Не существует такого понятия, как полностью гомоморфное расшифрование. Каждый раз, когда вы видите систему, использующую FHE для обработки ваших конфиденциальных данных, помните: у кого-то есть ключ. Если это не вы, доверяете ли вы им?

Учитывая Enc(data), FHE позволяет вам вычислять Enc(f(data)) для любого f. Но кто-то должен расшифровать результат! Существует два сценария a) Ваши данные, ваш ключ, вы просто аутсорсили вычисления. Безопасно, но редко стоит накладных расходов FHE. b) Это секретные данные нескольких людей, так кто получает ключ?

Сценарий B — это когда мы видим предложенные протоколы в реальной жизни: темные пулы, частные системы противодействия отмыванию денег и т. д. Никто не доверяет одному человеку держать ключ, есть комитет для порогового расшифрования. Но безопасность всего решения зависит от комитета, а не только от "шифрования"!

Чтобы прояснить, существуют законные случаи использования этого, и некоторые очень впечатляющие исследования. НО обсуждение безопасности для них должно быть: "хорошо, где ключ?"

Поскольку это, похоже, было упущено из виду: суть в том, что протокол FHE, включающий несколько сторон, имеет те же предположения о безопасности и компромиссы, что и протокол MPC. Кто держит ключи/доли и следует ли им доверять, чтобы они не сговаривались? Для MPC это хорошо понимается, но для FH - нет.

Поскольку это, похоже, было упущено из виду: суть в том, что протокол FHE, включающий несколько сторон, имеет те же предположения о безопасности и компромиссы, что и протокол MPC. Кто держит ключи/доли и следует ли им доверять, чтобы они не сговаривались? Для MPC это хорошо понимается, но для FHE — нет.

Как только вы примете, что FHE в основном зависит от предположения о неколлюзии/некомпромиссе для порогового расшифрования, существует одно очень скромное преимущество в безопасности по сравнению с MPC: Держатели ключей менее подвержены риску, чем в MPC. Они только расшифровывают, они не вычисляют функцию.

Обратная сторона заключается в том, что большинство FHE не обеспечивает целостность, поэтому для этого вам нужны, например, zk-доказательства. Таким образом, полностью ненадежная оценка FHE для конфиденциальности и целостности еще более затратна.