどのようにクラウドにメリットをもたらしますか?

誰かがプレーンな英語で、FHEとPHEをクラウドで活用できる実用的な方法を説明できますか?興味深い(そして紛らわしい)リンクには このMicrosoft Research PDFこのwikiエントリ があります。

質問:

  • 準同型暗号は暗号解読PoVから安全と見なされますか?

  • FHE/PHEデータで実行できる/できない操作は何ですか?

  • 今日いくつかのPHEアルゴリズムが存在し、明らかに十分に高速であることを考えると、本番環境での使用を検討する必要がありますか? PHEを使用できるシナリオをいくつか教えてください。

関連:

どの部分的準同型暗号化実装が存在し、それらをどのように活用しますか?

19

Helios のようなエンドツーエンドの投票システムを介して、投票した投票用紙を暗号化してクラウドに公開保存し、合計を確認して合計を確認できるようにすることはすでに可能です。また、自分の投票が実際に合計に含まれていたことも確認してください。 Without誰かが自分の投票を売るために使用できる「領収書」を与えます。驚くべきですが、本当です。低リスクの個人選挙に最適です。ただし、Heliosの発明者であるベンアディダでさえ says「政府の選挙は、インターネット上でやりたくないものです」と引用しています。コンピュータウイルスが投票を破壊する可能性と投票者の脅迫の可能性の両方

これは、加算のみが必要なため可能であり、部分的な準同型アプローチが機能します。このような興味深いケースが他にも見つかると思いますが、実際の汎用計算ではさらに効率を上げる必要があります。

「実用的?」あなたが参照する論文は、50 kBのオーダーである1つのスキームでの暗号文のサイズの話です。つまり、すべての数値(たとえば、一連の医療ラボデータ内)は、4桁大きい暗号文で表されます。そのため、クラウドストレージのコストは実用的ではありません。

そしてD.W.上記のコメントに書き込みます:

場合によっては、それよりも悪い場合もあります。ブール回路を構築する必要があり、各ビットが何らかの巨大な暗号文で表現されている場合があります。いいえ、今日は実用的ではありません。それは経済的に実行可能であることから何桁も離れています。でもすごくかっこいい...

私の見解は

  • 準同型暗号は、理論的なコンピューターサイエンスの大きな進歩であり、セキュリティに多大な影響を与える可能性があります。
  • ...またはそれは美しいおもちゃのままで、選挙の透明性などの非常に限られた問題にのみ役立つ場合があります。
10
nealmcb

準同型暗号化とは、暗号化された値を使用して、それらを復号化せずに計算できる暗号化スキームのことです。たとえば、E(a)およびE(b)aおよびbの暗号化)が与えられた場合、 E(a + b)ab、または復号化キーを知らなくても計算できます。

準同型暗号化方式は、投票方式で非常に役立ちます。構造は次のとおりです。有権者が投票を暗号化し、準同型プロパティを使用してすべての投票を加算し、結果を復号化します(集まる必要がある当局のセットによるグループ復号化を使用)非常にパブリックな方法で、復号化を実行します)。いくつかの準同型暗号化スキームがあり、数十年前から知られているものもあります(El Gamalなど)。それらは効率的で安全です(非対称暗号化と同じくらい安全です)。準同型暗号化は匿名の集計の問題を解決しますが、それは適切な投票方式のほんの一部にすぎないことに注意してください(たとえば、投票者は20ではなく0または1を暗号化したことも証明する必要があります-そうでない場合、20票を獲得する可能性があります)。準同型暗号化は、匿名性やその他の特性を保証するために、デジタルキャッシュシステムでも使用できます。

Fully準同型暗号化は、リング構造で保存された暗号化スキームが最初に見つかったときに造られた用語ですtwoリング構造の代数演算:つまり、与えられたE(a)およびE(b)E(a + b)およびE(ab)を計算できます。この2つの操作で、ほぼすべてを計算できることがわかります。ここで「クラウド」が重要になります。クラウドは強力ですが、信頼できません。したがって、データを暗号化し、必要な計算を実行するクラウドに送信して、結果を復号化できます。

計算をクラウドにオフロードすることは、現在、純粋なファンタジーです。 Gentryのスキーム(2009年に公開)に基づく、現在知られている最も効率的な完全準同型暗号化スキームは依然として非常に高価であり、「任意の計算」の部分は、計算を回路として表現することを含みますeach論理ゲートは、独自の準同型暗号化によってエミュレートされます。ここでは10倍のスローダウンについて話しているのではありません。むしろ、Amazon EC2クラウド全体が1日で単一のiPhoneで1秒かかる計算を準同型で実行できないことについて話している。したがって、これは理論的な観点からは非常に興味深いものですが、実際に適用できるものが見つかるまでには少し時間がかかります。また、2009年はかなり最近のことです。従来、非対称暗号化スキームが「安全」であると宣言する前に、少なくとも5〜10年待ちます。

12
Thomas Pornin

準同型暗号化はシステムのカテゴリです。一部の実装は弱い場合もあれば、強力な場合もありますが、カテゴリ全体を「弱い」または暗号解読可能なものとして説明しても意味がありません。

Nealが指摘したように、私の投票システムHeliosを含め、部分的に準同型の暗号システム(「完全に準同型の」暗号システムが発見される前は、単に「同型」と呼ばれていました)が暗号で使用されています。これらのシステムでは、暗号化のカバーの下で、加算OR乗算のいずれか)の1つの演算を実行できます。これにより、個々の投票のカウントや集計の復号化など、興味深いことができます。

さて、「官公庁の選挙にHeliosを使用しないでください」と言ったのは、準同型暗号化の弱点が原因ではありません。これがシステムの最も強力な部分です。オンライン投票の問題は、デスクトップクライアントがマルウェアに感染し、暗号化される前に投票が変更される可能性があることです。準同型の集計部分は非常に安全であり、これに対する既知の攻撃はありません。

Boneh、Goh、およびNissimは、2005年にさらに準同型の暗号システムを設計しました。復号化する前に、任意の数の加算、1つの乗算、その後に任意の数の加算を実行できます。これにより、より興味深いアプリケーションが可能になりました。公開ミキシング(投票にも適用可能)に関する私の仕事。暗号化された値のセットを、どのような順序でシャッフルしたかを明らかにすることなく、公開操作でシャッフルできます(かなり奇妙ですが、考えてみてください)。

任意の加算と乗算を実行できる完全準同型暗号システムは、Gentryが数年前に作業するまでは不可能だと考えられていました。このカテゴリの暗号化システムの意味があるのは、プレーンテキストデータを公開することなく、any計算をクラウドに完全に外部委託できることです。たとえば、テキストのコーパスに対して「暗号化」という単語の全文検索を実行したい場合、コーパスを暗号化し、「暗号化」という単語を暗号化して、フルテキストを実行する別の当事者に出荷することができます。完全に暗号化されたデータを検索し、暗号化された結果を返します。暗号化された結果を解読して、答えを得ることができます。計算を行うシステムは、コーパスまたは検索クエリについてnothingを知っています。かなり素晴らしい。

もちろん、これは、暗号化のプロセスと準同型操作の実行のプロセスが、ローカルマシンでプレーンテキストで自分で行うよりもクラウドでさらに安価である場合にのみ意味があります。私達はそれから遠く離れています。とは言っても、暗号システムは時間の経過とともに改善するだけなので、おそらく数年後には汎用準同型計算が役立つようになるでしょう。

一方で、準同型テクノロジーのおかげで、より安全に外部委託できる特定の問題(一般的な計算ではない)がおそらくたくさんあるでしょう。

9
Ben Adida

それらはどのように使用できますか?たった今?彼らはできません。ほとんど/すべての実用的なアプリケーションには遅すぎます。今日の本番用の準同型暗号化を検討しても意味がありません。

将来的には、アルゴリズムを改善してアルゴリズムを大幅に高速化できれば、クラウドプロバイダーを信頼せずにクラウドで計算を実行できるようになると期待しています。夢は、すべてのデータをローカルで暗号化し、暗号化されたデータをクラウドプロバイダーに送信することです。クラウドプロバイダーは、データに対して必要なすべての計算を実行でき(まだ暗号化された形式です)、最終的に結果が得られます。暗号化された形式で、結果をダウンロードしてローカルで復号化できます。その結果、クラウドプロバイダーはデータを見ることができません。とにかく、それが夢であり、完全に準同型の暗号化は、いつかこの夢を実現するのに役立つ可能性があります-暗号学者がそれをはるかに速くする方法を理解できれば。

5
D.W.