Пороговые полностью гомоморфные криптосистемы

недавно Крэйг Джентри опубликовал первую схему шифрования с открытым ключом (через открытый текст {0,1}), которая полностью гомоморфна, что означает, что можно эффективно и компактно оценивать AND и XOR на зашифрованных открытых текстах без знания секретного ключа дешифрования.

Мне интересно, есть ли какой-нибудь очевидный способ превратить эту криптосистему с открытым ключом в пороговую криптосистему с открытым ключом, чтобы каждый мог шифровать, И и XOR, но дешифрование возможно только в том случае, если некоторые (все) люди, разделяющие ключ, объединяются.

Я был бы заинтересован в любых идеях на эту тему.

заранее спасибо

ФВ

В новой статье Стивена Майерса, Моны Серджи и Абхи Шелата об электронной печати « Пороговое полностью гомоморфное шифрование и безопасные вычисления » заявлена ​​пороговая полностью гомоморфная схема шифрования.

Из их аннотации:

...

Джентри [Gen09a] показывает, как объединить обе идеи с полностью гомоморфным шифрованием для создания безопасного многопартийного протокола, который позволяет оценивать функцию с использованием связи, независимой от описания схемы и вычисления, полиномиального по, В этой статье рассматриваются основные недостатки подхода Джентри: мы исключаем использование методов не черного ящика, которые присущи компилятору Наора и Ниссима.$f$$f$$|f|$

Для этого мы покажем, как модифицировать полностью гомоморфную конструкцию шифрования van Dijk et al. [vDGHV10] быть порогом полностью гомоморфных схем шифрования.

...

В целом, мы создаем первый защищенный многопартийный протокол вычисления черного ящика, который позволяет оценивать функцию с использованием связи, которая не зависит от описания схемы$f$$f$ .

Я не знаю специфики схемы Джентри, но все другие пороговые криптосистемы требуют двух гомоморфизмов (подразумевается третий), касающихся открытого и секретного ключей:

1. ${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
2. $c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
3. $m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

(${\sf KG}$ это функция, которая дает секретный ключ, возвращает открытый ключ: $pk={\sf KG}(sk)$.)

Если эти условия выполняются, для некоторых операций $\oplus$ а также $\otimes$, тривиально возможно сделать распределенное (n-out-of-n) дешифрование, и это может быть возможно для порогового значения (m-out-of-n), если операция $\oplus$ например, достаточно для интерполяции полинома.

Например, в пороге Эльгамал, $\oplus$ это дополнение, и это позволяет интерполяцию.

Хотя никто не ответил на первоначальный вопрос, возможно, кто-то может ответить на эти вопросы: (1) Соответствует ли FHE Джентри приведенному выше плану (с точки зрения ${\sf KG}$, ${\sf Enc}$, ${\sf Dec}$). (2) Существуют ли такие гомоморфизмы между открытым и секретным ключами? (3) Если да, то каковы операции?

Кроме того, я не говорю, что эти условия необходимы для пороговой криптосистемы. Отсутствие такого гомоморфизма не означает (насколько мне известно), что пороговое дешифрование невозможно.