Поріг повністю гомоморфних криптосистем

9

недавно Крейг Джентрі опублікував першу схему шифрування відкритого ключа (над просторовим простором {0,1}), яка є повністю гомоморфною, це означає, що можна ефективно та компактно оцінювати AND і XOR на зашифрованих простих текстах без знання секретного ключа розшифровки.

Мені цікаво, чи є якийсь очевидний спосіб перетворити цю криптосистему з відкритим ключем у порогову криптосистему з відкритим ключем таким чином, щоб усі могли зашифрувати, AND і XOR, але розшифровка можлива лише в тому випадку, якщо деякі (всі) люди, що діляться ключовою командою, вгору.

Мені були б цікаві будь-які ідеї з цього приводу.

Спасибі заздалегідь

пр

cr.crypto-security circuit-complexity homomorphic-encryption

2

Це більше цікавить і не стосується безпосередньо вашого питання. Цікаво, що схема повністю гомоморфна, учасник може гомоморфно та рекурсивно створювати пари публічно-приватного ключа.

— Росс Снайдер

1

Ближче до відповіді на ваше запитання, але все ще недостатньо, щоб опублікувати як відповідь: FHE абсолютно нова - є лише дві запропоновані схеми (обидві Gentry). Наскільки мені відомо, жодна робота на Threshold FHE не публікується. Однак може бути робота, яка була виконана в частково гомоморфних системах (наприклад, Пейлієр, Голдвассер тощо). Я б почав шукати там, щоб побачити, чи можна легко «перенести» результати на FHE.

— Росс Снайдер

6

Новий документ Стівена Майєрса, Мона Сергі та Абхі Шелата про епрінт " Поріг повністю гомоморфного шифрування та безпечні обчислення " стверджує, що це поріг повністю гомоморфна схема шифрування.

З їх конспекту:

...

Gentry [Gen09a] показує, як поєднувати обидві ідеї з повністю гомоморфним шифруванням, щоб побудувати захищений багатопартійний протокол, що дозволяє оцінити функцію $f$ з використанням зв'язку, що не залежить від схеми опису $f$ та обчислення, які є многочленами $|f|$ . У цьому документі вирішено основний недолік підходу Джентрі: ми усуваємо використання не чорних методів, які притаманні компілятору Наор та Нісіма.

Для цього ми покажемо, як модифікувати повністю гомоморфну конструкцію шифрування Ван Дійка та ін. [vDGHV10] - це порогові повністю гомоморфні схеми шифрування.

...

В цілому, ми побудували перший захищений багатопартійний протокол обчислення в чорному ящику, що дозволяє оцінювати функцію $f$ з використанням зв'язку, що не залежить від схеми опису $f$ .

— user686
джерело

3

Я не знаю специфіки схеми шляхти, але всі інші порогові криптосистеми вимагають двох гомоморфізмів (третій мається на увазі), що стосуються публічних та секретних ключів:

${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
$c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
$m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

( ${\sf KG}$ - це функція, яка надає секретний ключ, повертає відкритий ключ: $pk={\sf KG}(sk)$ .)

Якщо ці умови дотримуються, для деяких операцій $\oplus$ і $\otimes$ , потрійно можна зробити розподілену (n-out-of-n) розшифровку, і це може бути можливим для порогу (m-out-n-n), якщо операція $\oplus$ наприклад, достатньо для інтерполяції многочлена.

Наприклад, у порозі Elgamal, $\oplus$ є доповненням, що дозволяє здійснювати інтерполяцію.

Незважаючи на те, що ніхто не відповів на початкове запитання, можливо, хтось може відповісти на ці запитання: (1) Чи відповідає FHE Gentry тому плану (з точки зору ${\sf KG}$ , ${\sf Enc}$ , ${\sf Dec}$ ). (2) Чи існують такі гомоморфізми між загальнодоступними та секретними ключами? (3) Якщо так, то які операції?

Крім того, я не кажу, що ці умови необхідні, щоб мати порогову криптосистему. Відсутність такого гомоморфізму не означає (наскільки мені відомо), що розшифровка порогу неможлива.

— PulpSpy
джерело