Чи можна повністю гомоморфне шифрування використовувати для необачного виконання коду?

Прочитавши цю відповідь деякий час тому, я захопився повністю гомоморфним шифруванням. Прочитавши вступ до тези Джентрі, я почав цікавитись, чи може його схема шифрування використовуватись для беззаперечного виконання коду, визначеного в третьому абзаці.

У повністю гомоморфній схемі шифрування ми зазвичай шифруємо деякі дані, відправляємо їх у вороже середовище, де на даних обчислюється певна функція, результат якої потім надсилається назад (шифрується), без супротивника з'ясовувати, що отримані дані або результат функції -.

Маючи на увазі виконання коду, я маю на увазі, що ми шифруємо фрагмент коду розроблений для вирішення якоїсь проблеми та відправляємо його у вороже середовище. Противник хоче використовувати для розв’язання , але ми не хочемо, щоб він знав, якпрацюєЯкщо у нього є вхід для , він може зашифрувати а потім використовувати (деяка схема шифрування на )з , яка потім повертає (не зашифрований) вихід (рішення для входу $C$ $P$ $C$ $P$ $C$ $I$ $P$ $I$ $C$ $I$ $O$ $P$ $I$ ). Схема шифрування гарантує, що противник ніколи не дізнається, як працює фрагмент коду, тобто для нього він працює так, як це робить оракул.

Основне практичне використання для такої схеми шифрування було б зробити ускладнення або навіть неможливе піратство.

Причиною, на яку я думаю, це можливо можливо, використовуючи повністю гомоморфну схему шифрування, є те, що ми можемо виконувати довільні схеми на зашифрованих даних, зокрема універсальну машину Тюрінга. Тоді ми могли б зашифрувати код так, ніби це дані, а потім використати схему для універсальної машини Тьюрінга на цих зашифрованих даних для виконання коду.

Я ставлю це як питання тут, тому що не знаю, чи корисна ця ідея: я ніколи не проходив набагато далі, ніж впровадження тези Джентрі, і мої знання про криптографії обмежені. Крім того, я не знаю, чи існує вже часто вживаний термін для непомітного виконання коду: я спробував шукати ідею в Google, але не знаючи належного терміна, я нічого не знайшов.

Я думаю, що існує декілька проблем, які можуть спричинити проблеми при такому підході. По-перше, якщо ми будемо використовувати повністю гомоморфне шифрування без модифікації, результат обчислення ( ) буде зашифрований. Тому було б марно для противника , який хоче використовувати свій код для вирішення . Хоча це все ще може бути корисним для, скажімо, хмарних обчислень, я цього не хочу досягти. $O$ $P$

По-друге, оскільки ми використовуємо схеми, а не довільні машини Тьюрінга, ми не можемо використовувати довільну кількість пам'яті: ми обмежені заздалегідь заданим об'ємом пам'яті. Це означає, що якщо ми хочемо запустити програму таким чином, слід пам'яті завжди буде однаковим, а саме - це пікове використання пам'яті.

Нарешті, задіяні константи майже напевно знищують будь-яке практичне використання такої системи, але я думаю, що ця ідея цікава.

cr.crypto-security homomorphic-encryption obfuscation

— Алекс десять Бринк
джерело

ви впевнені в терміні "Очевидне виконання коду"? Я про це шукав деякий час і нічого не отримав!

— Deyaa

Зовсім не: я сам склав цей термін, оскільки не знав належного терміну для нього. Заплутаність і обскускатори, очевидно, є регулярними умовами для концепції.

— Олексій десять Брінк

Відповіді:

На жаль, є результат, який теоретично забороняє "необачне виконання коду":

Боаз Барак, Од Голдрайх, Рассел Імпальяццацо, Стівен Рудіч, Аміт Сахай, Саліл Вадхан та Ке Ян. Про (Im) можливість забруднюючих програм , АВАРІЙНОСТІ КРИПТОЛОГІЇ - CRYPTO 2001.

Ось посилання:

У рефераті написано:

Неофіційно обфускатор - це (ефективний, імовірнісний) "компілятор", який приймає на вхід програму (або ланцюг) і створює нову програму яка має таку ж функціональність, що і але в деякому сенсі "не читається" . Якщо вони існують, обфускатори мали б широкий спектр криптографічних та складних теоретичних застосувань, починаючи від захисту програмного забезпечення до гомоморфного шифрування і закінчуючи теоретично-теоретичними аналогами теореми Райса. Більшість із цих застосувань засновані на інтерпретації умови "нечитабельності" при обфускуванні, що означає, що $\cal O$ $P$ $\cal O(P)$ $P$ $\cal O(P)$ це «віртуальний чорний ящик» , в тому сенсі , що все , можна ефективно обчислити дану , можна також ефективно обчислити даний оракул доступ до . $\cal O(P)$ $P$

У цій роботі ми ініціюємо теоретичне дослідження затухання. Наш головний результат полягає в тому, що навіть за дуже слабких формалізацій вищезгаданої інтуїції, затуплення неможливо. Ми доводимо це, побудувавши сімейство функцій , які за своєю суттю є неспроможними в такому значенні: існує предикат такий, що (a) дана будь-яка програма, яка обчислює функцію у , значення може бути ефективно обчислено , але (б) надаючи доступ оракула до (випадково вибраної) функції у , жоден ефективний алгоритм не може обчислити $\cal F$ $\pi$ $f$ $\cal F$ $\pi(f)$ $f$ $\cal F$ $\pi(f)$ набагато краще, ніж випадкові здогадки.

$\rm{TC}$ $0$

— М. С. Дусті
джерело

Добре, що такий спосіб демпфірує речі. Я просто читав, як вони довели свої результати: Я був особливо здивований, коли прочитав, що обфускатор, як передбачається, має доступ до вихідного коду змагальної програми! (хоча я міг просто неправильно зрозуміти папір)

— Алекс десять Бринк

Наскільки я розумію, ці результати стосуються лише "старої" (невдалої) моделі омертвіння з використанням віртуальних чорних коробок, і що зараз дослідники в цій галузі прагнуть прийняти слабкіше поняття затуплення з надією, що деякі гарантії можуть бути. Один із напрямків дослідження - прийняти повністю гомоморфне шифрування, і тому я б сказав, що питання відкрите. Я пам'ятаю, як сиділа влітку на розмові з Microsoft Research про обскускуторів з фіксованою точкою та віртуальних чорних скриньках, де саме дослідник зробив це.

— Росс Снайдер

Чи міг би прокоментувати дослідник галузі (чи одне із вражаючих імен зі списку авторів)?

— Росс Снайдер

@Ross: Так, я хотів би також коментувати інші дослідники в цій галузі ...

— MS Dousti

@ Ross, Sadeq: Деякі автори час від часу відвідують сайт, сподіваємось, що вони помітять тег. Поставити запитання на пропонованих сторінках питань також може допомогти.

— Каве

Дійсно, хоча повністю гомоморфне шифрування дуже корисно для виконання коду між декількома сторонами, що не довіряють (див., Наприклад, цей документ ), вам потрібна якась взаємодія, коли сторона, яка обчислює зашифрований вихід, надсилає його стороні, яка знає секретний ключ .

Поняття, яке ви шукаєте, здається підозріло близьким до програмного затухання програмного забезпечення, для якого ми виявили неможливий результат, згаданий вище. Я також написав одного разу неофіційний огляд цього документу, що деякі люди можуть вважати корисними.

З огляду на такий неможливий результат, є два (неперервні) способи, що дозволяють розслабити визначення: або шляхом обмеження класів програм / функцій, які потрібно придушити, або дати слабкіше поняття безпеки.

Другий підхід, можливо, можливий, і ми зауважуємо деякі слабкі поняття, схожі на обфузацію в нашій роботі. Однак зауважте, що наша атака повністю відновлює вихідний вихідний код якоїсь програми, незалежно від того, наскільки вона затуманена. Тож вам доведеться якось скласти визначення безпеки, яке досягає випадку наших контрприкладів.

Перший підхід був зроблений для всіх обмежених функцій (наприклад, точкових функцій), але знову ж таки слід переконатися, що клас не містить нашого контрприкладу, що, приблизно, означає, що він не повинен містити псевдовипадкових функцій.

— Боаз Барак
джерело