Não existe tal coisa como Descriptografia Totalmente Homomórfica. Sempre que você vê um sistema usando FHE para computar seus dados sensíveis, lembre-se: alguém tem a chave. Se não for você, você confia neles?

Dado Enc(data), o FHE permite que você calcule Enc(f(data)) para qualquer f. Mas alguém tem que descriptografar o resultado! Existem dois cenários a) Seus dados, sua chave, você apenas terceirizou a computação. Seguro, mas raramente vale a sobrecarga do FHE. b) São dados secretos de várias pessoas, então quem fica com a chave?

O Cenário B é onde vemos protocolos propostos na vida real: darkpools, sistemas privados de combate à lavagem de dinheiro, etc. Ninguém é confiável para manter a chave, há um comitê para a decriptação de limiares. Mas a segurança de toda a solução depende do comitê, não apenas da "criptografia"!

Para ser claro, existem casos de uso legítimos para isso, e algumas pesquisas muito impressionantes. MAS, a discussão sobre a segurança deles deve ser "ok, onde está a chave?"

Uma vez que isso parece ter sido negligenciado: o ponto é que um protocolo FHE envolvendo múltiplas partes tem as mesmas suposições de segurança e compromissos que um protocolo MPC. Quem detém as chaves/partes e deve ser confiável para não coludir? Para MPC, isso é bem compreendido, mas para FH, não é.

Uma vez que isso parece ter sido negligenciado: o ponto é que um protocolo FHE envolvendo múltiplas partes tem as mesmas suposições de segurança e trade-offs que um protocolo MPC. Quem detém as chaves/partes e deve ser confiável para não coludir? Para MPC, isso é bem compreendido, mas para FHE, não é.

Uma vez que você aceita que o FHE depende fundamentalmente de uma suposição de não colusão/não comprometimento para a decriptação por limiar, há uma vantagem de segurança muito modesta em relação ao MPC: Os detentores de chaves estão menos expostos do que no MPC. Eles apenas decriptam, não computam a função.

O lado negativo é que a maioria das FHE não garante integridade, então para adicionar isso você precisa, por exemplo, de provas zk. Portanto, a avaliação FHE totalmente não confiável para privacidade e integridade é ainda mais cara.