¿Cuál es el estado del arte del cifrado homomórfico?

7

Tengo la impresión de algunos recursos de Internet que he visto que el cifrado homomórfico es computacionalmente muy ineficiente. Sin embargo, un comunicado de prensa de Infineon de 2010 Dice que las CPU de las tarjetas chip pueden hacer cálculos en forma encriptada. Entonces, ¿no hay más obstáculos prácticos para los cifrados homomórficos hoy en día, ya que las CPU comunes son ciertamente más poderosas que las de las tarjetas con chip?

    
pregunta Mok-Kong Shen 14.09.2012 - 14:43
fuente

5 respuestas

9

Hay dos tipos de cifrado homomórfico .

El cifrado parcialmente homomórfico se trata de calcular un tipo de operación sobre los valores cifrados. Por ejemplo, usted sabe E (m 1 ) y E (m 2 ) , y, sin conocer el clave privada, puede calcular E (m 1 * m 2 ) . Se conocen varios algoritmos eficientes que lo permiten, especialmente ElGamal (que le permite multiplicar los mensajes cifrados) y the Cryptosystem de Paillier (que le permite agregar mensajes cifrados). El cifrado parcialmente homomórfico es útil para algunos protocolos, por ejemplo, Votación electrónica (la idea es que pueda unir los votos encriptados y descifrar el resultado al final). El cifrado parcialmente homomórfico funciona bien y lo ha hecho durante al menos una década.

El cifrado totalmente homomórfico se trata de calcular dos tipos de operaciones sobre valores cifrados: de E (m 1 ) y E (m 2 ) , puede calcular E (m 1 * m 2 ) y E (m 1 + m 2 ) . El cifrado totalmente homomórfico permite cálculos arbitrarios; en última instancia, podría proporcionar entradas cifradas a una computadora biiig, que ejecutará el cálculo y proporcionará el resultado cifrado, sin necesidad de confiar en esa computadora grande. La idea es que el estado de un transistor en un circuito virtual se puede cifrar, y las adiciones / multiplicaciones son suficientes para emular los cambios de estado basados en las entradas al transistor. La gran computadora tendría que ejecutar una CPU virtual, con algunas operaciones homomórficas para cada transistor en la CPU virtual y para cada ciclo de reloj. No hace falta decir que esto parece caro.

Desafortunadamente, los algoritmos de cifrado totalmente homomórficos más conocidos (derivados del trabajo de Gentry en 2009) son terriblemente lentos e ineficientes, lo que hace que no valga la pena el esfuerzo (es decir, toda la nube de Amazon S3 no puede calcular homomorfamente más rápido de lo que una sola tarjeta inteligente) prescindir del cifrado). El área de investigación no está muerta, ni mucho menos; pero es muy nuevo y aún no ha producido nada práctico.

    
respondido por el Thomas Pornin 14.09.2012 - 23:14
fuente
6

No. La criptografía totalmente homomórfica no es práctica en la actualidad, ni en una computadora de escritorio ni en una tarjeta chip. Vea, por ejemplo, la siguiente pregunta en nuestro sitio hermano, Crypto.SE: ¿Cuál es el criptosistema completamente homomorfo más práctico? . (Extracto: "ninguno de ellos es práctico ... todavía".) El comunicado de prensa que está leyendo probablemente se distorsionó por la gente de las relaciones de publicación. Hey, sucede.

Es posible realizar criptografía parcialmente homomórfica de una manera razonablemente eficiente, pero eso es mucho más restringido en sus aplicaciones y no tiene el poder o la utilidad de la criptografía totalmente homomórfica.

Para obtener más información sobre este tema, consulte las siguientes preguntas:

Utilice la barra de búsqueda en la parte superior derecha de este sitio y en Crypto.SE , para encontrar más información sobre la criptografía homomórfica .

    
respondido por el D.W. 15.09.2012 - 08:17
fuente
3

No estoy seguro de cómo leer entre líneas en el documento de prensa, pero veo aquí que no está muerto, y estoy viendo muchos temas candentes con respecto a Seguridad en la nube: lo que tiene al menos cierto nivel de sentido en una vista macroscópica, aunque la parte de mí que solía implementar las soluciones de seguridad dice "no lo crea hasta que lo vea".

Mi opinión sobre lo que estoy viendo en Google es que todavía está muy presente en el mundo de la investigación universitaria: hay muchas matemáticas por hacer y mucho análisis computacional. Pasará un tiempo antes de que veamos que las empresas invierten mucho tiempo en cualquier cosa relacionada con el hardware o algo significativo en las implementaciones de software, con lo que me refiero a una pieza muy sólida, probada y certificada de software que se puede usar para computación a gran escala (frente a algo en una laboratorio para fines de verificación).

Parece que el valor de la capacidad es lo suficientemente alto como para que haya fondos disponibles para la investigación.

Adición basada en comentarios:

Con más excavaciones, estoy viendo cosas como:

Lo que me hace seguir con mi afirmación inicial: cuando se publican artículos de este tipo en este marco de tiempo, la naturaleza de la forma en que se pueden implementar estas matemáticas es todavía un cierto nivel de evolución. Estoy de acuerdo en que "no hay obstáculos prácticos" en el sentido de que "simplemente no hemos encontrado una manera de hacer esto con la tecnología de una manera eficiente en el tiempo", pero diría que en esta fase del juego, No veo a nadie en la industria que gane dinero vendiendo tal solución, así que incluso si descubrimos cómo hacer las matemáticas de manera eficiente, aún no veo que se use en la implementación. No estoy diciendo que no llegue, pero aún no ha llegado, y es probable que haya nuevos obstáculos de implementación por delante, que probablemente se puedan solucionar con tiempo y dinero, lo que aumentará su disponibilidad tan pronto como la industria se abra camino Use los casos y pruebe que las soluciones pueden escalarse.

    
respondido por el bethlakshmi 14.09.2012 - 15:06
fuente
1

Me temo que este comunicado de prensa de Infineon es engañoso. Infineon ha publicado un documento de objetivos de seguridad de evaluación de criterios comunes para el chip SLE 78 (disponible para descargar here ). Al leer este documento, se puede inferir que aunque los datos se cifran en la memoria, en el bus y en los registros, de hecho se descifran cuando se utilizan para cálculos (por ejemplo, por la ALU).

El cifrado totalmente homomórfico es definitivamente no computacional en una tarjeta con chip en este momento.

    
respondido por el David Wachtfogel 15.09.2012 - 23:00
fuente
-1

En su respuesta (y en un comentario), David Wachtfogel opinó que una frase involucrada en el comunicado de prensa de Infinion, a saber, "en la propia CPU", probablemente se refiere a los registros de la CPU y no a la ALU. Si este es el caso, la aparente paradoja podría explicarse. Sin embargo, me gusta informar que escribí un correo electrónico al Sr. Janke, un miembro del equipo de Infinion que desarrolló el chip, y obtuve lo siguiente en su respuesta:

Aus den Zertifizerungsreports bzw. den Objetivos de seguridad können Sie entnehmen (Quelle: un ):

  • "El TOE proporciona encriptación completa en el chip que cubre todo el núcleo, los buses, las memorias y los coprocesadores criptográficos sin dejar texto sin formato en el chip". [Der Begriff "core" beinhaltet auch die CPU inklusive der ALU, vgl. Abbildung auf Seite 16.]

  • "No se manejan datos simples en ningún lugar del TOE y, por lo tanto, las dos CPU se computan completamente enmascaradas y, además, se aplican cambios de máscara dinámicos". [Hier wird deutlich, dass die CPU's mit verschlüsselten Daten arbeiten, wobei die Schlüssel sich dynamisch verhalten.]

Estos párrafos evidentemente afirmaban firmemente lo contrario. Entonces, ¿qué consideran los expertos como el caso en realidad?

    
respondido por el Mok-Kong Shen 08.11.2012 - 19:46
fuente

Lea otras preguntas en las etiquetas