準同型暗号化の最新技術とは？

Question

私は、準同型暗号化がまだ計算上非常に非効率的であるとざっと読んだいくつかのインターネットリソースからの印象を得ます。ただし、 2010年のインフィニオンのプレスリリースは、チップカードのCPUが暗号化された形式で計算できることを示しています。一般的なCPUは確かにチップカード上のCPUよりも強力であるため、準同型暗号化に対する実際的な障害はありませんか？

Thomas Pornin · Answer

2つのタイプの準同型暗号化があります。

部分的準同型暗号化は、暗号化された値に対して1種類の演算を計算することです。たとえば、E（m₁）およびE（m₂）、そして秘密鍵を知らなくても、E（m₁* m₂）。それを可能にするいくつかの効率的なアルゴリズム、特に ElGamal （暗号化されたメッセージを乗算できる）および Paillier暗号システム（暗号化されたメッセージを追加できる）が知られています。一部の準同型暗号化は、一部のプロトコルで役立ちます。電子投票（暗号化された投票をまとめて集計し、最後に結果を復号化できるという考え方です）。部分的に準同型の暗号化は適切に機能し、少なくとも10年間は機能しています。

完全準同型暗号化は、暗号化された値に対する2つのタイプの演算を計算することです：fromE（m₁）およびE（m₂）、E（m₁* m₂）およびE（m₁+ m₂）。完全準同型暗号化により、任意の計算が可能になります。最終的に、暗号化された入力をbiiigコンピューターに提供し、計算を実行して暗号化された結果を提供することができます。その大きなコンピューターを信頼する必要はありません。アイデアは、仮想回路内のトランジスタの状態を暗号化することができ、追加/乗算は、トランジスタへの入力に基づいて状態変化をエミュレートするのに十分であるということです。大きなコンピュータは仮想CPUを実行する必要があり、仮想CPUのeachトランジスタとeachのいくつかの準同型演算クロックサイクル。言うまでもなく、これは高価に見えます。

残念ながら、最もよく知られている完全準同型暗号化アルゴリズム（2009年のGentryの研究から派生）は非常に低速で非効率的であり、努力する価値がありません（つまり、Amazon S3クラウド全体は、単一のスマートカードが実行できない場合よりも高速に準同型計算を行うことができませんでした。暗号化）。研究領域は死んでいるわけではありません。しかし、それは非常に新しいものであり、まだ実用的なものは何も生み出していません。

D.W. · Answer

いいえ。完全に準同型の暗号化は、今日では実用的ではありません。デスクトップコンピュータやチップカードではできません。たとえば、姉妹サイトのCrypto.SEで次の質問を参照してください。最も実用的な完全準同型暗号システムとは。（抜粋：「実用的なものはまだありません...」）あなたが読んでいるプレスリリースは、おそらく出版関係の人々によって歪められたでしょう。ねえ、それは起こります。

かなり効率的な方法で部分的準同型暗号を実行することは可能ですが、それはそのアプリケーションではるかに制限されており、完全準同型暗号の能力や有用性はありません。

このトピックの詳細については、次の質問を参照してください。

このサイトの右上、および Crypto.SE にある検索バーを使用して、準同型暗号についての詳細情報を検索してください。

bethlakshmi · Answer

プレスドキュメントの行間を読む方法がわかりませんが、ここが死んでいるわけではなく、クラウドに関して多くのホットなトピックが見られます。セキュリティ-巨視的な見方では少なくともある程度の意味がありますが、実際にセキュリティソリューションを実装するために使用した私の一部は、「あなたがそれを見るまで信じないでください」と言っています。

私がGoogleで見ていることについての私の見解は、それはまだ大学研究の世界で非常に多くあります-まだ行われている多くの数学と多くの計算分析です。企業がハードウェア関連またはソフトウェア実装に重要な何かに多大な時間を投資するのを見るまでにはしばらく時間がかかります。つまり、大規模コンピューティングに使用できる、非常に堅固で、テストされ、認定されたソフトウェアの一部です。確認のためのラボ）。

機能の価値は十分高く、研究のための資金がまだ利用可能であるように思えます。

解説に基づく追加：

さらに掘り下げて、私は次のようなものを見ています：

http://www.faqs.org/patents/app/2012003947
http://people.csail.mit.edu/joanne/vahlis-slides.pptx
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=5622064&url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F5619950%2F5621989%2F05622064.pdf%3Farnumber% 3D5622064

そのため、私の最初の主張に固執します。このタイプの論文はこの時間枠で公開されていますが、この数学を最も適切に実装できる性質は、まだある程度の進化を遂げています。「実際に時間効率の良い方法でこれを行う方法を見つけられなかった」という意味で「実用的な障害はない」と同意したいと思います。しかし、ゲームのこの段階では、このようなソリューションを売ってお金を稼いでいる業界の人はいないので、計算を効率的に行う方法を見つけたとしても、まだ実装で使用されているとは思えません。私はそれが来ていないことを言っているわけではありませんが、それはまだありません、そしておそらくまだ実装のハードルが先にあります-時間とお金で修正可能である可能性が高く、それは業界がいくつかの推進力を発揮するとすぐに可用性が向上しますユースケースとソリューションがスケーリングできることを証明します。

David Wachtfogel · Answer

インフィニオンからのこのプレスリリースは誤解を招く恐れがあります。インフィニオンは、SLE 78チップのCommon Criteria Evaluation Security Targetドキュメントをダウンロードしました（ダウンロード可能こちら）。このドキュメントを読むと、データはメモリ内、バス上、およびレジスタ内で暗号化されていますが、計算に使用すると（たとえば、ALUによって）実際には復号化されていると推測できます。

完全準同型暗号化は、現時点では間違いなくチップカード上では計算可能ではありません。