完全準同型暗号化 FHE: 導入と応用シナリオ

"暗号化"という言葉は通常、静的暗号化と伝送中の暗号化を連想させます。静的暗号化はデータを暗号化してハードウェアデバイスまたはクラウドサーバーに保存し、許可された人物のみが復号化された内容を閲覧できるようにします。伝送中の暗号化はインターネットを通じて送信されるデータが指定された受信者によってのみ解読されることを保証し、データが公共のルーターやチャネルを経由しても、中間者は解読できません。

この2つのシナリオは、暗号化アルゴリズムに依存し、さらにデータの完全性を保証します。"認証暗号化"は、未承認の復号を防ぐだけでなく(、機密性)を確保し、さらに中間者による暗号文の改ざん(の完全性/真正性)を防ぎます。

特定のマルチパーティ協力シナリオでは、暗号文に対して複雑な処理が必要であり、これはプライバシー保護技術の範疇に属します。完全同型暗号化(FHE)は、そのうちの一つです。オンライン投票の例を挙げると、投票者は暗号化された投票結果を中間エンティティに提出し、このエンティティがすべての結果を集計し、各候補者の得票数を計算し、最終的に最終結果のみを公表します。

従来の"認証暗号化"スキームでは、統計を担当する中間者がすべての投票データを解読する必要があり、その結果、個人の投票結果が露呈します。紙の投票用紙とは異なり、従来の暗号化メカニズムはデータの完全性を保証しながら、暗号化された投票と有権者の身元を分離することが困難です。

1つの解決策は、投票中間者の周囲にハードウェアの隔離壁を追加することです。例えば、信頼できる実行環境(TEE)です。しかし、ハードウェアの脆弱性は、暗号化キーの漏洩を引き起こす可能性があり、修正が難しいです。

完全同型暗号化(FHE)技術はこのようなシナリオに対応できます。FHEは暗号文に対して直接関数計算を行うことを可能にし、解読せずに暗号化された計算結果を得ることができるため、プライバシーを保護します。

FHEにおいて、関数𝑓の数学的構造は公開されているため、入力された暗号文𝑥から出力される結果𝑓(𝑥)の処理過程は、プライバシーを漏洩することなくクラウド上で実行可能です。注意すべきは、𝑥と𝑓(𝑥)の両方が暗号文であり、キーによる復号が必要で、通常は同じ復号キーが使用されます。

FHEはコンパクトな暗号化スキームであり、出力結果𝑓(𝑥)の暗号文サイズと復号作業量は、入力データ𝑥の元の平文のみに依存し、計算過程には依存しません。これは非コンパクト型暗号システムとは異なり、後者は単に𝑥を関数𝑓のソースコードに接続し、受信者が自分で𝑥を復号し、𝑓を入力して計算を行うことを可能にします。

! 完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む

実践において、FHEアウトソーシングモデルはTEEなどの安全な実行環境の代替手段と見なされることが多い。FHEの安全性は暗号化アルゴリズムに基づいており、ハードウェアデバイスに依存しないため、受動的サイドチャネル攻撃やクラウドサーバーの攻撃の影響を受けない。機密データの計算をアウトソーシングする必要があるシナリオにおいて、FHEはクラウドベースの仮想マシンやTEEよりも安全で信頼性が高い。

FHEシステムがプライベート情報を解読するためには、その暗号化アルゴリズムを解読する必要があり、これは現在ほぼ不可能です。しかし、攻撃者は能動的なサイドチャネル攻撃を通じて出力結果 𝑓(𝑥) を変更する可能性があります。FHE設計では、計算プロセスの冗長性を利用してこの種の攻撃を回避することができます。

FHEは通常、いくつかの鍵のセットを使用します:

1. 復号鍵: メイン鍵、ユーザーのローカルで生成され、外部に漏れることはなく、保持者のみがFHE暗号文を復号するために使用できる。

2. 暗号化鍵:公開鍵モードで平文を暗号文に変換するために使用されます。初期の暗号文を生成する人が主鍵保持者でない場合に使用されます。通常はランダムなゼロの暗号化で構成され、任意のメッセージを暗号化するのに十分です。

3. キーの計算: 暗号文 𝑥 に対して同型暗号化演算を行うために使用され、復号化することなく関数計算を実行できます。公開されても受取人は同型暗号化演算しかできず、暗号文 𝑥 を解読することはできません。

! 完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む

復号鍵の保有者は最も敏感であり、全体の同型暗号化操作チェーンが有効かつ安全であることを確保し、最終的に明文結果を復号します。悪意のある操作は復号時に鍵の漏洩を引き起こす可能性がありますが、同型暗号化操作は公開検証可能です。

FHEにはいくつかの一般的なシーン/モードがあります:

1. アウトソーシングモデル: アリスはプライベートデータを持っているが計算能力が限られており、ボブは強力な計算リソースを持っているがプライベートデータを提供しない。アリスは入力パラメータを暗号化してボブに渡し、ボブは同型暗号化計算を行った後、暗号化された結果を返す。主にPIR(プライベート情報検索)シナリオに使用される。

! 完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む

2. 2者計算モード: ボブは計算にプライベートデータを提供します。"ミリオネア問題"などの電子商取引アプリケーションに適しています。

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む](https://img-cdn.gateio.im/webp-social/moments-dceb3da8a44ca777783bebcd773b0852.webp0192837465674839201

3. 集約モード: 外部委託モードの改善、複数の参加者のデータを集約します。連邦学習とオンライン投票システムに使用されます。

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-41333f43d9235580b9c51b9901f64c71.webp(

4. クライアント-サーバーモード: 改良された両者計算モードで、サーバーは複数の独立した鍵を持つクライアントにFHE計算を提供します。プライベートAIモデルの運算サービスに使用されます。

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-7593b4d9d01cef7bfa2279793beb9f49.webp(

FHEは多者協力のシナリオでより使用しやすいです。なぜなら、各当事者には協定を遵守する動機があるからです。非協力シナリオでは、冗長性)を導入して、マルチシグ/コンセンサス(を通じて計算の正確性を確保できます。完全同型暗号化署名は、第三者の検証を必要としない別の方法です。

受取人が最終結果のみを解読できるように、中間暗号文へのアクセスを制限するか、秘密分散を使用して暗号化キーを配布することができます。

同型暗号化は部分同型暗号化)PHE(、分級同型暗号化)LHE(、完全同型暗号化)FHE(に分かれます。FHEは任意の計算タスクをサポートし、パラメータはタスクの複雑さが増しても増加しません。しかし、FHEはノイズを制御するために定期的にコストの高いブートストラップ操作を実行する必要があります。

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-e6325d032d33d9fc18683bdc5dc177e2.webp(

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-a37e9e4883a3e188b0c49f33ec7542cc.webp(

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-7019c4531429877198ffe6b794ca6c0c.webp(

! [完全準同型暗号化FHEの動作モードとアプリケーションシナリオを1つの記事で読む])https://img-cdn.gateio.im/webp-social/moments-a9346d133b26d0434e9c711e64d01f78.webp(