Проблемы и будущее проверяемых вычислений, сохраняющих конфиденциальность
10 января 2024 г.:::информация Этот документ доступен на arxiv по лицензии CC 4.0.
Авторы:
(1) Тарик Бонтекое, Гронингенский университет;
(2) Димка Карастоянова, Гронингенский университет;
(3) Фатих Туркмен, Гронингенский университет.
:::
Таблица ссылок
Доказательства с нулевым разглашением и проверяемые вычисления
Вычисления, обеспечивающие конфиденциальность
Требования: точка зрения приложения
Проверяемые вычисления с сохранением конфиденциальности
Открытые проблемы и будущие направления
7. Открытые вызовы и будущие направления
Наша классификация демонстрирует широкий спектр решений, но, что более важно, мы заметили ряд проблем. В этом разделе мы отвечаем на вопрос 4, более подробно обсуждая наблюдаемые открытые проблемы, то есть C1–C4, и представляя новые идеи для будущих направлений исследований.
Публично проверяемое 6-го гомоморфное шифрование (C1 и C2). В последние годы HE быстро стало более практичным, и дальнейшее повышение эффективности является темой активных исследований. Поддающиеся проверке решения гомоморфного шифрования начали появляться совсем недавно. Из-за этого количество решений по-прежнему довольно ограничено, и большинство решений пока не подходят для практического использования.
Многие решения, особенно основанные на MAC, обеспечивают только закрытую проверяемость, а не более строгое понятие публичной проверяемости, поскольку для проверки требуется использование секретного ключа. Могут существовать способы обойти эти ограничения, например, путем проверки MAC без знания полного секретного ключа, аналогично [40], [82].
Мы также заметили, что подходы на основе MAC часто не являются достаточно общими для поддержки всех типов вычислений. В частности, операции по поддержанию зашифрованного текста часто не согласуются с используемым гомоморфным MAC и поэтому не могут быть выполнены.
Решения на основе ZKP действительно имеют общую применимость, однако все еще слишком неэффективны, чтобы их можно было применять для практических, не говоря уже о крупномасштабных вычислениях. В основном это связано с противоречивыми требованиями между конструкциями ЗКП и схемами ВО. Такие решения, как Rinocchio [86], являются шагом в правильном направлении, но они очень новы и требуют усовершенствований, чтобы стать практичными.
В настоящее время неясно, какой подход к решению наиболее подходит для проверяемой HE, поскольку все они имеют разные плюсы и минусы. Чтобы ответить на этот вопрос, необходимы дополнительные исследования.
Эффективная общедоступная проверка 6 на основе стандартных предположений 7 (C3). Многие эффективные решения основаны на нестандартных предположениях безопасности или требуют доверия и доступа к конкретному оборудованию. Особенно это касается решений, использующих zk-SNARK или TEE. Решения, основанные на неточных ZKP, обеспечивают лучшие гарантии безопасности, но имеют значительно больший размер доказательства и время проверки. С другой стороны, почти все конструкции, использующие MAC, не обеспечивают публичной проверки, что часто желательно на практике.
Несмотря на то, что все конструкции zk-SNARK основаны на (нестандартных) предположениях о знаниях, мы видим улучшения в других аспектах безопасности, таких как удаление доверенных настроек в прозрачных zk-SNARK, например, Fractal [49] и SuperSonic [50]. Повышение эффективности этих прозрачных конструкций до сих пор остается темой активных исследований.
Аналогичным образом мы видим новые эффективные ZKP из стандартных предположений, такие как сжатые Σ-протоколы [27] или Σbullet [26]. Эти схемы уже применяются в новых конструкциях проверяемых ПЭТ. В связи с активными исследованиями схем ZKP с более благоприятными свойствами, мы прогнозируем новые разработки, которые также повлияют на проверяемые ПЭТ.
Постквантовая безопасность 8 (C4). В мире, где угроза квантовых компьютеров для классической криптографии быстро растет, постквантовые безопасные решения будут становиться все более важными [101]. Особенно в случаях с публичной проверяемостью, когда зашифрованные тексты и/или обязательства становятся общедоступными, прямая безопасность (т. е. защита от атак типа «хранить сейчас — расшифровать позже») должна быть гарантирована с помощью постквантовых безопасных решений [66].
Большинство последних схем FHE считаются постквантовыми, а информационно-безопасные протоколы MPC существуют уже давно. Однако многие другие примитивы, используемые для создания схем проверяемых решений обработки, сохраняющих конфиденциальность, как описано в этой работе, не удовлетворяют таким свойствам. Большинство конструкций ZKP и схем обязательств, используемых в настоящее время, не защищены от квантового противника.
В большинстве работ, попавших в нашу систематизацию, не обсуждались постквантовые безопасные свойства их решений. И действительно, для большинства решений это также не справедливо. [72] действительно используют множество примитивов постквантовой безопасности, и они также ожидают, что будет возможным сделать их протокол полностью постквантовым безопасным, не вдаваясь в подробности.
Аутентифицированные входные данные (направление на будущее). Возможность проверки вычислений, сохраняющих конфиденциальность, гарантирует, что (публичные) выходные данные вычисляются правильно на основе секретных входных данных. Другими словами, ни одна коррумпированная сторона не вмешалась в результаты. Однако коррумпированные лица все равно могут выдавать неверные или вредоносные результаты, предоставляя ложные входные данные.
В большинстве реальных случаев использования одной только правильности вычислений будет недостаточно, и потребуется аутентификация ввода. Можно защитить весь конвейер данных от аутентифицированного ввода до результата, объединив их. Более того, такие решения можно использовать для обеспечения воспроизводимости, т. е. можно гарантировать, что вычисления проверяемо выполнялись на одних и тех же данных. Это означает, что различные вычисления с одними и теми же данными дадут сопоставимые и, следовательно, более полезные результаты.
В нашем анализе мы увидели одно недавнее решение [76], которое фокусировалось как на проверяемости, так и на аутентификации ввода. Однако правильность вычислений не поддавалась публичной проверке и была более ограничена в отношении коррупции честных сторон, чем другие решения. Мы отмечаем, что идея ZKP для аутентифицированных данных была исследована, например, в [102], а проект аутентификации входных данных для проверяемых ПЭТ стал актуальной темой исследования.
Повторное использование (направление на будущее). На практике мы часто используем разные алгоритмы для одних и тех же данных или одни и те же алгоритмы для разных данных. Логично, что может возникнуть вопрос, может ли повторное использование, например, обязательств по входным данным/результатам, повысить эффективность, сократить общение или обеспечить гарантии воспроизводимости. Решения, которые мы нашли в ходе нашего анализа, практически не уделяли внимания такому повторному использованию.
Однако в последние годы мы видели ряд непроверяемых решений для многоразового MPC [103] или многоразового GC [104]. Благодаря повышенной эффективности и меньшему количеству коммуникаций повторное использование особенно полезно в децентрализованных условиях с большими объемами данных или множеством участников. Преимущества становятся еще более очевидными при рассмотрении поддающихся проверке ПЭТ, например, при использовании дорогостоящих ЗКП.
Оригинал