Non esiste una cosa come la Decrittografia Completamente Omoomorfica. Ogni volta che vedi un sistema che utilizza FHE per elaborare i tuoi dati sensibili, ricorda: qualcuno ha la chiave. Se non sei tu, ti fidi di loro?

Data Enc(data), FHE ti consente di calcolare Enc(f(data)) per qualsiasi f. Ma qualcuno deve decrittare il risultato! Ci sono due scenari a) I tuoi dati, la tua chiave, hai solo esternalizzato il calcolo. Sicuro, ma raramente vale la pena l'overhead di FHE. b) Sono i dati segreti di più persone, quindi chi ottiene la chiave?

Lo Scenario B è dove vediamo protocolli proposti nella vita reale: darkpools, sistemi privati di antiriciclaggio, ecc. Nessuna persona è fidata per detenere la chiave, c'è un comitato per la decrittazione soglia. Ma la sicurezza dell'intera soluzione dipende dal comitato e non solo dalla "crittografia"!

Per essere chiari, ci sono casi d'uso legittimi per questo, e alcune ricerche molto impressionanti. MA, la discussione sulla sicurezza per essi dovrebbe essere "ok, dov'è la chiave?"

Poiché questo sembra essere trascurato: il punto è che un protocollo FHE che coinvolge più parti ha le stesse assunzioni di sicurezza e compromessi di uno MPC. Chi detiene le chiavi/quote e dovrebbe essere fidato di non colludere? Per l'MPC, questo è ben compreso, ma per l'FH, non lo è.

Poiché questo sembra essere trascurato: il punto è che un protocollo FHE che coinvolge più parti ha le stesse assunzioni di sicurezza e compromessi di uno MPC. Chi detiene le chiavi/quote e dovrebbero essere considerati affidabili per non colludere? Per l'MPC, questo è ben compreso, ma per l'FHE, non lo è.

Una volta che accetti che FHE dipende fondamentalmente da un'assunzione di non collusione/non compromissione per la decrittazione a soglia, c'è un vantaggio di sicurezza molto modesto rispetto a MPC: I detentori delle chiavi sono meno esposti rispetto a MPC. Decryptano solo, non calcolano la funzione.

Il rovescio della medaglia è che la maggior parte delle FHE non ti garantisce l'integrità, quindi per aggiungerla hai bisogno, ad esempio, di zk proofs. Quindi, una valutazione FHE completamente non fidata per la privacy e l'integrità è ancora più costosa.