Гомоморфное шифрование - это форма шифрования, которая позволяет пользователям выполнять вычисления над зашифрованными данными без предварительного их дешифрования. Эти результирующие вычисления остаются в зашифрованной форме, которая при расшифровке дает результат, идентичный тому, который был бы произведен, если бы операции были выполнены с незашифрованными данными. Гомоморфное шифрование можно использовать для хранения и вычислений, передаваемых сторонним организациям с сохранением конфиденциальности . Это позволяет шифровать данные и передавать их в коммерческие облачные среды для обработки, причем все это в зашифрованном виде.
Общий | |
---|---|
Полученный из | Кольцевое обучение с ошибками |
Относится к |
Для конфиденциальных данных, таких как информация о здравоохранении, можно использовать гомоморфное шифрование для включения новых служб путем устранения барьеров конфиденциальности, препятствующих совместному использованию данных, или повышения безопасности существующих служб. Например, прогнозную аналитику в здравоохранении может быть трудно применить через стороннего поставщика услуг из-за проблем с конфиденциальностью медицинских данных , но если поставщик услуг прогнозной аналитики может вместо этого работать с зашифрованными данными, эти проблемы конфиденциальности уменьшаются. Более того, даже если система поставщика услуг будет скомпрометирована, данные останутся в безопасности.
Описание
Гомоморфное шифрование - это форма шифрования с дополнительной возможностью оценки для вычислений по зашифрованным данным без доступа к секретному ключу . Результат такого вычисления остается зашифрованным. Гомоморфное шифрование можно рассматривать как расширение криптографии с симметричным или открытым ключом . Гомоморфизм относится к гомоморфизму в алгебре: функции шифрования и дешифрования можно рассматривать как гомоморфизмы между пространствами открытого и зашифрованного текста.
Гомоморфное шифрование включает в себя несколько типов схем шифрования, которые могут выполнять различные классы вычислений над зашифрованными данными. [1] Вычисления представлены в виде логических или арифметических схем. Некоторые распространенные типы гомоморфного шифрования являются частично гомоморфными, в некоторой степени гомоморфными, выровненными, полностью гомоморфными и полностью гомоморфными шифрованием:
- Частично гомоморфное шифрование включает схемы, которые поддерживают оценку схем, состоящих только из одного типа логических элементов, например, сложение или умножение.
- В некоторой степени гомоморфные схемы шифрования могут оценивать два типа вентилей, но только для подмножества схем.
- Выровненное полностью гомоморфное шифрование поддерживает оценку произвольных схем, состоящих из нескольких типов вентилей ограниченной (заранее определенной) глубины.
- Полностью гомоморфное шифрование (FHE) позволяет оценивать произвольные схемы, состоящие из нескольких типов вентилей неограниченной глубины, и является самым сильным понятием гомоморфного шифрования.
Для большинства схем гомоморфного шифрования мультипликативная глубина схем является основным практическим ограничением при выполнении вычислений над зашифрованными данными. Схемы гомоморфного шифрования по своей природе гибки . С точки зрения гибкости, гомоморфные схемы шифрования обладают более слабыми свойствами безопасности, чем негомоморфные схемы.
История
Схемы гомоморфного шифрования были разработаны с использованием разных подходов. В частности, полностью гомоморфные схемы шифрования часто группируются по поколениям, соответствующим основному подходу. [2]
Pre-FHE
Проблема построения полностью гомоморфной схемы шифрования была впервые предложена в 1978 году, через год после публикации схемы RSA. [3] Более 30 лет было неясно, существует ли решение. В этот период частичные результаты включали следующие схемы:
- Криптосистема RSA (неограниченное количество модульных умножений)
- Криптосистема Эль-Гамаля (неограниченное количество модульных умножений)
- Криптосистема Голдвассера – Микали (неограниченное количество эксклюзивных операций или )
- Криптосистема Benaloh (неограниченное количество модульных дополнений)
- Криптосистема Пайе (неограниченное количество модульных дополнений)
- Система Сандера-Янга-Юнга (более 20 лет решила проблему для логарифмических глубинных схем) [4]
- Криптосистема Бонеха – Го – Ниссима (неограниченное количество операций сложения, но не более одного умножения) [5]
- Криптосистема Ишаи-Паскина ( программы ветвления полиномиального размера ) [6]
FHE первого поколения
Крейг Джентри , используя криптографию на основе решеток , описал первую правдоподобную конструкцию для полностью гомоморфной схемы шифрования. [7] Схема Джентри поддерживает операции сложения и умножения над шифрованными текстами, из которых можно создавать схемы для выполнения произвольных вычислений. Конструкция начинается с несколько гомоморфной схемы шифрования, которая ограничивается вычислением полиномов низкой степени по зашифрованным данным; он ограничен, потому что каждый зашифрованный текст в некотором смысле зашумлен, и этот шум растет по мере добавления и умножения зашифрованных текстов, пока в конечном итоге шум не сделает результирующий зашифрованный текст нечитаемым.
Затем Джентри показывает, как немного изменить эту схему, чтобы сделать ее загружаемой , т. Е. Способной оценить свою собственную схему дешифрования, а затем, по крайней мере, еще одну операцию. Наконец, он показывает, что любая несколько гомоморфная схема шифрования, допускающая загрузку, может быть преобразована в полностью гомоморфное шифрование посредством рекурсивного самовложения. Для «зашумленной» схемы Джентри процедура начальной загрузки эффективно «обновляет» зашифрованный текст, гомоморфно применяя к нему процедуру дешифрования, тем самым получая новый зашифрованный текст, который зашифровывает то же значение, что и раньше, но имеет более низкий уровень шума. Периодически «обновляя» зашифрованный текст всякий раз, когда шум становится слишком большим, можно вычислить произвольное количество сложений и умножений, не увеличивая слишком много шума.
Джентри основывал безопасность своей схемы на предполагаемой сложности двух задач: некоторых задач наихудшего случая над идеальными решетками и проблемы с редкими (или маловесными) задачами о сумме подмножеств. Джентри доктор философии. В диссертации [8] приводятся дополнительные детали. Реализация оригинальной криптосистемы Gentry-Halevi сообщила, что время выполнения базовой битовой операции составляет около 30 минут. [9] Обширная работа по проектированию и внедрению в последующие годы позволила улучшить эти ранние реализации на много порядков производительности во время выполнения.
В 2010 году Мартен ван Дейк, Крейг Джентри , Шай Халеви и Винод Вайкунтанатан представили вторую полностью гомоморфную схему шифрования [10], которая использует многие инструменты построения Джентри, но не требует идеальных решеток . Вместо этого они показывают, что несколько гомоморфный компонент идеальной решетчатой схемы Джентри может быть заменен очень простой в некоторой степени гомоморфной схемой, использующей целые числа. Таким образом, схема концептуально проще, чем схема идеальной решетки Джентри, но имеет аналогичные свойства в отношении гомоморфных операций и эффективности. Несколько гомоморфный компонент в работе Van Dijk et al. аналогична схеме шифрования , предложенной Levieil и Наккаш в 2008 году, [11] , а также к тому , который был предложен Брэм Коэн в 1998 году [12]
Однако метод Коэна не является даже аддитивно гомоморфным. Схема Левье-Наккаша поддерживает только сложение, но ее можно изменить, чтобы также поддерживать небольшое количество умножений. Многие усовершенствования и оптимизации схемы Ван Дейка и др. были предложены в серии работ Жана-Себастьяна Корона, Танкреда Лепуа, Аврадипа Мандала, Давида Наккаша и Мехди Тибучи. [13] [14] [15] [16] Некоторые из этих работ включали также реализации полученных схем.
FHE второго поколения
Гомоморфные криптосистемы, которые используются в настоящее время, являются производными от методов, которые были разработаны в 2011-2012 годах Цвикой Бракерски, Крейгом Джентри , Винодом Вайкунтанатаном и другими. Эти нововведения привели к разработке гораздо более эффективных, частично и полностью гомоморфных криптосистем. Это включает:
- Схема Бракерски-Джентри-Вайкунтанатан (BGV, 2011) [17] , основанная на методах Бракерски-Вайкунтанатхан; [18]
- Схема, основанная на NTRU , Лопес-Альт, Тромер и Вайкунтанатан (LTV, 2012); [19]
- Схема Бракерски / Фан-Веркаутерен (BFV, 2012) [20], построенная на масштабно-инвариантной криптосистеме Бракерского ; [21]
- Схема на основе NTRU , разработанная Босом, Лаутером, Лофтусом и Неригом (BLLN, 2013), [22], построенная на LTV и масштабно-инвариантной криптосистеме Бракерски; [21]
Безопасность большинства этих схем основана на сложности проблемы (кольцевого) обучения с ошибками (RLWE), за исключением схем LTV и BLLN, которые полагаются на вариант вычислительной задачи NTRU с чрезмерным растяжением [23] . Впоследствии было показано, что этот вариант NTRU уязвим для атак на решетку подполей [24] [23], поэтому эти две схемы больше не используются на практике.
Все криптосистемы второго поколения по-прежнему следуют базовой схеме первоначальной конструкции Джентри, а именно, они сначала создают несколько гомоморфную криптосистему, а затем преобразуют ее в полностью гомоморфную криптосистему с помощью самонастройки.
Отличительной особенностью криптосистем второго поколения является то, что все они имеют гораздо более медленный рост шума во время гомоморфных вычислений. Дополнительные оптимизации, выполненные Крейгом Джентри , Шаем Халеви и Найджелом Смартом, привели к созданию криптосистем с почти оптимальной асимптотической сложностью: операции с данными, зашифрованными с параметром безопасности имеет сложность всего . [25] [26] [27] Эти оптимизации основаны на методах Smart-Vercauteren, которые позволяют упаковывать множество значений открытого текста в один зашифрованный текст и работать со всеми этими значениями открытого текста в режиме SIMD . [28] Многие достижения в этих криптосистемах второго поколения также были перенесены в криптосистему вместо целых чисел. [15] [16]
Еще одна отличительная черта схем второго поколения состоит в том, что они достаточно эффективны для многих приложений даже без вызова начальной загрузки, вместо этого они работают в выровненном режиме FHE.
FHE третьего поколения
В 2013 году Крейг Джентри , Амит Сахаи и Брент Уотерс (GSW) предложили новую технику построения схем FHE, которая позволяет избежать дорогостоящего шага «релинеаризации» при гомоморфном умножении. [29] Цвика Бракерски и Винод Вайкунтанатан заметили, что для определенных типов схем криптосистема GSW отличается еще более медленным ростом шума и, следовательно, более высокой эффективностью и большей безопасностью. [30] Джейкоб Альперин-Шериф и Крис Пайкерт затем описали очень эффективную технику самонастройки, основанную на этом наблюдении. [31]
Эти методы были дополнительно усовершенствованы для разработки эффективных кольцевых вариантов криптосистемы GSW: FHEW (2014) [32] и TFHE (2016). [33] Схема FHEW была первой, которая показала, что, обновляя зашифрованные тексты после каждой отдельной операции, можно сократить время начальной загрузки до доли секунды. FHEW представил новый метод вычисления логических вентилей для зашифрованных данных, который значительно упрощает начальную загрузку, и реализовал вариант процедуры начальной загрузки. [31] Эффективность FHEW была дополнительно улучшена схемой TFHE, которая реализует кольцевой вариант процедуры самонастройки [34] с использованием метода, аналогичного методу в FHEW.
FHE четвертого поколения
Схема CKKS [35] поддерживает эффективные операции округления в зашифрованном состоянии. Операция округления контролирует увеличение шума при шифрованном умножении, что снижает количество начальных операций в схеме. В Crypto2018 CKKS фокусируется как решение для зашифрованного машинного обучения. Это связано с особенностью схемы CKKS, которая шифрует приблизительные значения, а не точные значения. Когда компьютеры хранят данные с действительными значениями, они запоминают приблизительные значения с длинными значащими битами, а не в точности реальные значения. Схема CKKS построена так, чтобы эффективно устранять ошибки, возникающие из-за приближений. Схема знакома с машинным обучением, которому присущи шумы в своей структуре.
В статье 2020 года Байю Ли и Даниэле Миччанчио обсуждаются пассивные атаки на CKKS, предполагая, что стандартное определение IND-CPA может быть недостаточным в сценариях, где результаты дешифрования являются общими. [36] Авторы применяют атаку к четырем современным библиотекам гомоморфного шифрования (HEAAN, SEAL, HElib и PALISADE) и сообщают, что можно восстановить секретный ключ из результатов дешифрования в нескольких конфигурациях параметров. Авторы также предлагают стратегии смягчения этих атак и включают в статью «Ответственное раскрытие информации», предполагая, что библиотеки гомоморфного шифрования уже реализовали меры по смягчению последствий атак до того, как статья стала общедоступной. Также была опубликована дополнительная информация о стратегиях смягчения, реализованных в библиотеках гомоморфного шифрования. [37] [38]
Частично гомоморфные криптосистемы
В следующих примерах обозначения используется для обозначения шифрования сообщения .
Неплотный RSA
Если открытый ключ RSA имеет модуль и показатель степени шифрования , то шифрование сообщения дан кем-то . Тогда гомоморфность
Эль-Гамаль
В криптосистеме Эль-Гамаля в циклической группе порядка с генератором , если открытый ключ , где , а также это секретный ключ, тогда шифрование сообщения является , для некоторого случайного . Тогда гомоморфность
Гольдвассер-Микали
В криптосистеме Голдвассера-Микали , если открытый ключ является модулем и квадратичный невычет , то шифрование бит является , для некоторого случайного . Тогда гомоморфность
где обозначает сложение по модулю 2 (т. е. исключающее ИЛИ ).
Бенало
В криптосистеме Бенало , если открытый ключ является модулем и база с размером блока , то шифрование сообщения является , для некоторого случайного . Тогда гомоморфность
Paillier
В криптосистеме Пайе , если открытый ключ является модулем и база , то шифрование сообщения является , для некоторого случайного . Тогда гомоморфность
Другие частично гомоморфные криптосистемы
- Криптосистема Окамото – Учияма
- Криптосистема Наккаша – Стерна
- Криптосистема Дамгарда – Юрика
- Схема шифрования Сандера – Янга – Юнга
- Криптосистема Бонеха – Го – Ниссима
- Криптосистема Ишая – Паскина
- Криптосистема Кастаньоса – Лагильюми [39]
Полностью гомоморфное шифрование
Криптосистема, поддерживающая произвольные вычисления с шифрованными текстами, известна как полностью гомоморфное шифрование (FHE). Такая схема позволяет создавать программы для любых желаемых функций, которые можно запускать на зашифрованных входных данных, чтобы произвести шифрование результата. Поскольку такой программе никогда не нужно расшифровывать свои входные данные, она может быть запущена ненадежной стороной, не раскрывая свои входные данные и внутреннее состояние. Полностью гомоморфные криптосистемы имеют большое практическое значение при передаче частных вычислений на аутсорсинг, например, в контексте облачных вычислений . [40]
Реализации
Список библиотек FHE с открытым исходным кодом, реализующих схемы FHE второго и / или третьего поколения, приведен ниже. Обновленный список реализаций гомоморфного шифрования также поддерживается сообществом на GitHub .
Существует несколько реализаций полностью гомоморфных схем шифрования второго и третьего поколения с открытым исходным кодом. Реализации схемы FHE второго поколения обычно работают в режиме сглаживания FHE (хотя самозагрузка все еще доступна в некоторых библиотеках) и поддерживают эффективную упаковку данных, подобную SIMD ; они обычно используются для вычислений над зашифрованными целыми числами или действительными / комплексными числами. Реализации схемы FHE третьего поколения часто загружаются после каждой операции логического логического элемента, но имеют ограниченную поддержку упаковки и эффективных арифметических вычислений; они обычно используются для вычисления логических схем по зашифрованным битам. Выбор использования схемы второго или третьего поколения зависит от типов входных данных и желаемых вычислений.
Имя | Разработчик | BGV [17] | CKKS [35] | BFV [20] | FHEW [32] | Загрузка CKKS [41] | TFHE [33] | Описание |
---|---|---|---|---|---|---|---|---|
HElib [42] | IBM | да | да | Нет | Нет | Нет | Нет | Схема BGV с оптимизацией GHS. |
ПЕЧАТЬ Microsoft [43] | Microsoft | Нет | да | да | Нет | Нет | Нет | |
ПАЛИСАДА [44] | Консорциум оборонных подрядчиков и ученых, финансируемых DARPA: Технологический институт Нью-Джерси , Duality Technologies , Raytheon BBN Technologies , Массачусетский технологический институт , Калифорнийский университет, Сан-Диего и другие. | да | да | да | да | Нет | да | Библиотека решетчатой криптографии общего назначения. |
ХЭАН [45] | Сеульский национальный университет | Нет | да | Нет | Нет | да | Нет | |
FHEW [32] | Лео Дука и Даниэле Миччансио | Нет | Нет | Нет | да | Нет | Нет | |
TFHE [33] | Илария Чиллотти, Николас Гама, Мария Георгиева и Малика Изабачене | Нет | Нет | Нет | Нет | Нет | да | |
FV-NFLlib [46] | CryptoExperts | Нет | Нет | да | Нет | Нет | Нет | |
NuFHE [47] | NuCypher | Нет | Нет | Нет | Нет | Нет | да | Предоставляет реализацию TFHE на графическом процессоре. |
Латтиго [48] | EPFL-LDS | Нет | да | да | Нет | Да [49] | Нет | Реализация на Go вместе с их распределенными вариантами [50], обеспечивающая безопасные многосторонние вычисления . |
Имя | Разработчик | FHEW [32] | TFHE | Хелиб | ТЮЛЕНЬ | ПАЛИСАДА |
---|---|---|---|---|---|---|
E3 [51] | Лаборатория MoMA в Нью-Йоркском университете Абу-Даби | да | да | да | да | да |
ОВЕЦЫ [52] | Институт Алана Тьюринга | Нет | да | да | да | да |
Стандартизация
Стандарт сообщества для гомоморфного шифрования поддерживается группой HomomorphicEncryption.org , открытым отраслевым / правительственным / академическим консорциумом, основанным в 2017 году Microsoft , IBM и Duality Technologies . Текущий стандартный документ включает спецификации безопасных параметров для RLWE.
Смотрите также
- Гомоморфное разделение секретов
- Гомоморфные подписи для сетевого кодирования
- Частная биометрия
- Проверяемые вычисления с использованием полностью гомоморфной схемы
- Шифрование на стороне клиента
- Симметричное шифрование с возможностью поиска
- Безопасные многосторонние вычисления
- Шифрование с сохранением формата
- Полиморфный код
- Пересечение частного набора
Рекомендации
- ^ Армкнехт, Фредерик; Бойд, Колин; Гьёстин, Кристиан; Jäschke, Angela; Рейтер, Кристиан; Стрэнд, Мартин (2015). «Руководство по полностью гомоморфному шифрованию» . Цитировать журнал требует
|journal=
( помощь ) - ^ Винод Вайкунтанатан. «Ссылки на гомоморфное шифрование» .
- ↑ RL Rivest, L. Adleman и ML Dertouzos. О банках данных и гомоморфизмах конфиденциальности. В Основах безопасных вычислений , 1978.
- ^ Сандер, Томас; Янг, Адам Л .; Юнг, Моти (1999). Неинтерактивные криптографические вычисления для NC1 . Focs1991 . С. 554–566. DOI : 10,1109 / SFFCS.1999.814630 . ISBN 978-0-7695-0409-4. S2CID 1976588 .
- ^ Д. Бона, Е. Го, и К. Нисим. Оценка формул 2-DNF на зашифрованных текстах. В теории конференции Cryptography 2005.
- ^ Ю. Ишай и А. Паскин. Оценка программ ветвления по зашифрованным данным. В теории конференции Cryptography 2007.
- ^ Крейг Джентри. Полностью гомоморфное шифрование с использованием идеальных решеток . На 41-м симпозиуме ACM по теории вычислений (STOC) , 2009 г.
- ^ Крейг Джентри. «Полностью гомоморфная схема шифрования (докторская диссертация)» (PDF) .
- ^ Джентри, Крейг; Халеви, Шай (2010). «Реализация полностью гомоморфной схемы шифрования Gentry» . Еврокрипт 2011 .
- ^ Ван Дейк, Мартен; Джентри, Крейг; Халеви, Шай; Винод, Вайкунтанатан (2009). «Полностью гомоморфное шифрование над целыми числами» . Еврокрипт 2010 .
- ^ Левье, Эрик; Наккаш, Дэвид . «Коррекция криптографического теста» (PDF) .
- ^ Коэн, Брэм . «Простое шифрование открытого ключа» . Архивировано из оригинала на 2011-10-07.
- ^ Корон, Жан-Себастьен; Наккаш, Дэвид; Тибучи, Мехди (2011). «Сжатие открытого ключа и переключение модуля для полностью гомоморфного шифрования по целым числам» . Еврокрипт 2012 .
- ^ Корон, Жан-Себастьен; Мандал, Аврадип; Наккаш, Дэвид; Тибучи, Мехди (2011). «Полностью гомоморфное шифрование целых чисел с более короткими открытыми ключами» . Крипто 2011 . Конспект лекций по информатике. 6841 : 487–504. DOI : 10.1007 / 978-3-642-22792-9_28 . ISBN 978-3-642-22791-2.
- ^ а б Корон, Жан-Себастьен; Лепуин, Танкред; Тибучи, Мехди (2013). «Пакетное полностью гомоморфное шифрование по целым числам» . Еврокрипт 2013 .
- ^ а б Корон, Жан-Себастьен; Лепуин, Танкред; Тибучи, Мехди (2014). «Масштабно-инвариантное полностью гомоморфное шифрование над целыми числами» . PKC 2014 .
- ^ a b З. Бракерски, К. Джентри и В. Вайкунтанатан. Полностью гомоморфное шифрование без начальной загрузки , в ITCS 2012
- ^ З. Brakerski и В. Vaikuntanathan. Эффективное полностью гомоморфное шифрование от (стандартного) LWE . В FOCS 2011 (IEEE)
- ↑ А. Лопес-Альт, Э. Тромер и В. Вайкунтанатан. Многостороннее вычисление на лету в облаке с помощью многоключевого полностью гомоморфного шифрования . В STOC 2012 (ACM)
- ^ а б Фань, Цзюньфэн; Веркаутерен, Фредерик (2012). «Практическое полностью гомоморфное шифрование» . Цитировать журнал требует
|journal=
( помощь ) - ^ а б З. Бракерски. Полностью гомоморфное шифрование без переключения модуля из классического GapSVP , в CRYPTO 2012 (Springer)
- ^ J. Bos, К. Лаутер, Дж Лофтус и М. Naehrig. Повышенная безопасность схемы полностью гомоморфного шифрования на основе кольца . В IMACC 2013 (Springer)
- ^ а б М. Альбрехт, С. Бай и Л. Дука. Атака решетки подполей на допущения о чрезмерно растянутом NTRU , В CRYPTO 2016 (Springer)
- ^ Cheon, JH; Jeong, J; Ли, К. (2016). «Алгоритм решения проблем NTRU и криптоанализа полилинейной карты GGH без низкоуровневого кодирования нуля» . Журнал вычислений и математики LMS . 19 (1): 255–266. DOI : 10.1112 / S1461157016000371 .
- ^ С. Джентри, С. Халеви и Н. П. Смарт. Полностью гомоморфное шифрование с накладными расходами полилога . В EUROCRYPT 2012 (Springer)
- ^ С. Джентри, С. Халеви и Н. П. Смарт. Лучшая загрузка при полностью гомоморфном шифровании . В PKC 2012 (SpringeR)
- ^ С. Джентри, С. Халеви и Н. П. Смарт. Гомоморфная оценка схемы AES . В CRYPTO 2012 (Springer)
- ^ Умный, Найджел П .; Веркаутерен, Фредерик (2014). «Полностью гомоморфные операции SIMD» . Конструкции, коды и криптография . 71 (1): 57–81. DOI : 10.1007 / s10623-012-9720-4 . S2CID 11202438 .
- ^ С. Джентри, А. Сахай и Б. Уотерс. Гомоморфное шифрование на основе обучения с ошибками: концептуально проще, асимптотически быстрее, на основе атрибутов . В CRYPTO 2013 (Springer)
- ^ З. Brakerski и В. Vaikuntanathan. FHE на основе решеток так же безопасен, как и PKE . В ITCS 2014
- ^ а б Дж. Альперин-Шериф и К. Пайкерт. Более быстрая загрузка с полиномиальной ошибкой . В CRYPTO 2014 (Springer)
- ^ а б в г Лео Дукас; Даниэле Миччансио. «FHEW: библиотека полностью гомоморфного шифрования» . Проверено 31 декабря 2014 года .
- ^ а б в Илария Чиллотти; Николас Гама; Мария Георгиева; Малика Изабачене. «Более быстрое полностью гомоморфное шифрование: загрузка менее чем за 0,1 секунды» . Проверено 31 декабря 2016 года .
- ^ Н. Гама, М. Изабачен, П. К. Нгуен, и X. Се Структурная редукция решетки: обобщенный худший случай редукции среднего случая и гомоморфные криптосистемы . В EUROCRYPT 2016 (Springer)
- ^ а б Чеон, Чон Хи; Ким, Андрей; Ким, Миран; Сон, Ёнсу (2017). «Гомоморфное шифрование для арифметики приближенных чисел». Такаги Т., Пейрин Т. (ред.) Достижения в криптологии - ASIACRYPT 2017 . ASIACRYPT 2017. Springer, Cham. С. 409–437. DOI : 10.1007 / 978-3-319-70694-8_15 .
- ^ Ли, Бейли; Микчанчо, Даниэле (2020). «О безопасности гомоморфного шифрования приближенных чисел» (PDF) . Архив IACR ePrint 2020/1533 .
- ^ Чеон, Чон Хи; Хонг, Сынван; Ким, Духён (2020). «Замечание о безопасности схемы CKKS на практике» (PDF) . Архив IACR ePrint 2020/1581 .
- ^ «Безопасность ЦККС» . Проверено 10 марта 2021 года .
- ^ Гильем Кастаньос и Фабьен Лагильюми (2015). «Линейно гомоморфное шифрование из DDH» (PDF) . Цитировать журнал требует
|journal=
( помощь ) - ^ Даниэле Миччансио (01.03.2010). «Первый взгляд на Святой Грааль криптографии» . Ассоциация вычислительной техники . п. 96 . Проверено 17 марта 2010 .
- ^ Юнг Хи Чхон, Kyoohyung Хан, Андрей Ким, Ким Миран и Yongsoo песни. Начальная загрузка для приближенного гомоморфного шифрования . В EUROCRYPT 2018 (Springer) .
- ^ Шай Халеви; Виктор Шуп. «HElib: реализация гомоморфного шифрования» . Проверено 31 декабря 2014 года .
- ^ Microsoft Research. «ПЕЧАТЬ Microsoft» . Проверено 20 февраля 2019 .
- ^ "Библиотека решетчатой криптографии PALISADE" . Проверено 1 января 2019 года .
- ^ Чон Хи Чхон; Кюхён Хан; Андрей Ким; Миран Ким; Ёнсу Сон. «Гомоморфное шифрование для арифметики приближенных чисел» . Дата обращения 15 мая 2016 .
- ^ Крипто-эксперты. «ФВ-НФЛлиб» . Проверено 1 ноября 2019 года .
- ^ NuCypher. «Реализация полностью гомоморфного шифрования на торе на GPU» . Проверено 1 ноября 2019 года .
- ^ EPFL-LDS. «Lattigo v2.1.1» . Проверено 15 марта 2021 года .
- ^ Жан-Филипп Bossuat, Кристиан Муше, Хуан Troncoso-Pastoriza и Жан-Пьер Hubaux. Эффективная начальная загрузка для приближенного гомоморфного шифрования с неразреженными ключами . В EUROCRYPT 2021 (Springer) .
- ^ Кристиан Муше, Хуан Тронкосо-Пасториса, Жан-Филипп Босуа и Жан-Пьер Юбо. Многостороннее гомоморфное шифрование с помощью кольцевого обучения с ошибками .
- ^ Лаборатория MoMA, Нью-Йоркский университет Абу-Даби (24.07.2019). «Шифрование-все-везде (E3)» . Проверено 27 июля 2019 .
- ^ Институт Алана Тьюринга, Лондон, Великобритания (2019-11-01). "SHEEP, платформа оценки гомоморфного шифрования" . Проверено 1 ноября 2019 года .CS1 maint: несколько имен: список авторов ( ссылка )
Внешние ссылки
- Ссылки Даниэле Миччанчио на FHE
- Ссылки Винода Вайкунтанатана на FHE
- «Алиса и Боб в зашифрованном пространстве» . Американский ученый . Сентябрь 2012 . Проверено 8 мая 2018 .
- HElib , Microsoft SEAL , PALISADE , HEAAN , FHEW и TFHE (библиотеки гомоморфного шифрования с открытым исходным кодом)