No existe tal cosa como el descifrado totalmente homomórfico. Cada vez que vea un sistema que usa FHE para calcular sus datos confidenciales, recuerde: alguien tiene la clave. Si no eres tú, ¿confías en ellos?

Dado Enc(data), FHE le permite calcular Enc(f(data)) para cualquier f. ¡Pero alguien tiene que descifrar el resultado! Hay dos escenarios a) Sus datos, su clave, acaba de subcontratar la computación. Seguro, pero rara vez vale la pena la sobrecarga de FHE. b) Son datos secretos de múltiples personas, entonces, ¿quién obtiene la clave?

El escenario B es donde vemos los protocolos propuestos en la vida real: darkpools, sistemas privados contra el lavado de dinero, etc. No se confía en una sola persona para tener la clave, hay un comité para el descifrado de umbrales. ¡Pero la seguridad de toda la solución depende del comité, no solo del "cifrado"!

Para ser claros, hay casos de uso legítimos para esto, y algunas investigaciones muy impresionantes. PERO, la discusión sobre la seguridad para ellos debería ser "ok, ¿dónde está la llave?"

Dado que esto parece pasado por alto: el punto es que un protocolo FHE que involucra a múltiples partes tiene los mismos supuestos de seguridad y compensaciones que uno MPC. ¿Quién tiene las claves/acciones y se debe confiar en que no se confabulen? Para MPC, esto se entiende bien, pero para FH, no lo es.

Dado que esto parece pasado por alto: el punto es que un protocolo FHE que involucra a múltiples partes tiene los mismos supuestos de seguridad y compensaciones que uno MPC. ¿Quién tiene las claves/acciones y se debe confiar en que no se confabulen? Para MPC, esto se entiende bien, pero para FHE, no lo es.

Una vez que acepta que FHE depende fundamentalmente de una suposición de no colusión / no compromiso para el descifrado de umbral, hay una ventaja de seguridad muy modesta sobre MPC: Los titulares de llaves están menos expuestos que en MPC. Solo descifran, no calculan la función.

La otra cara de la moneda es que la mayoría de los FHE no le brindan integridad, por lo que para agregar que necesita, por ejemplo, pruebas zk. Por lo tanto, la evaluación de FHE totalmente libre de privacidad e integridad es aún más costosa.