Metody pro zachování soukromí při využívání shromážděných dat za použití prokazatelných kryptografických primitiv

Abstract

Plně homomorfní šifrování (FHE z anglického Fully Homomorphic Encryption) je technika, která zajišt’uje důvěrnost dat a zároveň umožňuje jejich zpracování. Jinými slovy, kdokoliv může vyhodnotit libovolnou (vyčíslitelnou) funkci nad zašifrovanými daty, aniž by ta musela být dešifrována. Výstup vyhodnocení pak dokáže dešifrovat pouze legitimní držitel soukromého klíče – touto cestou obdrží stejný výsledek, jako kdyby byla tato funkce vyhodnocena nad nezašifrovanými daty. Historie FHE se píše od roku 1978, kdy Rivest a kol. představili otázku existence FHE jakožto výzvu. V roce 2009 byla tato výzva po více jak 30 letech úspěšně vyřešena Gentrym, který představil úplně první (veřejně známé) FHE schéma. Nicméně první generace FHE schémat trpí spíše nepraktickými výpočetními nároky: dle reportu Gentryho a kol.. zabere výpočet jednoduché bitové operace okolo 30 minut na běžné výpočetní technice. Od té doby doznala FHE schémata, včetně jejich implementací, významného pokroku: s využitím dnešních předních implementací zabere podobná operace pouhé nižší desítky milisekund na běžné výpočetní technice nebo okolo 500 μs na specializované technice (stav ke 2. čtvrtletí 2023). Navzdory těmto urychlením zůstávají výpočetní nároky homomorfního vyhodnocování za použití FHE značné. Tato práce studuje rozličné aspekty FHE. Jmenovitě se zabývá vylepšením FHE z pohledů: (i) korektnosti: analýza růstu chyb, které jsou vlastní většině existujících FHE schémat; (ii) výpočetní náročnosti: vylepšení výkonu vybraných homomorfních operací; a (iii) škálovatelnosti: umožnění rozdělení soukromého klíče mezi více držitelů. Jedním z hlavních přínosů této práce je rychlejší celočíselná aritmetika nad zašifrovanými daty používající schéma TFHE (Chillotti a kol., Asiacrypt ’16), které je jedním ze současných předních FHE schémat. Operace celočíselné aritmetiky se řadí mezi ty nejzákladnější a jsou součástí instrukční sady většiny mikroprocesorů, proto je zde silná motivace snížit časovou náročnost jejich homomorfních protějšků jak jen to bude možné. Navržený přístup využívá jistou nestandardní číselnou reprezentaci, pro kterou existuje paralelní sčítací algoritmus, na základě kterého jsou postaveny další aritmetické operace. Přínos paralelizace aritmetických operací je umocněn nepříliš dobrou paralelizovatelností nejnáročnější operace v TFHE. Na jednu stranu může tento přístup značně snížit časovou náročnost, obzvláště pro dlouhé vstupy a při velkém množství paralelních zdrojů, na druhou stranu jsou vynuceny vyšší výpočetní nároky, což může znamenat více celkového procesorového času. Vedle zlepšování výkonu základních homomorfních operací studuje tato práce variantu FHE, ve které drží podíly soukromého klíče více stran, pro což je navrženo nové schéma. V porovnání s předchozími návrhy takovýchto schémat je toto nové schéma překoná nejen v ohledu časové náročnosti, ale je schopné praktického sestavení s řádově stovkami stran—čehož předchozí schémata schopná nebyla—díky jeho nízkému růstu šumu. Navíc je navržena nová metoda pro praktické vyhodnocení množství chyb založená na měřeních šumu a dvouch typech vyhodnocovacích chyb. Tato metoda tak zvládá zachytit i velmi nízké nebo překrývající se pravděpodobnostní rozdělení nesprávného homomorfního vyhodnocení.

Fully Homomorphic Encryption (FHE) is a technique that ensures data confidentiality and enables processing them at the same time. In other words, anyone can evaluate an arbitrary (computable) function over encrypted data, without ever decrypting it. After evaluation, only the legitimate holder of the secret key is capable of decryption – what she finds is the same result as if the function were evaluated over plain, unencrypted data. The history of FHE dates back to 1978 when Rivest et al. proposed the existence of an FHE scheme as a challenge. After more than 30 years, the challenge was resolved by Gentry in 2009 who gives a positive answer with his first-ever (publicly known) FHE scheme. However, the first-generation FHE schemes suffer from rather impractical computational overhead: reported by Gentry et al., a primitive bit-wise operation took around 30 minutes to evaluate on ordinary hardware. Since then, FHE schemes, as well as their implementations, made a tremendous progress: with state-of-the-art implementations, a similar operation only takes lower tens of milliseconds on ordinary hardware or about 500 μs on a specialized hardware (as of Q2/2023). Despite those speed-ups, the computational overhead of homomorphic evaluation using FHE over plain evaluation still remains significant. This thesis studies manifold aspects of fully homomorphic encryption. In particular, it aims at improving FHE: (i) correctness-wise: analyze the error growth which is intrinsic to most existing FHE schemes; (ii) performance-wise: enhance the performance of selected homomorphic operations; and (iii) scalability-wise: enable multiple holders of the secret keying material. One of the main contributions of this thesis is fast integer arithmetic over encrypted data, using the TFHE Scheme (Chillotti et al., Asiacrypt ’16) which is one of the state-of-the-art FHE schemes. Integer arithmetic operations are among the most fundamental ones, implemented as part of most microprocessors’ instruction set. Therefore, there is a strong motivation to push the latency of their homomorphic counterparts as low as possible. The proposed approach employs a certain non-standard integer representation for which there exists a parallel addition algorithm, upon which other arithmetic operations are constructed. The benefit of parallelization of arithmetic operations stems from the parallelization-unfriendliness of the most expensive operation of TFHE. On the one hand, this approach may reduce the latency significantly – in particular for long inputs and with a sufficient amount of parallel resources. On the other hand, certain computational overhead is imposed which implies spending more overall processor time. Besides improving the performance of fundamental homomorphic operations, a variant of FHE where multiple parties hold shares of the secret key is studied in this thesis and a new scheme is proposed. Compared to previous attempts, the new scheme not only outperforms them in terms of latency, it is also capable of a practical instantiation with an order of hundreds of parties—which the previous ones were not—thanks to its low error growth. Last but not least, a new method for a practical error assessment is proposed: based on noise measurements and two types of evaluation errors, this method captures even very low or overlapping probability distributions of incorrect homomorphic evaluation.