Cryptosystèmes entièrement homomorphes de seuil

9

Récemment, Craig Gentry a publié le premier schéma de chiffrement à clé publique (sur un espace en texte brut {0,1}) qui est entièrement homomorphe, ce qui signifie que l'on peut évaluer efficacement et de manière compacte AND et XOR sur des textes en clair chiffrés sans connaître la clé de déchiffrement secrète.

Je me demande s'il existe un moyen évident de transformer ce système de cryptage à clé publique en un système de cryptage à clé publique de seuil tel que tout le monde puisse crypter, ET et XOR, mais le décryptage n'est possible que si certaines (toutes) personnes partageant la clé font équipe.

Je serais intéressé par des idées sur ce sujet.

Merci d'avance

fw

cr.crypto-security circuit-complexity homomorphic-encryption

2

C'est plus une curiosité et ne s'applique pas directement à votre question. Fait intéressant, car le schéma est entièrement homomorphe, une partie peut créer de manière homomorphe et récursive des paires de clés publiques-privées.

— Ross Snider

1

Plus près de répondre à votre question, mais toujours pas assez pour poster comme réponse: FHE est entièrement nouveau - il n'y a que deux schémas proposés (tous deux par Gentry). À ma connaissance, aucun travail n'a été publié sur Threshold FHE. Il peut cependant y avoir des travaux qui ont été effectués sur des systèmes partiellement homomorphes (comme Paillier, Goldwasser, etc.). Je commencerais à regarder là-bas pour voir si les résultats peuvent être facilement «portés» vers FHE.

— Ross Snider

6

Un nouvel article de Steven Myers, Mona Sergi et Abhi Shelat sur eprint, " Threshold Fully Homomorphic Encryption and Secure Computation ", revendique un schéma de cryptage de seuil entièrement homomorphique.

De leur résumé:

...

Gentry [Gen09a] montre comment combiner les deux idées avec un cryptage entièrement homomorphe afin de construire un protocole multipartite sécurisé qui permet l'évaluation d'une fonction utilisant une communication indépendante de la description du circuit de et un calcul polynomial dans. Cet article aborde les principaux inconvénients de l'approche de Gentry: nous éliminons l'utilisation de méthodes non noires qui sont inhérentes au compilateur de Naor et Nissim. $f$ $f$ $|f|$

Pour ce faire, nous montrons comment modifier la construction de cryptage entièrement homomorphe de van Dijk et al. [vDGHV10] pour être des schémas de cryptage de seuil entièrement homomorphes.

...

Au total, nous construisons le premier protocole de calcul multipartite sécurisé de boîte noire qui permet l'évaluation d'une fonction $f$ $f$

— user686
source

3

Je ne connais pas les spécificités du schéma de Gentry, mais tous les autres cryptosystèmes à seuil nécessitent deux homomorphismes (le troisième est implicite) relatifs aux clés publiques et secrètes:

${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
$c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
$m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

${\sf KG}$ $pk={\sf KG}(sk)$

$\oplus$ $\otimes$ $\oplus$

$\oplus$

${\sf KG}$ ${\sf Enc}$ ${\sf Dec}$

En outre, je ne dis pas que ces conditions sont nécessaires pour avoir un cryptosystème de seuil. L'absence d'un tel homomorphisme n'implique pas (à ma connaissance) que le décryptage de seuil soit impossible.

— PulpSpy
source