Limite de sistemas de criptografia totalmente homomórficos

recentemente, Craig Gentry publicou o primeiro esquema de criptografia de chave pública (sobre o espaço de texto sem formatação {0,1}) que é totalmente homomórfico, o que significa que é possível avaliar de forma eficiente e compacta AND e XOR em textos simples criptografados sem o conhecimento da chave de descriptografia secreta.

Gostaria de saber se existe alguma maneira óbvia de transformar esse sistema de criptografia de chave pública em um sistema de criptografia de chave pública de limite, para que todos possam criptografar AND e XOR, mas a descriptografia só é possível se algumas (todas) pessoas que compartilham a chave se unirem.

Eu estaria interessado em alguma idéia sobre esse assunto.

desde já, obrigado

fw

Um novo artigo de Steven Myers, Mona Sergi e Abhi Shelat sobre eprint, " Limiar de criptografia totalmente homomórfica e computação segura ", reivindica um esquema de criptografia de limiar totalmente homomórfico.

De seu resumo:

...

Gentry [Gen09a] mostra como combinar as duas idéias com criptografia totalmente homomórfica, a fim de construir um protocolo multipartidário seguro que permita avaliar uma função usando comunicação independente da descrição do circuito e computação polinomial em. Este artigo aborda as principais desvantagens da abordagem de Gentry: eliminamos o uso de métodos que não sejam da caixa preta que são inerentes ao compilador de Naor e Nissim.$f$$f$$|f|$

Para fazer isso, mostramos como modificar a construção de criptografia totalmente homomórfica de van Dijk et al. [vDGHV10] para ser o limite de esquemas de criptografia totalmente homomórficos.

...

No total, construímos o primeiro protocolo de computação multipartidário de caixa preta que permite a avaliação de uma função usando comunicação independente da descrição do circuito de$f$$f$ .

Não conheço as especificidades do esquema de Gentry, mas todos os outros sistemas de criptografia de limite requerem dois homomorfismos (o terceiro está implícito) relacionados às chaves pública e secreta:

1. ${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
2. $c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
3. $m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

( é uma função que, dada a chave secreta, retorna a chave pública: .)${\sf KG}$$pk={\sf KG}(sk)$

Se essas condições se mantiverem, para algumas operações e , é trivalentemente possível fazer descriptografia distribuída (n-fora-de-n) e pode ser possível para o limiar (m-fora-de-n) se o operação é, por exemplo, suficiente para interpolar um polinômio.$\oplus$$\otimes$$\oplus$

Por exemplo, no limiar Elgamal, é uma adição e isso permite interpolação.$\oplus$

Mesmo que ninguém tenha respondido à pergunta original, talvez alguém possa responder a estas perguntas: (1) O FHE de Gentry se encaixa no esquema acima (em termos de , , ). (2) Existem tais homomorfismos entre as chaves pública e secreta? (3) Em caso afirmativo, quais são as operações?${\sf KG}$${\sf Enc}$${\sf Dec}$

Além disso, não estou dizendo que essas condições são necessárias para ter um sistema de criptografia de limite. A falta de tal homomorfismo não implica (que eu saiba) que a descriptografia do limiar seja impossível.