Il n'existe pas de déchiffrement entièrement homomorphe. Chaque fois que vous voyez un système utilisant FHE pour traiter vos données sensibles, rappelez-vous : quelqu'un a la clé. Si ce n'est pas vous, leur faites-vous confiance ?

Étant donné Enc(data), FHE vous permet de calculer Enc(f(data)) pour n'importe quelle f. Mais quelqu'un doit déchiffrer le résultat ! Il y a deux scénarios a) Vos données, votre clé, vous avez juste externalisé le calcul. Sûr, mais rarement rentable par rapport à la surcharge de FHE. b) Ce sont les données secrètes de plusieurs personnes, alors qui obtient la clé ?

Le scénario B est celui où nous voyons des protocoles proposés dans la vie réelle : darkpools, systèmes privés de lutte contre le blanchiment d'argent, etc. Personne n'est digne de confiance pour détenir la clé, il y a un comité pour le déchiffrement par seuil. Mais la sécurité de l'ensemble de la solution dépend du comité, pas seulement de l'"encryption" !

Pour être clair, il existe des cas d'utilisation légitimes pour cela, et certaines recherches très impressionnantes. MAIS, la discussion autour de la sécurité pour eux devrait être : "ok, où est la clé ?"

Puisque cela semble négligé : le point est qu'un protocole FHE impliquant plusieurs parties a les mêmes hypothèses de sécurité et compromis qu'un protocole MPC. Qui détient les clés/partages et doit-on leur faire confiance pour ne pas conspirer ? Pour le MPC, cela est bien compris, mais pour le FH, ce n'est pas le cas.

Puisque cela semble négligé : le point est qu'un protocole FHE impliquant plusieurs parties a les mêmes hypothèses de sécurité et compromis qu'un protocole MPC. Qui détient les clés/parts et doit-on leur faire confiance pour ne pas conspirer ? Pour le MPC, cela est bien compris, mais pour le FHE, ce n'est pas le cas.

Une fois que vous acceptez que le FHE dépend fondamentalement d'une hypothèse de non-collusion/non-compromis pour le déchiffrement par seuil, il y a un très modeste avantage en matière de sécurité par rapport à la MPC : Les détenteurs de clés sont moins exposés que dans la MPC. Ils ne font que déchiffrer, ils ne calculent pas la fonction.

L'inconvénient est que la plupart des FHE ne vous garantissent pas l'intégrité, donc pour ajouter cela, vous avez besoin, par exemple, de preuves zk. Ainsi, une évaluation FHE entièrement non fiable pour la confidentialité et l'intégrité est encore plus coûteuse.