完全準同型復号化などというものはありません。 FHE を使用して機密データを計算するシステムを見つけたら、誰かが鍵を持っていることを覚えておいてください。あなたでなければ、あなたは彼らを信頼しますか?

Enc(data) を指定すると、FHE では任意の f の Enc(f(data)) を計算できます。しかし、誰かが結果を解読する必要があります! 2つのシナリオがあります a) あなたのデータ、あなたの鍵、あなたは計算をアウトソーシングしただけです。安全ですが、FHE オーバーヘッドに見合う価値はほとんどありません。 b) 複数の人の秘密データなので、誰が鍵を入手しますか?

シナリオBでは、ダークプール、民間のマネーロンダリング防止システムなど、現実のプロトコルが提案されています。 鍵を保持する人は誰も信頼されておらず、しきい値復号化のための委員会があります。しかし、ソリューション全体のセキュリティは「暗号化」だけでなく委員会にかかっています。

はっきり言っておきますが、これには正当なユースケースがあり、非常に印象的な研究もいくつかあります。 しかし、彼らにとってのセキュリティに関する議論は、「わかりました、鍵はどこにありますか?」であるべきです。

これは見落とされているように思われるので、ポイントは、複数の当事者が関与するFHEプロトコルには、MPCプロトコルと同じセキュリティの前提とトレードオフがあるということです。 鍵/株式を保有しているのは誰で、共謀しないことを信頼すべきでしょうか? MPCの場合、これはよく理解されていますが、FHの場合はそうではありません。

これは見落とされているように思われるので、ポイントは、複数の当事者が関与するFHEプロトコルには、MPCプロトコルと同じセキュリティの前提とトレードオフがあるということです。 鍵/株式を保有しているのは誰で、共謀しないことを信頼すべきでしょうか? MPCの場合、これはよく理解されていますが、FHEの場合はそうではありません。

FHE が基本的にしきい値復号化の非共謀/非妥協の仮定に依存していることを受け入れると、MPC に比べて非常に控えめなセキュリティ上の利点が 1 つあります。 キーホルダーはMPCよりも露出が少ないです。彼らは復号化するだけで、関数を計算しません。

裏を返せば、ほとんどの FHE は整合性が得られないため、たとえば zk 証明が必要であることを付け加えます。したがって、プライバシーと完全性のために完全に考慮されていないFHE評価はさらに高価です。