Пороговые полностью гомоморфные криптосистемы

9

недавно Крэйг Джентри опубликовал первую схему шифрования с открытым ключом (через открытый текст {0,1}), которая полностью гомоморфна, что означает, что можно эффективно и компактно оценивать AND и XOR на зашифрованных открытых текстах без знания секретного ключа дешифрования.

Мне интересно, есть ли какой-нибудь очевидный способ превратить эту криптосистему с открытым ключом в пороговую криптосистему с открытым ключом, чтобы каждый мог шифровать, И и XOR, но дешифрование возможно только в том случае, если некоторые (все) люди, разделяющие ключ, объединяются.

Я был бы заинтересован в любых идеях на эту тему.

заранее спасибо

ФВ


источник
2
Это скорее любопытство и не относится непосредственно к вашему вопросу. Интересно, что поскольку схема полностью гомоморфна, партия может гомоморфно и рекурсивно создавать пары открытый ключ-закрытый ключ.
Росс Снайдер
1
Ближе к ответу на ваш вопрос, но все еще недостаточно, чтобы опубликовать в качестве ответа: FHE является совершенно новым - есть только две предложенные схемы (обе Джентри). Насколько мне известно, на Threshold FHE не было опубликовано ни одной работы. Однако может быть работа, которая была проделана на частично гомоморфных системах (таких как Paillier, Goldwasser и т. Д.). Я начал бы искать там, чтобы видеть, могут ли результаты быть легко 'перенесены' в FHE.
Росс Снайдер

Ответы:

6

В новой статье Стивена Майерса, Моны Серджи и Абхи Шелата об электронной печати « Пороговое полностью гомоморфное шифрование и безопасные вычисления » заявлена ​​пороговая полностью гомоморфная схема шифрования.

Из их аннотации:

...

Джентри [Gen09a] показывает, как объединить обе идеи с полностью гомоморфным шифрованием для создания безопасного многопартийного протокола, который позволяет оценивать функцию с использованием связи, независимой от описания схемы и вычисления, полиномиального по, В этой статье рассматриваются основные недостатки подхода Джентри: мы исключаем использование методов не черного ящика, которые присущи компилятору Наора и Ниссима.ее|е|

Для этого мы покажем, как модифицировать полностью гомоморфную конструкцию шифрования van Dijk et al. [vDGHV10] быть порогом полностью гомоморфных схем шифрования.

...

В целом, мы создаем первый защищенный многопартийный протокол вычисления черного ящика, который позволяет оценивать функцию с использованием связи, которая не зависит от описания схемыее .

user686
источник
3

Я не знаю специфики схемы Джентри, но все другие пороговые криптосистемы требуют двух гомоморфизмов (подразумевается третий), касающихся открытого и секретного ключей:

  1. Кг(sК1)Кг(sК2)знак равноКг(sК1sК2)
  2. сзнак равноЕNспК1(ЕNспК2(м,р))знак равноЕNспК1пК2(м,р)
  3. мзнак равноDесsК1(DесsК2(с))знак равноDесsК1sК2(с)

(Кг это функция, которая дает секретный ключ, возвращает открытый ключ: пКзнак равноКг(sК).)

Если эти условия выполняются, для некоторых операций а также , тривиально возможно сделать распределенное (n-out-of-n) дешифрование, и это может быть возможно для порогового значения (m-out-of-n), если операция например, достаточно для интерполяции полинома.

Например, в пороге Эльгамал, это дополнение, и это позволяет интерполяцию.

Хотя никто не ответил на первоначальный вопрос, возможно, кто-то может ответить на эти вопросы: (1) Соответствует ли FHE Джентри приведенному выше плану (с точки зрения Кг, ЕNс, Dес). (2) Существуют ли такие гомоморфизмы между открытым и секретным ключами? (3) Если да, то каковы операции?

Кроме того, я не говорю, что эти условия необходимы для пороговой криптосистемы. Отсутствие такого гомоморфизма не означает (насколько мне известно), что пороговое дешифрование невозможно.

PulpSpy
источник