Гомоморфное шифрование

Форма шифрования, позволяющая производить вычисления на основе шифртекстов.

Гомоморфное шифрование — это форма шифрования , которая позволяет выполнять вычисления над зашифрованными данными без их предварительной расшифровки. Полученные вычисления остаются в зашифрованном виде, который при расшифровке дает результат, идентичный тому, который был бы получен, если бы операции выполнялись над незашифрованными данными. Гомоморфное шифрование может использоваться для сохранения конфиденциальности аутсорсингового хранения и вычислений . Это позволяет шифровать данные и передавать их на аутсорсинг в коммерческие облачные среды для обработки, все время будучи зашифрованными.

Гомоморфное шифрование устраняет необходимость обработки данных в открытом виде, тем самым предотвращая атаки, которые позволили бы злоумышленнику получить доступ к этим данным во время их обработки, используя повышение привилегий . ^[1]

Для конфиденциальных данных, таких как информация о здравоохранении, гомоморфное шифрование может использоваться для включения новых услуг путем устранения барьеров конфиденциальности, препятствующих обмену данными, или повышения безопасности существующих услуг. Например, предиктивная аналитика в здравоохранении может быть трудно применима через стороннего поставщика услуг из-за проблем с конфиденциальностью медицинских данных . Но если поставщик услуг предиктивной аналитики мог бы работать с зашифрованными данными вместо этого, не имея ключей дешифрования, эти проблемы конфиденциальности уменьшаются. Более того, даже если система поставщика услуг будет скомпрометирована, данные останутся в безопасности. ^[2]

Описание

Гомоморфное шифрование — это форма шифрования с дополнительной возможностью оценки для вычислений над зашифрованными данными без доступа к секретному ключу . Результат такого вычисления остается зашифрованным. Гомоморфное шифрование можно рассматривать как расширение криптографии с открытым ключом ^{[ как? ]} . Гомоморфный относится к гомоморфизму в алгебре: функции шифрования и дешифрования можно рассматривать как гомоморфизмы между пространствами открытого текста и зашифрованного текста.

Гомоморфное шифрование включает в себя несколько типов схем шифрования, которые могут выполнять различные классы вычислений над зашифрованными данными. ^[3] Вычисления представлены либо в виде булевых, либо в виде арифметических схем. Некоторые распространенные типы гомоморфного шифрования — частично гомоморфное, в некоторой степени гомоморфное , полностью гомоморфное и полностью гомоморфное шифрование:

• Частично гомоморфное шифрование охватывает схемы, которые поддерживают оценку цепей, состоящих только из одного типа вентилей, например, сложения или умножения.
• Несколько гомоморфных схем шифрования могут оценивать два типа вентилей, но только для подмножества схем.
• Уровневое полностью гомоморфное шифрование поддерживает оценку произвольных схем, состоящих из нескольких типов вентилей ограниченной (заранее определенной) глубины.
• Полностью гомоморфное шифрование (FHE) позволяет оценивать произвольные схемы, состоящие из нескольких типов вентилей неограниченной глубины, и является наиболее сильным понятием гомоморфного шифрования.

Для большинства гомоморфных схем шифрования мультипликативная глубина схем является основным практическим ограничением при выполнении вычислений над зашифрованными данными. Гомоморфные схемы шифрования по своей природе пластичны . С точки зрения пластичности гомоморфные схемы шифрования обладают более слабыми свойствами безопасности, чем негомоморфные схемы.

История

Гомоморфные схемы шифрования были разработаны с использованием различных подходов. В частности, полностью гомоморфные схемы шифрования часто группируются в поколения, соответствующие базовому подходу. ^[4]

Предварительно FHE

Проблема построения полностью гомоморфной схемы шифрования была впервые предложена в 1978 году, в течение года после публикации схемы RSA. ^[5] Более 30 лет было неясно, существует ли решение. В течение этого периода частичные результаты включали следующие схемы:

• Криптосистема RSA (неограниченное число модульных умножений)
• Криптосистема Эль-Гамаля (неограниченное число модульных умножений)
• Криптосистема Гольдвассера–Микали (неограниченное число операций «исключающее ИЛИ» )
• Криптосистема Беналоха (неограниченное количество модульных дополнений)
• Криптосистема Пайе (неограниченное количество модульных дополнений)
• Система Сандера-Янга-Юнга (спустя более 20 лет решил проблему для логарифмических глубинных схем) ^[6]
• Криптосистема Бонеха–Гоха–Ниссима (неограниченное количество операций сложения, но не более одной операции умножения) ^[7]
• Криптосистема Ишая-Паскина ( программы ветвления полиномиального размера ) ^[8]

FHE первого поколения

Крейг Джентри , используя криптографию на основе решётки , описал первую правдоподобную конструкцию для полностью гомоморфной схемы шифрования в 2009 году. ^[9] Схема Джентри поддерживает как операции сложения, так и умножения над шифртекстами, из которых можно построить схемы для выполнения произвольных вычислений. Конструкция начинается с несколько гомоморфной схемы шифрования, которая ограничена оценкой полиномов низкой степени по зашифрованным данным; она ограничена, потому что каждый шифртекст в некотором смысле зашумлён, и этот шум растёт по мере сложения и умножения шифртекстов, пока в конечном итоге шум не сделает полученный шифртекст неразборчивым.

Затем Джентри показывает, как немного изменить эту схему, чтобы сделать ее самозагружаемой , т. е. способной оценивать свою собственную схему дешифрования и затем как минимум еще одну операцию. Наконец, он показывает, что любая самозагружаемая несколько гомоморфная схема шифрования может быть преобразована в полностью гомоморфное шифрование посредством рекурсивного самовстраивания. Для «шумной» схемы Джентри процедура самозагрузки эффективно «обновляет» шифротекст, применяя к нему процедуру дешифрования гомоморфно, тем самым получая новый шифротекст, который шифрует то же значение, что и раньше, но имеет меньший шум. Периодически «обновляя» шифротекст всякий раз, когда шум становится слишком большим, можно вычислить произвольное количество сложений и умножений, не увеличивая шум слишком сильно.

Джентри основывал безопасность своей схемы на предполагаемой сложности двух проблем: определенных наихудших проблем над идеальными решетками и проблемы суммы разреженного (или маловесного) подмножества. Кандидатская диссертация Джентри ^[10] содержит дополнительные подробности. Реализация Джентри-Халеви исходной криптосистемы Джентри показала время около 30 минут на базовую битовую операцию. ^[11] Обширная работа по проектированию и реализации в последующие годы улучшила эти ранние реализации на много порядков величины производительности времени выполнения.

В 2010 году Мартен ван Дейк, Крейг Джентри , Шай Халеви и Винод Вайкунтанатан представили вторую полностью гомоморфную схему шифрования, ^[12] которая использует многие из инструментов конструкции Джентри, но которая не требует идеальных решеток . Вместо этого они показывают, что несколько гомоморфный компонент идеальной решетчатой ​​схемы Джентри может быть заменен очень простой несколько гомоморфной схемой, которая использует целые числа. Таким образом, схема концептуально проще, чем идеальная решетчатая схема Джентри, но имеет схожие свойства в отношении гомоморфных операций и эффективности. Несколько гомоморфный компонент в работе Ван Дейка и др. похож на схему шифрования, предложенную Левиэлем и Наккашем в 2008 году, ^[13] а также на ту, которая была предложена Брэмом Коэном в 1998 году. ^[14]

Однако метод Коэна даже не является аддитивно гомоморфным. Схема Левиила–Наккаша поддерживает только сложения, но ее можно модифицировать, чтобы она также поддерживала небольшое количество умножений. Многие усовершенствования и оптимизации схемы Ван Дейка и др. были предложены в серии работ Жана-Себастьена Корона, Танкреда Лепуана, Аврадипа Мандала, Дэвида Наккаша и Мехди Тибуши. ^{[15] [16] [17] [18]} Некоторые из этих работ также включали реализации полученных схем.

FHE второго поколения

Гомоморфные криптосистемы этого поколения являются производными от методов, которые были разработаны в 2011–2012 годах Звикой Бракерски , Крейгом Джентри , Винодом Вайкунтанатаном и другими. Эти инновации привели к разработке гораздо более эффективных частично и полностью гомоморфных криптосистем. К ним относятся:

• Схема Бракерски-Джентри-Вайкунтанатана (BGV, 2011), ^[19] основанная на методах Бракерски-Вайкунтанатана; ^[20]
• Схема на основе NTRU , разработанная Лопес-Альтом, Тромером и Вайкунтанатаном (LTV, 2012); ^[21]
• Схема Бракерского/Фана-Веркаутерена (BFV, 2012), ^{[22] основанная на} масштабно-инвариантной криптосистеме Бракерского ; ^[23]
• Схема на основе NTRU , разработанная Босом, Лаутером, Лофтусом и Наеригом (BLLN, 2013), ^[24] построенная на LTV и масштабно-инвариантной криптосистеме Бракерски; ^[23]

Безопасность большинства этих схем основана на сложности проблемы (Ring) Learning With Errors (RLWE), за исключением схем LTV и BLLN, которые полагаются на перерастянутый ^[25] вариант вычислительной проблемы NTRU . Этот вариант NTRU впоследствии оказался уязвимым к атакам на решетку подполей ^{[26] [25]} , поэтому эти две схемы больше не используются на практике.

Все криптосистемы второго поколения по-прежнему следуют базовой схеме оригинальной конструкции Джентри, а именно, они сначала создают до некоторой степени гомоморфную криптосистему, а затем преобразуют ее в полностью гомоморфную криптосистему с помощью самонастройки.

Отличительной чертой криптосистем второго поколения является то, что все они характеризуются гораздо более медленным ростом шума во время гомоморфных вычислений. Дополнительные оптимизации Крейга Джентри , Шаи Халеви и Найджела Смарта привели к криптосистемам с почти оптимальной асимптотической сложностью: выполнение операций над данными, зашифрованными с параметром безопасности, имеет сложность всего . ^{[27] [28] [29]} Эти оптимизации основаны на методах Смарта-Веркаутерена, которые позволяют упаковывать множество значений открытого текста в один шифртекст и работать со всеми этими значениями открытого текста в режиме SIMD . ^[30] Многие из достижений в этих криптосистемах второго поколения были также перенесены в криптосистему над целыми числами. ^{[17] [18]} ${\displaystyle T}$ ${\displaystyle k}$ ${\displaystyle T\cdot \mathrm {polylog} (k)}$

Еще одной отличительной особенностью схем второго поколения является то, что они достаточно эффективны для многих приложений даже без вызова самозагрузки, работая вместо этого в режиме выравнивания FHE.

Третье поколение FHE

В 2013 году Крейг Джентри , Амит Сахаи и Брент Уотерс (GSW) предложили новую методику построения схем FHE, которая позволяет избежать дорогостоящего шага «релинеаризации» в гомоморфном умножении. ^[31] Звика Бракерски и Винод Вайкунтанатан заметили, что для определенных типов схем криптосистема GSW характеризуется еще более медленной скоростью роста шума, а следовательно, лучшей эффективностью и более высокой безопасностью. ^[32] Затем Якоб Альперин-Шериф и Крис Пейкерт описали очень эффективную методику самонастройки, основанную на этом наблюдении. ^[33]

Эти методы были дополнительно улучшены для разработки эффективных кольцевых вариантов криптосистемы GSW: FHEW (2014) ^[34] и TFHE (2016). ^[35] Схема FHEW была первой, которая показала, что, обновляя шифротексты после каждой отдельной операции, можно сократить время начальной загрузки до доли секунды. FHEW представила новый метод вычисления булевых вентилей на зашифрованных данных, который значительно упрощает начальную загрузку, и реализовала вариант процедуры начальной загрузки. ^[33] Эффективность FHEW была дополнительно улучшена схемой TFHE, которая реализует кольцевой вариант процедуры начальной загрузки ^[36] с использованием метода, аналогичного методу в FHEW.

FHE четвертого поколения

В 2016 году Чон, Ким, Ким и Сон (CKKS) ^[37] предложили приближенную гомоморфную схему шифрования, которая поддерживает особый вид арифметики с фиксированной точкой, который обычно называют блочной арифметикой с плавающей точкой . Схема CKKS включает эффективную операцию масштабирования, которая уменьшает масштаб зашифрованного сообщения после умножения. Для сравнения, такое масштабирование требует начальной загрузки в схемах BGV и BFV. Операция масштабирования делает схему CKKS наиболее эффективным методом оценки полиномиальных приближений и является предпочтительным подходом для реализации приложений машинного обучения, сохраняющих конфиденциальность. Схема вводит несколько ошибок аппроксимации, как недетерминированных, так и детерминированных, которые требуют специальной обработки на практике. ^[38]

В статье 2020 года Байюй Ли и Даниэле Мичианчо обсуждаются пассивные атаки против CKKS, предполагая, что стандартное определение IND-CPA может быть недостаточным в сценариях, где результаты расшифровки являются общими. ^[39] Авторы применяют атаку к четырем современным библиотекам гомоморфного шифрования (HEAAN, SEAL, HElib и PALISADE) и сообщают, что возможно восстановить секретный ключ из результатов расшифровки в нескольких конфигурациях параметров. Авторы также предлагают стратегии смягчения для этих атак и включают в статью Ответственное раскрытие информации, предполагающее, что библиотеки гомоморфного шифрования уже реализовали меры смягчения для атак до того, как статья стала общедоступной. Также была опубликована дополнительная информация о стратегиях смягчения, реализованных в библиотеках гомоморфного шифрования. ^{[40] [41]}

Частично гомоморфные криптосистемы

В следующих примерах для обозначения шифрования сообщения используется обозначение . ${\displaystyle {\mathcal {E}}(x)}$ ${\displaystyle x}$

Незаполненный RSA

Если открытый ключ RSA имеет модуль и показатель шифрования , то шифрование сообщения задается как . Гомоморфное свойство тогда ${\displaystyle n}$ ${\displaystyle e}$ ${\displaystyle m}$ ${\displaystyle {\mathcal {E}}(m)=m^{e}\;{\bmod {\;}}n}$

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=m_{1}^{e}m_{2}^{e}\;{\bmod {\;}}n\\[6pt]&=(m_{1}m_{2})^{e}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(m_{1}\cdot m_{2})\end{aligned}}}$

Эль-Гамаль

В криптосистеме Эль-Гамаля , в циклической группе порядка с генератором , если открытый ключ есть , где , а есть секретный ключ, то шифрование сообщения есть , для некоторого случайного . Гомоморфное свойство тогда есть ${\displaystyle G}$ ${\displaystyle q}$ ${\displaystyle g}$ ${\displaystyle (G,q,g,h)}$ ${\displaystyle h=g^{x}}$ ${\displaystyle x}$ ${\displaystyle m}$ ${\displaystyle {\mathcal {E}}(m)=(g^{r},m\cdot h^{r})}$ ${\displaystyle r\in \{0,\ldots ,q-1\}}$

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{r_{1}},m_{1}\cdot h^{r_{1}})(g^{r_{2}},m_{2}\cdot h^{r_{2}})\\[6pt]&=(g^{r_{1}+r_{2}},(m_{1}\cdot m_{2})h^{r_{1}+r_{2}})\\[6pt]&={\mathcal {E}}(m_{1}\cdot m_{2}).\end{aligned}}}$

Гольдвассер–Микали

В криптосистеме Голдвассера–Микали , если открытый ключ — это модуль и квадратичный невычет , то шифрование бита равно , для некоторого случайного . Гомоморфное свойство тогда равно ${\displaystyle n}$ ${\displaystyle x}$ ${\displaystyle b}$ ${\displaystyle {\mathcal {E}}(b)=x^{b}r^{2}\;{\bmod {\;}}n}$ ${\displaystyle r\in \{0,\ldots ,n-1\}}$

${\displaystyle {\begin{aligned}{\mathcal {E}}(b_{1})\cdot {\mathcal {E}}(b_{2})&=x^{b_{1}}r_{1}^{2}x^{b_{2}}r_{2}^{2}\;{\bmod {\;}}n\\[6pt]&=x^{b_{1}+b_{2}}(r_{1}r_{2})^{2}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(b_{1}\oplus b_{2}).\end{aligned}}}$

где обозначает сложение по модулю 2 (т.е. исключающее ИЛИ ). ${\displaystyle \oplus }$

Беналох

В криптосистеме Бенало , если открытый ключ — это модуль и основание с размером блока , то шифрование сообщения — это , для некоторого случайного . Гомоморфное свойство тогда ${\displaystyle n}$ ${\displaystyle g}$ ${\displaystyle c}$ ${\displaystyle m}$ ${\displaystyle {\mathcal {E}}(m)=g^{m}r^{c}\;{\bmod {\;}}n}$ ${\displaystyle r\in \{0,\ldots ,n-1\}}$

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{m_{1}}r_{1}^{c})(g^{m_{2}}r_{2}^{c})\;{\bmod {\;}}n\\[6pt]&=g^{m_{1}+m_{2}}(r_{1}r_{2})^{c}\;{\bmod {\;}}n\\[6pt]&={\mathcal {E}}(m_{1}+m_{2}\;{\bmod {\;}}c).\end{aligned}}}$

Пайе

В криптосистеме Пайе , если открытый ключ — это модуль и основание , то шифрование сообщения — это , для некоторого случайного . Гомоморфное свойство тогда ${\displaystyle n}$ ${\displaystyle g}$ ${\displaystyle m}$ ${\displaystyle {\mathcal {E}}(m)=g^{m}r^{n}\;{\bmod {\;}}n^{2}}$ ${\displaystyle r\in \{0,\ldots ,n-1\}}$

${\displaystyle {\begin{aligned}{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})&=(g^{m_{1}}r_{1}^{n})(g^{m_{2}}r_{2}^{n})\;{\bmod {\;}}n^{2}\\[6pt]&=g^{m_{1}+m_{2}}(r_{1}r_{2})^{n}\;{\bmod {\;}}n^{2}\\[6pt]&={\mathcal {E}}(m_{1}+m_{2}).\end{aligned}}}$

Другие частично гомоморфные криптосистемы

• Криптосистема Окамото-Утиямы
• Криптосистема Наккаш–Штерн
• Криптосистема Дамгарда–Юрика
• Схема шифрования Сандера – Янга – Юнга
• Криптосистема Боне-Го-Ниссима
• Криптосистема Ишаи–Паскина
• Криптосистема Joye-Libert ^[42]
• Криптосистема Кастаньоса–Лагийоми ^[43]

Полностью гомоморфное шифрование

Криптосистема, которая поддерживает произвольные вычисления на шифротекстах, известна как полностью гомоморфное шифрование (FHE). Такая схема позволяет создавать программы для любой желаемой функциональности, которые могут быть запущены на зашифрованных входах для получения шифрования результата. Поскольку такая программа никогда не нуждается в расшифровке своих входов, она может быть запущена недоверенной стороной без раскрытия ее входов и внутреннего состояния. Полностью гомоморфные криптосистемы имеют большое практическое значение в аутсорсинге частных вычислений, например, в контексте облачных вычислений . ^[44]

Реализации

Ниже представлен список библиотек FHE с открытым исходным кодом, реализующих схемы FHE второго поколения (BGV/BFV), третьего поколения (FHEW/TFHE) и/или четвертого поколения (CKKS).

Существует несколько реализаций полностью гомоморфных схем шифрования с открытым исходным кодом. Реализации схем FHE второго и четвертого поколений обычно работают в режиме выравнивания FHE (хотя самонастройка все еще доступна в некоторых библиотеках) и поддерживают эффективную упаковку данных типа SIMD ; они обычно используются для вычислений на зашифрованных целых числах или действительных/комплексных числах. Реализации схем FHE третьего поколения часто самонастраиваются после каждой операции, но имеют ограниченную поддержку упаковки; изначально они использовались для вычисления булевых схем над зашифрованными битами, но были расширены для поддержки целочисленной арифметики и одномерной оценки функций. Выбор использования схемы второго поколения, третьего или четвертого поколения зависит от типов входных данных и желаемого вычисления.

Стандартизация

В 2017 году исследователи из IBM , Microsoft , Intel , NIST и других сформировали открытый Консорциум по стандартизации гомоморфного шифрования, который поддерживает стандарт безопасности гомоморфного шифрования для сообщества. ^{[67] [68] [69]}

Смотрите также

• Гомоморфное разделение секрета
• Гомоморфные сигнатуры для сетевого кодирования
• Частная биометрия
• Проверяемые вычисления с использованием полностью гомоморфной схемы
• Шифрование на стороне клиента
• Конфиденциальные вычисления
• Симметричное шифрование с возможностью поиска
• Безопасные многосторонние вычисления
• Шифрование с сохранением формата
• Полиморфный код
• Частное множество пересечение

Ссылки

1. Селлерс, Эндрю. «Советский пост: все, что вы хотели знать о гомоморфном шифровании (но боялись спросить)». Forbes . Получено 18 августа 2023 г.
2. Мунджал, Кундан; Бхатия, Рекха (2022). «Систематический обзор гомоморфного шифрования и его вклада в отрасль здравоохранения». Complex & Intelligent Systems . 9 (4): 3759–3786. doi : 10.1007/s40747-022-00756-z . PMC 9062639. PMID  35531323 . 
3. Армкнехт, Фредерик; Бойд, Колин; Гьёстин, Кристиан; Йешке, Анджела; Рейтер, Кристиан; Стрэнд, Мартин (2015). «Руководство по полностью гомоморфному шифрованию». Архив Cryptology ePrint .
4. Винод Вайкунтанатан. «Справочники по гомоморфному шифрованию».
5. RL Rivest, L. Adleman и ML Dertouzos. О банках данных и гомоморфизмах конфиденциальности. В Foundations of Secure Computation , 1978.
6. Сандер, Томас; Янг, Адам Л.; Юнг, Моти (1999). «Неинтерактивные криптографические вычисления для NC/Sup 1/». 40-й ежегодный симпозиум по основам компьютерной науки (Кат. № 99CB37039) . стр. 554–566. doi :10.1109/SFFCS.1999.814630. ISBN 978-0-7695-0409-4. S2CID  1976588.
7. Д. Боне, Э. Го и К. Ниссим. Оценка 2-DNF-формул на шифртекстах. In Theory of Cryptography Conference , 2005.
8. Ишай И. и Паскин А. Оценка ветвящихся программ на зашифрованных данных. In Theory of Cryptography Conference , 2007.
9. Крейг Джентри. Полностью гомоморфное шифрование с использованием идеальных решеток. На 41-м симпозиуме ACM по теории вычислений (STOC) , 2009.
10. Крейг Джентри. «Полностью гомоморфная схема шифрования (диссертация)» (PDF) .
11. Джентри, Крейг; Халеви, Шай (2010). «Реализация полностью гомоморфной схемы шифрования Джентри». Eurocrypt 2011 .
12. Ван Дейк, Мартен; Джентри, Крейг; Халеви, Шай; Винод, Вайкунтанатан (2009). «Полностью гомоморфное шифрование целых чисел». Еврокрипт 2010 .
13. Левиель, Эрик; Наккаш, Дэвид . «Исправление криптографического теста» (PDF) .
14. Коэн, Брэм . "Простое шифрование с открытым ключом". Архивировано из оригинала 2011-10-07.
15. Корон, Жан-Себастьян; Наккаш, Дэвид; Тибуши, Мехди (2011). «Сжатие открытого ключа и переключение модулей для полностью гомоморфного шифрования целых чисел». Eurocrypt 2012 .
16. Coron, Jean-Sébastien; Mandal, Avradip; Naccache, David; Tibouchi, Mehdi (2011). «Полностью гомоморфное шифрование целых чисел с более короткими открытыми ключами». В Rogaway, P. (ред.). Advances in Cryptology – CRYPTO 2011. Lecture Notes in Computer Science. Vol. 6841. pp. 487–504. doi : 10.1007/978-3-642-22792-9_28 . ISBN 978-3-642-22791-2.
17. Coron, Jean-Sébastien; Lepoint, Tancrède; Tibouchi, Mehdi (2013). «Пакетное полностью гомоморфное шифрование целых чисел». Eurocrypt 2013 .
18. Coron, Jean-Sébastien; Lepoint, Tancrède; Tibouchi, Mehdi (2014). «Масштабно-инвариантное полностью гомоморфное шифрование целых чисел». PKC 2014 .
19. Z. Brakerski, C. Gentry и V. Vaikuntanathan. Полностью гомоморфное шифрование без самонастройки, в ITCS 2012
20. З. Бракерски и В. Вайкунтанатан. Эффективное полностью гомоморфное шифрование из (стандартного) LWE. В FOCS 2011 (IEEE)
21. А. Лопес-Альт, Э. Тромер и В. Вайкунтанатан. Многопартийные вычисления на лету в облаке с использованием многоключевого полностью гомоморфного шифрования. В STOC 2012 (ACM)
22. Fan, Junfeng; Vercauteren, Frederik (2012). «Немного практическое полностью гомоморфное шифрование». Архив Cryptology ePrint .
23. Z. Brakerski. Полностью гомоморфное шифрование без переключения модулей из классического GapSVP, в CRYPTO 2012 (Springer)
24. J. Bos, K. Lauter, J. Loftus и M. Naehrig. Улучшенная безопасность для полностью гомоморфной схемы шифрования на основе кольца. В IMACC 2013 (Springer)
25. M. Albrecht, S. Bai и L. Ducas. Атака на решетку подполя на перегруженные предположения NTRU, в CRYPTO 2016 (Springer)
26. Cheon, JH; Jeong, J; Lee, C. (2016). «Алгоритм для задач NTRU и криптоанализ мультилинейной карты GGH без низкоуровневого кодирования нуля». LMS Journal of Computation and Mathematics . 19 (1): 255–266. doi : 10.1112/S1461157016000371 .
27. C. Gentry, S. Halevi и NP Smart. Полностью гомоморфное шифрование с полилогарифмическими накладными расходами. В EUROCRYPT 2012 (Springer)
28. C. Gentry, S. Halevi и NP Smart. Лучшая самонастройка в полностью гомоморфном шифровании. В PKC 2012 (SpringeR)
29. C. Gentry, S. Halevi и NP Smart. Гомоморфная оценка схемы AES. В CRYPTO 2012 (Springer)
30. Смарт, Найджел П.; Веркотерен, Фредерик (2014). «Полностью гомоморфные операции SIMD». Designs, Codes and Cryptography . 71 (1): 57–81. CiteSeerX 10.1.1.294.4088 . doi :10.1007/s10623-012-9720-4. S2CID  11202438. 
31. C. Gentry, A. Sahai и B. Waters. Гомоморфное шифрование с помощью обучения с ошибками: концептуально более простое, асимптотически более быстрое, основанное на атрибутах. В CRYPTO 2013 (Springer)
32. З. Бракерски и В. Вайкунтанатан. Решетчатая FHE так же безопасна, как PKE. В ITCS 2014
33. J. Alperin-Sheriff и C. Peikert. Более быстрая начальная загрузка с полиномиальной ошибкой. В CRYPTO 2014 (Springer)
34. Лео Дукас; Даниэле Мичианчо. "FHEW: Полностью гомоморфная библиотека шифрования". GitHub . Получено 31 декабря 2014 г.
35. Илария Чиллотти; Николя Гама; Мария Георгиева; Малика Изабачене. «Более быстрое полностью гомоморфное шифрование: начальная загрузка менее чем за 0,1 секунды» . Проверено 31 декабря 2016 г.
36. N. Gama, M. Izabachène, PQ Nguyen и X. Xie Structural Lattice Reduction: Generalized Worst-Case to Average-Case Reductions and Homomorphic Cryptosystems. В EUROCRYPT 2016 (Springer)
37. Cheon, Jung Hee; Kim, Андрей; Kim, Miran; Song, Yongsoo (2017). «Гомоморфное шифрование для арифметики приближенных чисел». Takagi T., Peyrin T. (ред.) Advances in Cryptology – ASIACRYPT 2017. ASIACRYPT 2017. Lecture Notes in Computer Science. Vol. 10624. Springer, Cham. pp. 409–437. doi :10.1007/978-3-319-70694-8_15. ISBN 978-3-319-70693-1.
38. Ким А., Пападимитриу А., Поляков Ю. Приближенное гомоморфное шифрование с уменьшенной ошибкой аппроксимации, в CT-RSA 2022 (Springer)
39. Ли, Бейли; Мичианчо, Даниэле (2020). «О безопасности гомоморфного шифрования приближенных чисел» (PDF) . Архив IACR ePrint 2020/1533 .
40. Чон, Чон Хи; Хонг, Сынван; Ким, Духён (2020). «Замечание о безопасности схемы CKKS на практике» (PDF) . Архив IACR ePrint 2020/1581 .
41. "Безопасность CKKS" . Получено 10 марта 2021 г.
42. Бенхамуда, Фабрис; Эрранц, Хавьер; Джой, Марк; Либерт, Бенуа (2017). «Эффективные криптосистемы из символов остатка степени 2k» (PDF) . Журнал криптологии . 30 (2): 519–549. doi :10.1007/s00145-016-9229-5. hdl :2117/103661. S2CID  62063.
43. Кастаньос, Гийем; Лагийоми, Фабьен (2015). «Линейно гомоморфное шифрование из DDH» (PDF) . В Нюберг, Кайса (ред.). Темы криптологии – CT-RSA 2015, The Cryptographer's Track на конференции RSA 2015, Сан-Франциско, Калифорния, США, 20–24 апреля 2015 г. Труды . Заметки лекций по информатике. Том 9048. Springer. стр. 487–505. doi :10.1007/978-3-319-16715-2_26.
44. Даниэле Мичианчо (2010-03-01). "Первый взгляд на Святой Грааль криптографии". Ассоциация вычислительной техники . стр. 96. Получено 2010-03-17 .
45. Чон Хи Чон, Кёхён Хан, Андрей Ким, Миран Ким и Ёнсу Сон. Самонастройка для приблизительного гомоморфного шифрования. В EUROCRYPT 2018 (Springer) .
46. Шай Халеви; Виктор Шоуп. "HElib: Реализация гомоморфного шифрования". GitHub . Получено 31 декабря 2014 г.
47. Microsoft Research. "Microsoft SEAL". Microsoft . Получено 20 февраля 2019 г. .
48. "Библиотека решетчатой ​​криптографии PALISADE" . Получено 1 января 2019 г. .
49. Чон Хи Чон; Кёхён Хан; Андрей Ким; Миран Ким; Ёнсу Сон. «Гомоморфное шифрование для арифметики приближенных чисел». GitHub . Получено 15 мая 2016 г.
50. Crypto Experts. "FV-NFLlib". GitHub . Получено 1 ноября 2019 г.
51. NuCypher. "Реализация полностью гомоморфного шифрования на торе на GPU". GitHub . Получено 1 ноября 2019 г.
52. Trustworthy Computing (TwC) Group. «Многопроцессорная реализация криптосистемы CGGI». GitHub . Получено 7 марта 2023 г.
53. EPFL-LDS. «Латтиго v3.0.5». Гитхаб . Проверено 13 сентября 2022 г.
54. Жан-Филипп Боссюа, Кристиан Муше, Хуан Тронкосо-Пасториза и Жан-Пьер Юбо. Эффективная самонастройка для приближенного гомоморфного шифрования с неразреженными ключами. В EUROCRYPT 2021 (Springer) .
55. Кристиан Муше, Хуан Тронкосо-Пасториса, Жан-Филипп Боссюа и Жан-Пьер Юбо. Многопартийное гомоморфное шифрование с использованием кольцевого обучения с ошибками.
56. Зама (15 июня 2023 г.). «ТФХЭ-рс». Гитхаб .
57. Chillotti, Ilaria; Joye, Marc; Paillier, Pascal (2021). «Программируемая самозагрузка обеспечивает эффективный гомоморфный вывод глубоких нейронных сетей» (PDF) . Кибербезопасность, криптография и машинное обучение . Конспект лекций по информатике. Том 12716. С. 1–19. doi :10.1007/978-3-030-78086-9_1. ISBN 978-3-030-78085-2. S2CID  231732347 . Получено 17 ноября 2022 г. .
58. Desilo. "Liberate.FHE". GitHub . Получено 7 марта 2024 г.
59. Zama. "Concrete". GitHub . Получено 20 мая 2022 г.
60. Zama (15 июня 2023 г.). «Concrete Python». Pypi .
61. MoMA Lab, Нью-Йоркский университет в Абу-Даби (2019-07-24). «Encrypt-Everything-Everywhere (E3)». GitHub . Получено 27 июля 2019 г.
62. Институт Алана Тьюринга, Лондон, Великобритания (2019-11-01). "SHEEP, платформа оценки гомоморфного шифрования". GitHub . Получено 1 ноября 2019 г.{{cite web}}: CS1 maint: multiple names: authors list (link)
63. Trustworthy Computing (TwC) Group (2023-03-02). "T2: кросс-компилятор и стандартизированные бенчмарки для вычислений FHE". GitHub . Получено 3 февраля 2023 г.
64. Trustworthy Computing (TwC) Group (29 июля 2024 г.). "HELM: Navigating Homomorphic Evaluation through Gates and Lookups". GitHub . Получено 29 июля 2024 г. .
65. Trustworthy Computing (TwC) Group (2024-06-25). «Джульетта: настраиваемый процессор для вычислений с зашифрованными данными». GitHub . Получено 25 июня 2024 г.
66. TrustworthyComputing (2024-07-18), TrustworthyComputing/PEEV-verifiableFHE , получено 2024-07-18
67. "Семинар по стандартизации гомоморфного шифрования". Microsoft. 2017-07-13 . Получено 2022-05-12 .
68. «Intel, Microsoft Research и Duality Technologies созывают сообщество ИИ для разработки стандартов конфиденциальности». Intel Newsroom. 2019-08-16 . Получено 2022-05-12 .
69. «Intel и Microsoft объединяют усилия DARPA по ускорению полностью гомоморфного шифрования». 8 марта 2021 г.

Внешние ссылки

• Сообщество FHE.org (конференция, встреча и дискуссионная группа)
• Ссылки Даниэле Миччанчо на FHE
• Ссылки Винода Вайкунтанатана на FHE
• «Алиса и Боб в шифрпространстве». American Scientist . Сентябрь 2012 г. Получено 08.05.2018 г.
• Список реализаций гомоморфного шифрования, поддерживаемый на GitHub