Soglia Cryptosystems completamente omomorfa

9

di recente, Craig Gentry ha pubblicato il primo schema di crittografia a chiave pubblica (nello spazio di testo in chiaro {0,1}) che è completamente omomorfo, il che significa che è possibile valutare in modo efficiente e compatto AND e XOR su testi crittografati senza conoscere la chiave di decrittazione segreta.

Mi chiedo se esiste un modo ovvio di trasformare questo sistema crittografico a chiave pubblica in un sistema crittografico di soglia a chiave pubblica in modo tale che tutti possano crittografare, AND e XOR, ma la decrittografia è possibile solo se alcune (tutte) persone condividono il team chiave.

Sarei interessato a qualsiasi idea su tale argomento.

Grazie in anticipo

fw

cr.crypto-security circuit-complexity homomorphic-encryption

2

Questa è più di una curiosità e non si applica direttamente alla tua domanda. È interessante notare che, dal momento che lo schema è completamente omomorfo, una parte può creare coppie di chiavi pubblico-privato in modo omomorfico e ricorsivo.

— Ross Snider,

1

Più vicino a rispondere alla tua domanda, ma ancora non abbastanza per pubblicare come risposta: FHE è completamente nuovo - ci sono solo due schemi proposti (entrambi da Gentry). Per quanto ne sappia, nessun lavoro è stato pubblicato su Threshold FHE. Tuttavia, potrebbe esserci del lavoro su sistemi parzialmente omomorfi (come Paillier, Goldwasser, ecc.). Vorrei iniziare a cercare lì per vedere se i risultati possono essere facilmente trasferiti su FHE.

— Ross Snider,

6

Un nuovo articolo di Steven Myers, Mona Sergi e Abhi Shelat su eprint, " Soglia di crittografia completamente omomorfa e calcolo sicuro ", rivendica una soglia di schema di crittografia completamente omomorfa.

Dal loro abstract:

...

Gentry [Gen09a] mostra come combinare entrambe le idee con una crittografia completamente omomorfa al fine di costruire un protocollo multipartitico sicuro che consenta la valutazione di una funzione usando una comunicazione indipendente dalla descrizione del circuito di e il calcolo polinomiale in. Questo documento affronta i principali svantaggi dell'approccio di Gentry: eliminiamo l'uso di metodi non black box inerenti al compilatore di Naor e Nissim. $f$ $f$ $|f|$

Per fare ciò mostriamo come modificare la costruzione della crittografia completamente omomorfa di van Dijk et al. [vDGHV10] come schemi di crittografia a soglia completamente omomorfa.

...

$f$ $f$

— user686
fonte

3

Non conosco i dettagli dello schema di Gentry, ma tutti gli altri sistemi crittografici a soglia richiedono due omomorfismi (il terzo è implicito) relativi al pubblico e alle chiavi segrete:

${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
$c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
$m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

${\sf KG}$ $pk={\sf KG}(sk)$

$\oplus$ $\otimes$ $\oplus$

$\oplus$

${\sf KG}$ ${\sf Enc}$ ${\sf Dec}$

Inoltre, non sto dicendo che queste condizioni sono necessarie per avere un sistema crittografico di soglia. La mancanza di un tale omomorfismo non implica (per quanto ne sappia) che la decrittazione della soglia sia impossibile.

— PulpSpy
fonte