Não existe descriptografia totalmente homomórfica. Sempre que você vir um sistema usando FHE para calcular seus dados confidenciais, lembre-se: alguém tem a chave. Se não é você, você confia neles?

Dado Enc(data), FHE permite calcular Enc(f(data)) para qualquer f. Mas alguém tem que descriptografar o resultado! Existem dois cenários a) Seus dados, sua chave, você acabou de terceirizar a computação. Seguro, mas raramente vale a sobrecarga do FHE. b) São dados secretos de várias pessoas, então quem fica com a chave?

O cenário B é onde vemos os protocolos propostos IRL: darkpools, sistemas privados de combate à lavagem de dinheiro, etc. Nenhuma pessoa é confiável para ter a chave, há um comitê para descriptografia de limite. Mas a segurança de toda a solução depende do comitê, não apenas da "criptografia"!

Para ser claro, existem casos de uso legítimos para isso e algumas pesquisas muito impressionantes. MAS, a discussão sobre segurança para eles deve ser "ok, onde está a chave?"

Uma vez que isso parece esquecido: o ponto é que um protocolo FHE envolvendo várias partes tem as mesmas suposições de segurança e compensações que um MPC. Quem detém as chaves/ações e eles devem ser confiáveis para não conspirar? Para MPC, isso é bem compreendido, mas para FH, não é.

Uma vez que isso parece esquecido: o ponto é que um protocolo FHE envolvendo várias partes tem as mesmas suposições de segurança e compensações que um MPC. Quem detém as chaves/ações e eles devem ser confiáveis para não conspirar? Para MPC, isso é bem compreendido, mas para FHE, não é.

Depois de aceitar que o FHE depende fundamentalmente de uma suposição de não conluio/não comprometimento para descriptografia de limite, há uma vantagem de segurança muito modesta sobre o MPC: Os detentores de chaves estão menos expostos do que no MPC. Eles apenas descriptografam, não calculam a função.

O outro lado é que a maioria dos FHE não oferece integridade, então, para adicionar isso, você precisa, por exemplo, de provas zk. Portanto, totalmente livre de privacidade e integridade, a avaliação da FHE é ainda mais cara.