Det finns inget som heter helt homomorfisk dekryptering. När du ser ett system som använder FHE för att beräkna dina känsliga data, kom ihåg: någon har nyckeln. Om det inte är du, litar du på dem?

Med tanke på Enc(data) låter FHE dig beräkna Enc(f(data)) för alla f. Men någon måste dekryptera resultatet! Det finns två scenarier a) Dina data, din nyckel, du har just lagt ut beräkning på entreprenad. Säkert, men sällan värt FHE-overheaden. b) Det är flera personers hemliga data, så vem får nyckeln?

Scenario B är där vi ser föreslagna protokoll IRL: darkpools, privata system för bekämpning av penningtvätt etc. Ingen person är betrodd att inneha nyckeln, det finns en kommitté för tröskeldekryptering. Men säkerheten för hela lösningen beror på kommittén, inte bara "kryptering"!

För att vara tydlig finns det legitima användningsområden för detta, och en del mycket imponerande forskning. MEN, diskussionen kring säkerhet för dem bör vara "ok, var är nyckeln?"

Eftersom detta verkar förbises: poängen är att ett FHE-protokoll som involverar flera parter har samma säkerhetsantaganden och kompromisser som ett MPC-protokoll. Vem har nycklarna/aktierna och kan man lita på att de inte är i maskopi? För MPC är detta väl förstått, men för FH är det inte det.

Eftersom detta verkar förbises: poängen är att ett FHE-protokoll som involverar flera parter har samma säkerhetsantaganden och kompromisser som ett MPC-protokoll. Vem har nycklarna/aktierna och kan man lita på att de inte är i maskopi? För MPC är detta väl förstått, men för FHE är det inte det.

När du väl har accepterat att FHE i grunden beror på ett antagande om icke-maskopi/icke-kompromiss för tröskeldekryptering, finns det en mycket blygsam säkerhetsfördel jämfört med MPC: Nyckelhållare är mindre utsatta än i MPC. De dekrypterar bara, de beräknar inte funktionen.

Baksidan är att de flesta FHE inte ger dig integritet, så för att lägga till det behöver du t.ex. zk-bevis. Så helt otrsuterad för integritet och integritet är FHE-utvärdering ännu dyrare.