Schwellenwert für vollständig homomorphe Kryptosysteme

9

Vor kurzem hat Craig Gentry das erste Verschlüsselungsschema für öffentliche Schlüssel (über Klartextraum {0,1}) veröffentlicht, das vollständig homomorph ist. Dies bedeutet, dass AND und XOR in verschlüsselten Klartexten ohne Kenntnis des geheimen Entschlüsselungsschlüssels effizient und kompakt ausgewertet werden können.

Ich frage mich, ob es einen offensichtlichen Weg gibt, dieses Kryptosystem mit öffentlichem Schlüssel in ein Kryptosystem mit öffentlichem Schlüsselschwellenwert umzuwandeln, so dass jeder AND und XOR verschlüsseln kann, aber eine Entschlüsselung ist nur möglich, wenn einige (alle) Personen, die das Schlüsselteam gemeinsam nutzen.

Ich würde mich für Ideen zu diesem Thema interessieren.

Danke im Voraus

fw


quelle
2
Dies ist eher eine Kuriosität und gilt nicht direkt für Ihre Frage. Interessanterweise kann eine Partei, da das Schema vollständig homomorph ist, homomorph und rekursiv Public-Private-Key-Paare erstellen.
Ross Snider
1
Näher an der Beantwortung Ihrer Frage, aber immer noch nicht genug, um sie als Antwort zu veröffentlichen: FHE ist völlig neu - es gibt nur zwei vorgeschlagene Schemata (beide von Gentry). Meines Wissens wurde keine Arbeit über Threshold FHE veröffentlicht. Es kann jedoch Arbeiten geben, die an teilweise homomorphen Systemen (wie Paillier, Goldwasser usw.) durchgeführt wurden. Ich würde dort nachsehen, ob die Ergebnisse leicht auf FHE portiert werden können.
Ross Snider

Antworten:

6

Ein neues Papier von Steven Myers, Mona Sergi und Abhi Shelat zum Thema eprint " Schwellenwert für vollständig homomorphe Verschlüsselung und sichere Berechnung " beansprucht ein Schwellenwert für eine vollständig homomorphe Verschlüsselung.

Aus ihrer Zusammenfassung:

...

ff|f|

Dazu zeigen wir, wie die vollständig homomorphe Verschlüsselungskonstruktion von van Dijk et al. [vDGHV10] als vollständig homomorphe Verschlüsselungsschemata.

...

ff

user686
quelle
3

Ich kenne die Besonderheiten von Gentrys Schema nicht, aber alle anderen Schwellenwert-Kryptosysteme erfordern zwei Homomorphismen (der dritte ist impliziert), die sich auf den öffentlichen und den geheimen Schlüssel beziehen:

  1. KG(sk1)KG(sk2)=KG(sk1sk2)
  2. c=Encpk1(Encpk2(m,r))=Encpk1pk2(m,r)
  3. m=Decsk1(Decsk2(c))=Decsk1sk2(c)

KGpk=KG(sk)

KGEncDec

Ich sage auch nicht, dass diese Bedingungen notwendig sind, um ein Schwellenwert-Kryptosystem zu haben. Das Fehlen eines solchen Homomorphismus bedeutet meines Wissens nicht, dass eine Entschlüsselung der Schwelle unmöglich ist.

PulpSpy
quelle