¿De qué manera el cifrado homomórfico total o parcial beneficia a la nube?

Ya es posible, a través de sistemas de votación de extremo a extremo como Helios para almacenar públicamente las boletas votadas en la nube de manera cifrada, por lo que que el público puede sumarlos para confirmar los totales y también para verificar que su propio voto se incluyó en el total. Sin dar a alguien un "recibo" que pueda usar para vender su voto. Sorprendente, pero cierto. Es genial para elecciones privadas de bajo riesgo. Sin embargo, tenga en cuenta que incluso el inventor de Helios, Ben Adida, dice "Un gobierno La elección es algo que no quiere hacer a través de Internet ", citando tanto el potencial de los virus informáticos para corromper la votación como la posibilidad de intimidación de los votantes.

Esto es posible ya que solo se requiere la adición, y por lo tanto, los enfoques parciales homomorfos funcionan. Espero que encontremos otros casos interesantes como este, pero los cálculos reales de propósito general requerirán más avances en eficiencia.

Tenga en cuenta que el "Práctico?" En papel, se hace referencia a conversaciones del tamaño de los textos cifrados en un esquema que es del orden de 50 kB. Eso significa que cada número (por ejemplo, en un conjunto de datos de laboratorio médico) está representado por un texto cifrado que es 4 órdenes de magnitud más grande ... Eso hace que el costo del almacenamiento en la nube sea poco práctico.

Y D.W. escribe en un comentario arriba:

  

En algunos casos, puede ser peor que eso: puede ser que tengas que construir un circuito booleano, y cada bit puede estar representado por un texto cifrado gigantesco. No, hoy no es práctico. Quedan muchos órdenes de magnitud para ser económicamente viables. Pero es tan genial ...

Mi opinión es que

• El cifrado homomorfo es un gran avance en la ciencia de la computación teórica, que podría tener enormes ramificaciones para la seguridad
• ... o puede seguir siendo un juguete hermoso, útil solo para problemas muy restringidos como la transparencia electoral.

El cifrado homomorfo se trata de esquemas de cifrado que permiten la computación con valor cifrado sin descifrarlos. Por ejemplo, dados E (a) y E (b) (el cifrado de a y b ), puede calcular E (a + b) sin saber a , b ni la clave de descifrado.

Los esquemas de cifrado homomórficos son muy útiles en los esquemas de votación, con la siguiente estructura: los votantes cifran sus votos, la propiedad homomórfica se usa para sumar todos los votos y el resultado se desencripta (con el descifrado del grupo por un conjunto de autoridades que necesitan para reunirnos, de manera muy pública, para realizar un descifrado). Hay varios esquemas de cifrado homomórficos, algunos conocidos desde hace décadas (por ejemplo, El Gamal). Son eficientes y seguros (tan seguros como puede ser el cifrado asimétrico). Tenga en cuenta que el cifrado homomórfico resuelve la cuestión del conteo anónimo, pero eso es solo una pequeña parte de un esquema de votación adecuado (por ejemplo, el votante también debe demostrar que cifró un 0 o un 1, no un 20; de lo contrario, podría obtener 20 votos) ). El cifrado homomórfico también se puede utilizar en sistemas de efectivo digital, también para garantizar el anonimato o algunas otras propiedades.

Completamente cifrado homomórfico es un término que se acuñó cuando se encontraron por primera vez esquemas de cifrado que conservaban dos operaciones algebraicas en una estructura de anillo: a saber, dado E ( a) y E (b) , puede calcular E (a + b) y E (ab) . Resulta que con esas dos operaciones, puedes calcular casi todo. Aquí es donde la "nube" entra en escena: la nube es poderosa, pero no confiable; por lo tanto, puede cifrar sus datos, enviarlos a la nube que realiza el cálculo que desea hacer y luego descifrar el resultado.

La descarga de cálculos a la nube es, en este momento, una pura fantasía. Los esquemas de encriptación totalmente homomórficos más eficientes que se conocen actualmente, basados en un esquema de Gentry (publicado en 2009), siguen siendo muy costosos, y la parte de "cálculo arbitrario" implica representar el cálculo como un circuito donde cada uno La puerta lógica se emula a través de su propio cifrado homomórfico. No estamos hablando de una desaceleración de 10x aquí; más bien, estamos hablando de que toda la nube de Amazon EC2 no puede, en un día, realizar una computación homomórfica que tomaría un segundo en un solo iPhone. Entonces, si bien esto es muy interesante desde un punto de vista teórico, tomará un tiempo antes de que se descubra algo aplicable en la práctica. Además, 2009 es bastante reciente; tradicionalmente, esperamos por lo menos 5 a 10 años antes de declarar que un esquema de cifrado asimétrico es "seguro".

El cifrado homomorfo es una categoría de sistemas; Algunas implementaciones pueden ser débiles y otras pueden ser fuertes, pero no tiene sentido hablar de toda la categoría como "débil" o criptanalizable.

Los criptosistemas parcialmente homomorfos (que solían llamarse simplemente "homomorfos" antes de que se descubrieran los criptosistemas "totalmente homomorfos") se usaron en criptografía por un tiempo, incluso, como señala Neal, en mi sistema de votación, Helios. En estos sistemas, puede realizar una operación, ya sea la suma O la multiplicación, bajo las coberturas del cifrado. Eso te permite hacer cosas interesantes, como contar votos individuales y solo descifrar el recuento.

Ahora, cuando digo "no uses Helios para las elecciones de cargos públicos", no es por ninguna debilidad en el cifrado homomórfico. Esa es la parte más fuerte del sistema. El problema con la votación en línea es que su cliente de escritorio podría verse afectado por un malware, por lo que cambiará su voto antes de que se cifre. La parte de conteo homomórfico es bastante segura, y no hay ataques conocidos contra ella.

Boneh, Goh y Nissim diseñaron un criptosistema más homomorfo en 2005, donde se podía hacer cualquier número de adiciones, seguido de una multiplicación, seguido de cualquier número de adiciones, antes de descifrar. Eso permitió aplicaciones más interesantes, por ejemplo. mi trabajo en Mezcla pública (también aplicable a la votación), donde puede barajar un conjunto de valores encriptados en una operación pública, sin revelar en qué orden los barajó (bastante loco, cuando lo piensa).

Se creía que los criptosistemas completamente hommomorfos, donde se pueden hacer adiciones y multiplicaciones arbitrarias, son imposibles hasta el trabajo de Gentry hace un par de años. Lo significativo de esta categoría de criptosistema es que podría subcontratar completamente cualquier cálculo de cualquier a la nube sin revelar nunca datos de texto sin formato. Por ejemplo, si desea realizar una búsqueda de texto completo de la palabra "criptografía" en un corpus de texto, puede cifrar el corpus, cifrar la palabra "criptografía" y enviarlo a otra parte que realizaría el texto completo. busque en datos totalmente encriptados y devuelva el resultado encriptado, que luego podría descifrar para obtener la respuesta. El sistema que realiza el cálculo no sabría nada sobre el corpus o la consulta de búsqueda. Bastante asombroso.

Pero, por supuesto, esto solo tiene sentido si el proceso de cifrado y el proceso de realizar operaciones homomorfas es aún más barato en la nube que hacerlo usted mismo en texto sin formato en su máquina local. Estamos muy, muy lejos de eso. Dicho esto, los sistemas criptográficos solo mejoran con el tiempo, por lo que quizás veamos cómo los cálculos genomorfos genéricos se vuelven útiles en unos pocos años.

Mientras tanto, es probable que haya muchos problemas específicos, no computación genérica, que puedan subcontratarse de manera más segura gracias a la tecnología homomórfica.

¿Cómo se pueden utilizar? ¿Ahora mismo? Ellos no pueden Son demasiado lentos para la mayoría / todas las aplicaciones prácticas. No tiene sentido considerar el cifrado homomórfico para uso en producción hoy en día: demasiado lento.

La esperanza es que, si podemos mejorar los algoritmos para hacerlos mucho más rápidos, algún día en el futuro, nos permita ejecutar cálculos en la nube sin confiar en el proveedor de la nube. El sueño es que cifremos todos nuestros datos localmente, enviemos los datos cifrados al proveedor de la nube, el proveedor de la nube puede hacer todos los cálculos que queríamos sobre los datos (mientras aún están en forma cifrada), y terminar con los resultados finales. en forma encriptada, y luego podemos descargar los resultados y descifrarlos localmente. El resultado es que el proveedor de la nube no puede ver nuestros datos. De todos modos, ese es el sueño, y el cifrado totalmente homomórfico tiene el potencial de ayudarnos a lograr este sueño algún día, si los criptógrafos pueden descubrir cómo hacerlo mucho más rápido.