Es gibt so etwas wie die vollständig homomorphe Entschlüsselung nicht. Jedes Mal, wenn Sie ein System sehen, das FHE verwendet, um mit Ihren sensiblen Daten zu rechnen, denken Sie daran: Jemand hat den Schlüssel. Wenn Sie es nicht sind, vertrauen Sie ihnen?

Gegeben Enc(data), ermöglicht FHE die Berechnung von Enc(f(data)) für jede Funktion f. Aber jemand muss das Ergebnis entschlüsseln! Es gibt zwei Szenarien a) Deine Daten, dein Schlüssel, du hast nur die Berechnung ausgelagert. Sicher, aber selten den FHE-Overhead wert. b) Es sind die geheimen Daten mehrerer Personen, also wer bekommt den Schlüssel?

Szenario B ist, wo wir vorgeschlagene Protokolle in der Realität sehen: Darkpools, private Systeme zur Bekämpfung von Geldwäsche usw. Niemandem wird vertraut, den Schlüssel zu halten, es gibt ein Komitee für die Schwellenwertentschlüsselung. Aber die Sicherheit der gesamten Lösung hängt vom Komitee ab, nicht nur von der "Verschlüsselung"!

Um klarzustellen, es gibt legitime Anwendungsfälle dafür und einige sehr beeindruckende Forschungen. ABER, die Diskussion über die Sicherheit sollte sein: "Ok, wo ist der Schlüssel?"

Da dies anscheinend übersehen wurde: Der Punkt ist, dass ein FHE-Protokoll, das mehrere Parteien einbezieht, die gleichen Sicherheitsannahmen und Kompromisse wie ein MPC-Protokoll hat. Wer hält die Schlüssel/Anteile und sollte er nicht vertrauenswürdig sein, um nicht zu kolludieren? Für MPC ist dies gut verstanden, aber für FH ist es das nicht.

Da dies anscheinend übersehen wurde: Der Punkt ist, dass ein FHE-Protokoll, das mehrere Parteien einbezieht, die gleichen Sicherheitsannahmen und Kompromisse wie ein MPC-Protokoll hat. Wer hält die Schlüssel/Anteile und sollte er nicht vertrauenswürdig sein, um nicht zu kolludieren? Bei MPC ist das gut verstanden, aber bei FHE ist es nicht.

Sobald Sie akzeptieren, dass FHE grundlegend von einer Annahme der Nicht-Kollusion/Nicht-Kompromittierung für die Schwellenwertentschlüsselung abhängt, gibt es einen sehr bescheidenen Sicherheitsvorteil gegenüber MPC: Schlüsselinhaber sind weniger exponiert als bei MPC. Sie entschlüsseln nur, sie berechnen nicht die Funktion.

Die Kehrseite ist, dass die meisten FHE Ihnen keine Integrität bieten, sodass Sie dafür z.B. zk-Beweise benötigen. Eine vollständig untrusted FHE-Bewertung für Privatsphäre und Integrität ist daher noch teurer.