Homomorfik şifreleme, kullanıcıların şifrelenmiş verileri üzerinde önce şifresini çözmeden hesaplamalar yapmasına izin veren bir şifreleme şeklidir. Elde edilen bu hesaplamalar, şifresi çözüldüğünde, işlemlerin şifrelenmemiş veriler üzerinde gerçekleştirilmesiyle elde edilenle aynı çıktıyla sonuçlanan şifreli bir biçimde bırakılır. Homomorfik şifreleme, gizliliği koruyan dış kaynaklı depolama ve hesaplama için kullanılabilir. Bu, verilerin şifrelenmesine ve şifrelenirken işlenmek üzere ticari bulut ortamlarına dış kaynak sağlanmasına olanak tanımaktadır.
Sağlık bilgileri gibi hassas veriler için, veri paylaşımını engelleyen gizlilik engellerini kaldırarak veya mevcut hizmetlerin güvenliğini artırarak yeni hizmetleri etkinleştirmek için homomorfik şifreleme kullanılabilir. Örneğin, sağlık hizmetlerinde tahmine dayalı analitiğin tıbbi veri gizliliği endişeleri nedeniyle bir üçüncü taraf hizmet sağlayıcısı aracılığıyla uygulanması zor olabilir ancak tahmine dayalı analitik hizmet sağlayıcısı bunun yerine şifreli veriler üzerinde çalışabilirse, bu gizlilik endişeleri azalır. Ayrıca, hizmet sağlayıcının sistemi ele geçirilse bile veriler güvende kalır.
Homomorfik şifreleme, gizli anahtara erişim olmaksızın şifrelenmiş veriler üzerinde hesaplama yapmak için ek bir değerlendirme yeteneğine sahip bir şifreleme biçimidir. Böyle bir hesaplamanın sonucu şifreli kalır. Homomorfik şifreleme, açık anahtarlı şifrelemenin bir uzantısı olarak görülebilir. Homomorfik, cebirdeki homomorfizme atıfta bulunur: şifreleme ve şifre çözme işlevleri, düz metin ve şifreli metin uzayları arasındaki homomorfizmalar olarak düşünülebilir.
Homomorfik şifreleme, şifrelenmiş veriler üzerinde farklı sınıflarda hesaplamalar gerçekleştirebilen birden çok şifreleme şeması türünü içerir. Hesaplamalar, Boolean veya aritmetik devreler olarak temsil edilir. Bazı yaygın homomorfik şifreleme türleri kısmen homomorfik, biraz homomorfik, seviyelendirilmiş tam homomorfik ve tamamen homomorfik şifrelemedir:
Kısmen homomorfik şifreleme; örneğin toplama veya çarpma gibi yalnızca bir tür kapıdan oluşan devrelerin değerlendirilmesini destekleyen şemaları kapsar.
Biraz homomorfik şifreleme; yalnızca bir devre alt kümesi için iki tür geçidi değerlendirebilir.
Seviyelendirilmiş tam homomorfik şifreleme; sınırlı (önceden belirlenmiş) derinlikteki birden çok kapı türünden oluşan keyfi devrelerin değerlendirilmesini destekler.
Tam homomorfik şifreleme (FHE); sınırsız derinlikteki birden çok kapı türünden oluşan keyfi devrelerin değerlendirilmesine olanak tanır ve homomorfik şifrelemenin en güçlü kavramıdır.
Homomorfik şifreleme şemalarının çoğu için, çarpımsal devre derinliği, şifrelenmiş veriler üzerinde hesaplamaların gerçekleştirilmesindeki temel pratik sınırlamadır. İşlenebilirlik açısından, homomorfik şifreleme şemaları, homomorfik olmayan şemalardan daha zayıf güvenlik özelliklerine sahiptir.
Tamamen homomorfik bir şifreleme şeması oluşturma sorunu ilk olarak 1978’de, RSA şemasının yayınlanmasından sonraki bir yıl içinde önerildi. 30 yıldan fazla bir süredir bir çözümün var olup olmadığı belirsizdi. Bu dönemde, kısmi sonuçlar aşağıdaki şemaları içeriyordu:
RSA şifreleme sistemi (sınırsız sayıda modüler çarpma)
ElGamal şifreleme sistemi (sınırsız sayıda modüler çarpma)
Goldwasser-Micali şifreleme sistemi (sınırsız sayıda özel veya işlem)
Benaloh şifreleme sistemi (sınırsız sayıda modüler ekleme)
Paillier şifreleme sistemi (sınırsız sayıda modüler ekleme)
Sander-Young-Yung sistemi (20 yıldan fazla bir süre sonra logaritmik derinlik devreleri için problemi çözdü.)
Boneh–Goh–Nissim şifreleme sistemi (sınırsız sayıda toplama işlemi ancak en fazla bir çarpma)
Ishai-Paskin kriptosistemi (polinom boyutlu dallanma programları )
Birinci nesil FHE
Kafes tabanlı şifreleme kullanan Craig Gentry, tamamen homomorfik bir şifreleme şeması için ilk akla yatkın yapıyı tanımladı. Gentry’nin şeması, şifreli metinler üzerinde hem toplama hem de çarpma işlemlerini destekler, bunlardan keyfi hesaplama yapmak için devreler oluşturmak mümkündür. Yapı, şifrelenmiş veriler üzerinde düşük dereceli polinomları değerlendirmekle sınırlı olan, biraz homomorfik bir şifreleme şemasından başlar; sınırlıdır, çünkü her şifreli metin bir anlamda gürültülüdür ve bu gürültü, şifreli metinleri toplayıp çoğalttıkça büyür, ta ki gürültü sonuçta elde edilen şifreli metni çözülemez hale getirene kadar.
Gentry daha sonra bu şemayı ön yüklenebilir yani kendi şifre çözme devresini ve ardından en az bir işlemi daha değerlendirebilecek hale getirmek için hafifçe nasıl değiştireceğini gösterir. Son olarak, herhangi bir ön yüklenebilir biraz homomorfik şifreleme şemasının, öz yinelemeli bir kendi kendine gömme yoluyla tamamen homomorfik bir şifrelemeye dönüştürülebileceğini gösterir. Gentry’nin “gürültülü” şeması için, önyükleme prosedürü, şifre çözme prosedürünü homomorfik olarak uygulayarak şifreli metni etkin bir şekilde “yeniler”, böylece öncekiyle aynı değeri şifreleyen ancak daha düşük gürültüye sahip yeni bir şifreli metin elde eder. Gürültü çok büyüdüğünde, şifreli metni periyodik olarak “yenileyerek”, gürültüyü çok fazla artırmadan rastgele sayıda toplama ve çarpma hesaplamak mümkündür.
Gentry, planının güvenliğini iki problemin varsayılan sertliğine dayandırdı: ideal kafesler üzerindeki belirli en kötü durum problemleri ve seyrek (veya düşük ağırlıklı) alt küme toplamı problemi. Gentry’nin Doktora tezi ek ayrıntılar sağlar. Gentry’nin orijinal şifreleme sisteminin Gentry-Halevi uygulaması, temel bit işlemi başına yaklaşık 30 dakikalık bir zamanlama bildirdi. Sonraki yıllardaki kapsamlı tasarım ve uygulama çalışmaları, bu erken uygulamalar üzerinde, çalışma zamanı performansının birçok derecesini artırarak iyileştirildi.
2010 yılında, Marten van Dijk, Craig Gentry, Shai Halevi ve Vinod Vaikuntanathan, Gentry’nin inşasındaki birçok aracı kullanan, ancak ideal kafesler gerektirmeyen ikinci bir tam homomorfik şifreleme şeması sundular. Bunun yerine, Gentry’nin ideal kafes tabanlı şemasının biraz homomorfik bileşeninin, tamsayıları kullanan çok basit, biraz homomorfik bir şema ile değiştirilebileceğini gösterdiler. Bu nedenle şema, Gentry’nin ideal kafes şemasından kavramsal olarak daha basittir ancak homomorfik işlemler ve verimlilik açısından benzer özelliklere sahiptir.
Bununla birlikte, Cohen’in yöntemi toplamsal olarak homomorfik bile değildir. Levieil-Naccache şeması yalnızca toplamaları destekler ancak az sayıda çarpmayı da destekleyecek şekilde değiştirilebilir.
İkinci nesil FHE
Bu neslin homomorfik şifreleme sistemleri, 2011-2012’den başlayarak Zvika Brakerski, Craig Gentry, Vinod Vaikuntanathan ve diğerleri tarafından geliştirilen tekniklerden türetilmiştir. Bu yenilikler, çok daha verimli, kısmen ve tamamen homomorfik kriptosistemlerin geliştirilmesine yol açtı. Bunlar şunları içerir:
Brakerski-Gentry-Vaikuntanathan (BGV, 2011) şeması, Brakerski-Vaikuntanathan teknikleri üzerine inşa edilmiştir;
Devresine farksal güç analizi Lopez-Alt, Tromer ve Vaikuntanathan (LTV, 2012) tarafından şema tabanlı;
Brakerski/Fan-Vercauteren (BFV, 2012) şeması, [20] Brakerski’nin ölçeğe göre değişmeyen şifreleme sistemi üzerine inşa edilmiştir ; [21]
Devresine farksal güç analizi, Bos, Lauter, Loftus ve Naehrig (BLLN, 2013) tarafından şema tabanlı LTV ve Brakerski mikyas-değişmez şifreleme üzerine inşa;
Bu şemaların çoğunun güvenliği NTRU hesaplama probleminin aşırı gerilmiş bir çeşidine dayanan LTV ve BLLN şemaları dışında, (Ring) Hatalarla Öğrenme (RLWE) probleminin sertliğine dayanmaktadır. Bu NTRU varyantının daha sonra alt alan kafes saldırılarına karşı savunmasız olduğu gösterildi, bu yüzden bu iki şema artık pratikte kullanılmamaktadır.
Tüm ikinci nesil şifreleme sistemleri hala Gentry’nin orijinal yapısının temel planını takip etmektedir yani önce biraz homomorfik bir şifreleme sistemi oluşturuyorlar ve ardından önyükleme kullanarak onu tamamen homomorfik bir şifreleme sistemine dönüştürüyorlar.
İkinci nesil kriptosistemlerin ayırt edici bir özelliği, hepsinin homomorfik hesaplamalar sırasında gürültünün çok daha yavaş büyümesine sahip olmalarıdır. Craig Gentry, Shai Halevi ve Nigel Smart tarafından yapılan ek optimizasyonlar, neredeyse optimal asimptotik karmaşıklığa sahip kriptosistemlerle sonuçlandı: Performans{\görüntüleme stili T}T güvenlik parametresi ile şifrelenmiş veriler üzerinde işlemler {\görüntüleme stili k}k sadece karmaşıklığı var {\displaystyle T\cdot \mathrm {polilog} (k)}{\displaystyle T\cdot \mathrm {polilog} (k)}. Bu optimizasyonlar, birçok düz metin değerinin tek bir şifreli metinde paketlenmesini ve tüm bu düz metin değerleri üzerinde bir SIMD tarzında çalışmasını sağlayan Smart-Vercauteren teknikleri üzerine kurulmuştur. Bu ikinci nesil kriptosistemlerdeki ilerlemelerin çoğu, tamsayılar üzerinden kriptosisteme de aktarıldı.
İkinci nesil şemaların bir diğer ayırt edici özelliği, düzleştirilmiş FHE modunda çalışmak yerine, önyüklemeyi başlatmadan bile birçok uygulama için yeterince verimli olmalarıdır.
Üçüncü nesil FHE
2013’te Craig Gentry, Amit Sahai ve Brent Waters (GSW), homomorfik çarpmada pahalı bir “yeniden doğrusallaştırma” adımını önleyen FHE şemaları oluşturmak için yeni bir teknik önerdi. Zvika Brakerski ve Vinod Vaikuntanathan, belirli devre türleri için GSW kriptosisteminin daha da yavaş bir gürültü büyüme hızına ve dolayısıyla daha iyi verimlilik ve daha güçlü güvenliğe sahip olduğunu gözlemledi. Jacob Alperin-Sheriff ve Chris Peikert daha sonra bu gözleme dayalı olarak çok verimli bir önyükleme tekniği tanımladılar.
Bu teknikler, GSW şifreleme sisteminin verimli halka varyantlarını geliştirmek için daha da geliştirildi: FHEW (2014) ve TFHE (2016). FHEW şeması, her bir işlemden sonra şifreli metinleri yenileyerek, önyükleme süresini bir saniyeden daha kısa bir süreye indirmenin mümkün olduğunu gösteren ilk plandı. FHEW, önyükleme işlemini büyük ölçüde basitleştiren şifreli veriler üzerindeki Boole kapılarını hesaplamak için yeni bir yöntem tanıttı ve ön yükleme prosedürünün bir türevini uyguladı. FHEW’nin verimliliği, FHEW’dekine benzer bir yöntem kullanılarak önyükleme prosedürünün bir halka varyantını uygulayan TFHE şemasıyla daha da geliştirildi.
Dördüncü nesil FHE
CKKS şeması, şifrelenmiş durumda verimli yuvarlama işlemlerini destekler. Yuvarlama işlemi, bir devredeki önyükleme sayısını azaltan şifreli çarpmadaki gürültü artışını kontrol eder. Crypto2018’de CKKS, şifreli makine öğrenimi için bir çözüm olarak odaklanmıştır. Bunun nedeni, kesin değerler yerine yaklaşık değerleri şifreleyen CKKS şemasının bir özelliğidir. Bilgisayarlar gerçek değerli verileri sakladıklarında, gerçek değerleri tam olarak değil, uzun anlamlı bitlerle yaklaşık değerleri hatırlarlar. CKKS şeması, yaklaşımlardan kaynaklanan hatalarla etkin bir şekilde başa çıkmak için oluşturulmuştur. Şema, yapısında doğal sesler bulunan makine öğrenimine aşinadır.
Baiyu Li ve Daniele Micciancio’nun 2020 tarihli bir makalesi, CKKS’ye yönelik pasif saldırıları tartışarak, şifre çözme sonuçlarının paylaşıldığı senaryolarda standart IND-CPA tanımının yeterli olmayabileceğini öne sürdü. Yazarlar, saldırıyı dört modern homomorfik şifreleme kitaplığına (HEAAN, SEAL, HElib ve PALISADE) uygular ve birkaç parametre konfigürasyonunda şifre çözme sonuçlarından gizli anahtarı kurtarmanın mümkün olduğunu bildirir. Yazarlar ayrıca bu saldırılar için azaltma stratejileri önerirler ve makaleye, homomorfik şifreleme kitaplıklarının, makale kamuya açık hale gelmeden önce saldırılar için hafifletmeler uyguladığını öne süren bir Sorumlu Açıklamaya yer verirler. Homomorfik şifreleme kitaplıklarında uygulanan azaltma stratejileri hakkında daha fazla bilgi mevcuttur.