Er bestaat niet zoiets als volledig homomorfe decryptie. Elke keer dat je een systeem ziet dat FHE gebruikt om op je gevoelige gegevens te rekenen, onthoud: iemand heeft de sleutel. Als jij het niet bent, vertrouw je hen dan?

Gegeven Enc(data), laat FHE je Enc(f(data)) berekenen voor elke f. Maar iemand moet het resultaat ontcijferen! Er zijn twee scenario's a) Jouw data, jouw sleutel, je hebt gewoon de berekening uitbesteed. Veilig, maar zelden de FHE-overhead waard. b) Het zijn de geheime gegevens van meerdere mensen, dus wie krijgt de sleutel?

Scenario B is waar we voorgestelde protocollen in het echt zien: darkpools, privé anti-witwas systemen, enz. Geen enkele persoon wordt vertrouwd om de sleutel vast te houden, er is een commissie voor drempelontsleuteling. Maar de veiligheid van de gehele oplossing hangt af van de commissie, niet alleen van "versleuteling"!

Om duidelijk te zijn, er zijn legitieme gebruikstoepassingen voor dit, en er is indrukwekkend onderzoek. MAAR, de discussie over de beveiliging ervan zou moeten zijn: "ok, waar is de sleutel?"

Aangezien dit over het hoofd is gezien: het punt is dat een FHE-protocol met meerdere partijen dezelfde beveiligingsassumpties en afwegingen heeft als een MPC-protocol. Wie houdt de sleutels/aandelen en moeten ze vertrouwd worden om niet samen te werken? Voor MPC is dit goed begrepen, maar voor FH is dat niet het geval.

Aangezien dit over het hoofd is gezien: het punt is dat een FHE-protocol met meerdere partijen dezelfde beveiligingsassumpties en afwegingen heeft als een MPC-protocol. Wie houdt de sleutels/aandelen en moeten ze vertrouwd worden om niet samen te werken? Voor MPC is dit goed begrepen, maar voor FHE is dat niet het geval.

Zodra je accepteert dat FHE fundamenteel afhankelijk is van een non-collusie/non-compromis aanname voor drempelontsleuteling, is er één zeer bescheiden beveiligingsvoordeel ten opzichte van MPC: Sleutelhouders zijn minder blootgesteld dan in MPC. Ze ontsleutelen alleen, ze berekenen de functie niet.

De keerzijde is dat de meeste FHE je geen integriteit biedt, dus om dat toe te voegen heb je bijvoorbeeld zk-bewijzen nodig. Dus volledig onbetrouwbaar voor privacy en integriteit is FHE-evaluatie nog duurder.