Täielikult homomorfne krüpteering: tehnoloogia, mis arvutab saladustel

Craig Gentry tõestas selle võimalikkuse aastal 2009 pärast umbes kolmekümmend aastat kestnud küsimust, kas see üldse eksisteerida saab. Mõte on järgmine: sa krüpteerid oma andmed, annad need kellegile teisele, kes teeb nendega arvutusi, tagastab sulle tulemuse ja kui sa selle tulemuse dekrüpteerid, on see õige. Arvutusi teinud isik ei näinud kunagi sinu andmeid – mitte korrastatud versiooni, mitte räsi (hash), vaid tegelikke alusandmeid, millel ei olnud kunagi, isegi mikrosekundiks, avalikuks ilmumise võimalust. See on täielikult homomorfne krüpteering (FHE) – krüpteeringuvorm, mis võimaldab kolmandal poolel teha arvutusi sinu andmetel ilma neid kunagi dekrüpteerimata.

Siis – mis on FHE (täielikult homomorfne krüpteering)? See ei ole trikk. See on teatud krüpteerimisskeemide matemaatiline omadus. Sa saadad kellegi teisele lukustatud kasti. Ta korraldab sisu uuesti. Sa avad kasti ja korraldus on õige. Tal polnud kunagi võtit.

Miks alternatiivid ei sobi

Enne FHE tööpõhimõtete läbikäimist on väärt täpselt määrata probleem, millele see lahendust pakub, sest enamik „tundliku andmepõhiste arvutuste“ lähenemisi sisaldab kompromisse, mille inimesed on harjunud vastu võtma ilma küsimata.

Standardlähenemine: krüpteeri andmed paigas ja liikumisel, dekrüpteeri enne töötlemist. Sinu pilveteenusepakkuja, sinu analüütikateenusepakkuja, sinu masinõppe (ML) teenus – kõik nad vajavad oma töö tegemiseks tekstilist (plaintext) andmeid. Sa pead neile usaldust andma vajadusest lähtuvalt. See toimib seni, kuni see enam ei toimi: andmerikkumine, kohtukäsk, sisemine oht või valesti konfigureeritud juurdepääsupoliitika.

Usaldusväärsete täitmiskeskkondade (TEEs), näiteks Intel SGX-i, abil luuakse isegi operatsioonisüsteemi poolt lugematu kaitstud mäluala. Tundlikud arvutused toimuvad turvatud keskkonnas (enclave). See on tõesti kasulik, kuid sa usaldad riistvaratootjat ja paned oma raha sellele, et turvatud keskkonna implementatsioonil ei ole kasutatavaid vigu. SGX-il on neid juba mitu esinenud.

Diferentsiaalkaitse lisab päringutulemustele kalibreeritud statistilist müra, mis piirab seda, kui palju saab rünnakute korral üksikisikute kohta kokkuvõetud tulemustest järeldada. See kaitseb kokkuvõtteid, mitte aga üksikute kirjete põhjal tehtavaid arvutusi.

FHE on ainus lähenemine, kus andmeid serveris ei dekrüpteerita üldse ja turvalisustõend ei nõua mingi riistvara ega kolmanda poole usaldamist. Garantii on matemaatiline.

Mehaanika lühidalt

FHE-skeemid defineerivad aritmeetilised tehted otse krüpteeritud andmetel (tekstidel). Homomorfne liitmine ja homomorfne korrutamine krüpteeritud väärtustel annavad dekrüpteerimisel sama tulemuse, nagu neid tehteid tehtaks alusandmetel (plaintexts).

Kaks tehet võib tunduda piiratud. Ei ole. Liitmine ja korrutamine binaarsetes väliades annab sulle AND- ja XOR-väravate, mis omakorda annavad suvalised digitaalsed ahelad. Iga funktsioon, mida arvuti suudab arvutada, saab väljendada nende kahe tehte kaudu. See on sild „aritmeetikast krüpteeritud arvudele“ kuni „suvaliste arvutuste tegemiseni krüpteeritud andmetel“.

Struktuuriline probleem on müra. Iga FHE-tehe lisab krüpteeritud andmetele väikese vea. Vead kogunevad. Teha liiga palju tehteid ja müra ületab signaali – krüpteeritud andmed muutuvad dekrüpteerimatuks. Gentry teadlikkus oli „bootstrapping“: krüpteeritud andmete dekrüpteerimisahelat hinnata homomorfselt, et saada uus, väikse müraga krüpteeritud andmehulk, millel on sama alusandmete väärtus. Teisisõnu: sa teed dekrüpteerimist krüpteerimise sees. Müra nullatakse ilma andmete kunagi avalikuks ilmumiseta.

Skeemid, mis suudavad käsitleda piiratud arvu tehteid enne, kui müra muutub fataalseks, nimetatakse tasandatud (leveled) või osaliselt homomorfseteks (somewhat homomorphic). Just bootstrapping annab FHE-le sõna „täielikult“.

Kus seda praegu kasutatakse

Enamiku rakenduste puhul on FHE ikka veel liiga aeglane. Tänapäevased rakendused jagavad ühise profiili: piiratud ahela sügavus, andmete väga kõrge tundlikkus ja ühel poolel osapool, kes suudab arvutuskulud endale kanda vastutasuks matemaatilisele privaatsusgarantiile.

Privaatne ML-inferents on selgeim sobivus. Klientil on tundlikud sisendid. Serveril on omaniklik mudel. FHE võimaldab serveril hinnata mudelit krüpteeritud sisenditel ja tagastada krüpteeritud tulemuse. Mõlemad osapooled ei avalda seda, mida nad kaitsevad. Zama pakub seda konkreetsete mudeliarhitektuuride jaoks. Ahela sügavus on ennustatav ja hallatav.

Privaatne genoomianalüüs on olnud alates aastast 2014 iDASH-i krüpteeritud genoomikavõistluste algusest alates benchmarkeeritud töökoormus. Haiguseriskihinnangud, genoomilised seostusuuringud ja järjestuste ühildamine on kõik FHE-põhjalises implementatsioonis. Genoomandmed on üks vähestest andmetüüpidest, kus privaatsusrisk on nii püsiv kui ka laieneb isikutele, kes pole kunagi andnud loa midagi jagada.

Konfidentsiaalsed finantspäringud hõlmavad vahemikupäringuid, krüpteeritud andmebaasipäringuid ning krüpteeritud tehingulugude põhjal pettuste hindamist. Need töökoormused käivituvad piisavalt harva ja andmed on piisavalt tundlikud, et arvutuslik ülekoormus oleks aktsepteeritav.

Blockchaini konfidentsiaalsus on aktiivne valdkond. Tarkvarakontraktid (smart contracts) täidetakse vaikimisi avalikult ketil. TFHE-põhjalised süsteemid võimaldavad kontrakti loogikat täita krüpteeritud olekus, mis võimaldab nt privaatseid auksioone, konfidentsiaalseid hääletusi ja sulgemise pakkumismeetodeid (sealed-bid), kus õigsus on avalikult verifitseeritav, kuid sisendid ei ole avalikud. Zama fhEVM-projekt on just sellele suunatud.

Turvalisuse alused

FHE turvalisus taandub Learning With Errors (LWE) probleemi ja selle ringi varianti (RLWE) raskusele. Need probleemid küsivad: antud palju ligikaudseid lineaarseid võrrandeid üle ringi või võre, leia saladus. Ühtegi polünoomiaegset algoritmi ei ole teada nii klassikalise kui ka kvantarvutite jaoks.

See seab FHE post-kvantkrüptograafia perekonda. NIST-i post-kvantstandardiseerimine põhineb LWE-perekonna probleemidel, mis annab alusohutuslike eelduste suhtes täiendavat uurimist ja usaldust. Samas on LWE-d tõsiselt rünnatud vähem kui 20 aastat. RSA ja elliptilised kõverad on 40+ aastat läbi elanud ebaõnnestunud krüptanalüüsi. Usaldustase on kõrge, kuid mitte identne.

Parameetrid reguleerivad turvalisust. Polünoomiaste, mooduli suurus ja müra jaotus tuleb valida nii, et LWE-eksemplari raskus vastaks soovitud turvalisustasemele. HomomorphicEncryption.org konsortsium avaldab soovituslikud parameetriseadmed. Soovitatakse kindlasti kasutada raamatukogu vaikimisi seadeid, mis on valideeritud nende soovituste põhjal, mitte kohandatud konfiguratsioone.

Konkurentne kontekst

FHE on üks mitmest privaatsust säilitava arvutuse tehnoloogiast ja neid kasutatakse üha rohkem koos, mitte kui asenduslahendusi.

Turvaline mitmepoolne arvutus (MPC) jaotab arvutuse mitme osapoole vahel nii, et ükski osapool ei näe täielikku sisendit. Sellepärast on see tihti kiirem kui FHE konkreetsete funktsioonide jaoks ja see sobib loomulikult, kui osapooled on ette antud. FHE töötab ühe usaldusväärsete serveriga.

Nullteadmise tõestused (ZKPs) võimaldavad ühel osapoolel tõestada, et väide on tõene, ilma et ta avaldaks tõendit (witness). ZKP-d tõestavad; FHE arvutab. Nad on täiendavad ja reaalsetes süsteemides kasutatakse mõlemat: FHE privaatsed arvutused, ZKP-d arvutuse õigsuse kontrollimiseks.

FHE ja MPC kombinatsioonist koosnevad hübridsed protokollid on aktiivne teadusuuringute valdkond. Ükski tehnoloogia üksi ei rahulda kõiki nõudeid; nende kombinatsioon võimaldab paremat jõudlust ja tugevamaid garantiisid kui igaüks eraldi.