No existe tal cosa como la Desencriptación Totalmente Homomórfica. Cada vez que veas un sistema que utiliza FHE para calcular con tus datos sensibles, recuerda: alguien tiene la clave. Si no eres tú, ¿les confías?

Dado Enc(data), FHE te permite calcular Enc(f(data)) para cualquier f. ¡Pero alguien tiene que descifrar el resultado! Hay dos escenarios a) Tus datos, tu clave, solo has externalizado el cálculo. Seguro, pero rara vez vale la pena el costo adicional de FHE. b) Son datos secretos de varias personas, ¿quién obtiene la clave?

El Escenario B es donde vemos protocolos propuestos en la vida real: darkpools, sistemas privados de prevención de lavado de dinero, etc. Ninguna persona es de confianza para tener la clave, hay un comité para la descifrado de umbral. Pero la seguridad de toda la solución depende del comité, ¡no solo de la "encriptación"!

Para ser claros, hay casos de uso legítimos para esto, y algunas investigaciones muy impresionantes. PERO, la discusión sobre la seguridad para ellos debería ser "ok, ¿dónde está la clave?"

Dado que esto parece haber sido pasado por alto: el punto es que un protocolo FHE que involucra a múltiples partes tiene las mismas suposiciones de seguridad y compensaciones que uno MPC. ¿Quién tiene las claves/partes y se les debe confiar que no coludirán? Para MPC, esto está bien entendido, pero para FH, no lo está.

Dado que esto parece haber sido pasado por alto: el punto es que un protocolo FHE que involucra a múltiples partes tiene las mismas suposiciones de seguridad y compensaciones que uno MPC. ¿Quién tiene las claves/partes y se les debe confiar que no colusionen? Para MPC, esto está bien entendido, pero para FHE, no lo está.

Una vez que aceptas que FHE depende fundamentalmente de una suposición de no colusión/no compromiso para la descifrado por umbral, hay una ventaja de seguridad muy modesta sobre MPC: Los titulares de claves están menos expuestos que en MPC. Solo descifran, no calculan la función.

El lado negativo es que la mayoría de FHE no te proporciona integridad, así que para añadir eso necesitas, por ejemplo, pruebas zk. Por lo tanto, la evaluación de FHE completamente no confiable para la privacidad y la integridad es aún más costosa.