Компания IBM объявила об открытии исходных текстов тулкита FHE (IBM Fully Homomorphic Encryption) с реализацией системы полного гомоморфного шифрования для обработки данных в шифрованном виде. FHE позволяет создавать сервисы для конфиденциальных вычислений, в которых данные обрабатываются зашифрованными и не фигурируют в открытой форме ни на одном из этапов. Результат также формируется зашифрованным. Код написан на языке С++ и распространяется под лицензией MIT. Помимо версии для Linux, параллельно развиваются аналогичные тулкиты для macOS и iOS, написанные на Objective-C. В ближайшее время ожидается публикация варианта для Android...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53459
Есть как минимум ожна очень серьёзная проблема во всём этом гомоморфном шифровании. Очень мало людей всё это понимает. Если RSA концептуально прост и понятен даже школьнику, эллиптика уже запредельно сложна для дилетанта, то вся эта решёточная новая экзотика уже сложна не только для дилетантов, но и для профессиональных математиков. В общем, АНБ по карману скупить ВСЕХ, кто хоть мало-мальски в этом понимает. А всем остальным можно лапши навешать, они всё равно ничего не понимают и лапшу от истины не отличат, и будут всем остальным с умным видом эту же лапшу развешивать.
> Есть как минимум ожна очень серьёзная проблема во всём этом гомоморфном шифровании.Гомоморфное шифрование конфликтует с гетероморфным шифрованием.
> вся эта решёточная новая экзотика уже сложна не только для дилетантов, но и для профессиональных математиков.Откуда ты это знаешь?
Я пошарился по ссылкам, выяснил что в HELib реализованы схемы Brakerski-Gentry-Vaikuntanathan и Approximate Number scheme of Cheon-Kim-Kim-Song, там есть ссылки на статьи, одна 27 страниц, другая 23. (Не 1500, а два десятка страниц, Карл)
И, может дело в том, что я не профессиональный математик, но что-то мне подсказывает, что если погрузиться в любую из этих статей на неделю, то разобраться в ней можно. Да, для этого неплохо было бы иметь в своей биографии курс высшей алгебры, и может хороший курс матана (это в смысле не производные/интегралы, а туда дальше, вплоть до функана). То есть, может я не заметил какой-то сокрытой там внутре сложности? Может быть, в конце-концов я не вчитывался особо, да и не профессиональный я математик -- я разочаровался в математике через три курса обучения по специальности "математика", и соответственно забил на неё -- в общем, полагаться на моё мнение не стоит.
Но именно поэтому я и задаю вопрос: откуда ты знаешь, что эти алгоритмы сложны для профессиональных математиков? Может тебе профессиональный математик об этом рассказал? Мне мнение профессионального математика по данному вопросу гораздо интереснее моего мнения, так что ты не стесняйся, поделись источником сведений.
решет. криптография и криптоанализ это вершина, т.е. понять за неделю, наверное, можно, как и утонуть в связанных темах, ситом g6k вылавливать придётся, https://simons.berkeley.edu/crypto2015/historical-papers-sem... , https://media.ccc.de/v/34c3-9075-latticehacks
> решет. криптография и криптоанализ это вершина, т.е. понять за неделю, наверное, можно,
> как и утонуть в связанных темах, ситом g6k вылавливать придётся,
> https://simons.berkeley.edu/crypto2015/historical-papers-sem...
> , https://media.ccc.de/v/34c3-9075-latticehacksБлин, видео. Мне влом смотреть видео -- это так долго, что просто ппц. А 2x скорость если включать, я английский через слово улавливаю.
https://arxiv.org/ftp/arxiv/papers/1003/1003.5304.pdf
Василий Усатюк, обзор систем ассиметричного шифрования..
https://www.researchgate.net/profile/Vasiliy_Usatyuk2/public...
Василий Усатюк, задачи теории решет-к и их взаимные редукции..
> https://arxiv.org/ftp/arxiv/papers/1003/1003.5304.pdf
> Василий Усатюк, обзор систем ассиметричного шифрования..
> https://www.researchgate.net/profile/Vasiliy_Usatyuk2/public...
> Василий Усатюк, задачи теории решет-к и их взаимные редукции..О, круто, спс. Но это, в целом подтверждает моё мнение. Там нет ничего недоступного пониманию. Самый интересный вопрос -- это вопрос сложности взлома системы, но этот вопрос одинаково висит в воздухе как для RSA так и для этих решёток. Только что с разложением чисел на множители математики дольше возились и поэтому лучше знают. В обоих случаях известные методы непрактичны из-за своей вычислительной сложности, но доказать, что нет неизвестного ещё метода, который был бы практичным -- невозможно. И вот в этом можно утонуть, можно всю жизнь посвятить разложению чисел на простые множители или решению SIVP задачи.
А, не, может быть исходный аноним был прав: если разложение простых чисел на множестве проще для понимания не-математика, то может быть больше не-математикой будет этим заниматься, и соответственно задача будет лучше исследована? Но это можно проверить: как много не-математиков за последние, допустим, 50 лет, публиковали какие-нибудь прорывные статьи на тему разложения простых чисел на множители?
в аналитической математике нет устаревших методов, всё это движется как в пруду в парке, решетки а больше полностью гомоморфное шифрование (тм, патент 100500) это как листок, который слегка обогнал застрявшие на коряге, чтобы где-то застрять дальше самому, и этот спринт оказывает влияние на многие смежные консервативные процессы.
https://www.researchgate.net/profile/Vasiliy_Usatyuk2/public...
перевод, выполненный тем же человеком
тут ссылки (англ.) по discrete gaussian sampling: https://gitlab.com/palisade/palisade-development/blob/master...
добавил сноску из нескольких книг https://easyupload.io/bf0bxq
Сначала вы ненавидите раст, а потом разрабатываете и начинаете любить.
>Код написан на языке С++
В новости не было даже ни слова про раст, но анонима с опеннета уже было не остановить.
> В новости не было даже ни слова про раст, но анонима с
> опеннета уже было не остановить.Может быть у него ассоциация сработала гомо... чото там, ага про раст значит?!
"Международная американская кампания герба... кхххх... "
так толсто что даже тонко :)
> В новости не было даже ни слова про раст
> Реализация написана на Rust и Python
Чукча не читатель: "Из других наработок ... Microsoft и Гарвард". К описываемому продукту IBM-а это не относится.
ты как студент из анекдота про блох и собаку.
Здравствуйте, не хотите ли поговорить про Rust?
свидетели растовы...
Пыхтонрасты, сэр!
Ты постом промахнулся :)
еще нужно написать про systemd, для полной картины
И про сжв. Самые любимые темы для попеннета
писали прогеры, дышавшие воздухом.
Ахахаа)
IBM всегда может порадовать чем-нибудь крутым и концептуальным. Хоть я и не совсем понимаю в чем такой уж принципиальный профит с сложения и умножения шифрованных данных "по жизни".
> С практической стороны фреймворк может оказаться полезен для организации конфиденциальных облачных вычислений, в системах электронного голосования, в анонимизированных протоколах маршрутизации, для шифрованной обработки запросов в СУБД, для конфиденциальной тренировки систем машинного обучения. В качестве примера применения FHE упоминается организация анализа информации о пациентах медицинских учреждений в страховых компаниях без получения страховой компанией доступа к сведениям, которые могли бы идентифицировать конкретных пациентов.
> С практической стороны фреймворк может оказаться полезен для организации конфиденциальных
> облачных вычисленийЯ бы на это не очень уповал: некооперативный хост может запатчить сам код, и тот сделает с данными что-то еще, возьмет другие данные, или мало ли чего. А то что он не сможет их расшифровать - обидно, конечно, но в крипто есть навалом ситуаций когда все это и не надо оказывается в результате - ведь цель достигается и без этого.
> анализа информации о пациентах медицинских учреждений в страховых компаниях без получения
> страховой компанией доступа к сведениям, которые могли бы идентифицировать конкретных пациентов.Это звучит как-то очень мутно и подозрительно. Это как? Типа часть полей шифрованая а часть нет?
> Это звучит как-то очень мутно и подозрительно. Это как? Типа часть полей шифрованая а часть нет?Это так, что они придумали, как перемножать и складовать прямо зашифрованные поля, без расшифровки на любом из этапов. На самом деле идея не нова. И существующие алгоритмы (например, RSA) вполне позволяли перемножать уже зашифрованные данные. Но чтобы можно было реализовать любые вычисления в шифрованном виде, нужно, чтобы шифрование позволяло ещё и сложение. Тогда из двух операций можно сделать вычисление практически любой функции, т.е. это позволяет производить тьюринг-полные вычисления, не расшифровывая данные. Разумеется, для этого нужно знать (хотя бы примерно) значение зашифрованных полей, т.е. структуру записей. Например, чтобы статистическую обработку производить.
ну получил ты зашифрованную сумму - и что с ней делать?
Получить сумму - это уже старый век. Сейчас (пока больше в papers) уже почти научились применять полноценные ML алгоритмы на зашифрованных данных. Т.е. можно реализовать сценарий, когда корпорация обучила на данных добровольцев нейросеть поиску опухоли по снимку, например. Ты шифруешь свой снимок, отправляешь в их облако и получаешь зашифрованный вердикт. Причем так, что ни снимок, ни вердикт корпорации не утекают.
Вы допустили ошибку, предполагая, что сетка будет обучаться на шифрованных данных.
Ну, много чего можно придумать. Но как уже сказали - ML ложится хорошо на умножение. Но можно и любые вычисления и алгоритмы реализовать, в принципе). А имея сложение И умножение можно построить любую функцию, только комбинируя эти две операции.Открою секрет - для того, чтобы написать любую программу - совсем не обязательно иметь несколько сотен инструкций, как у современных CPU. Гипотетически, достаточно одной удачно подобранной инструкции, позволяющей реализовать любую другую инструкцию через несколько операций - об этом можно почитать (OISC; One Instruction Set Computer). Просто сложнее программировать такое, т.к. для любых операций, для которых в других архитектурах уже есть примитивы в виде инструкций - тебе придётся самому собирать примитив, комбинируя хитрыми способами эту единственную инструкцию.
Тут идея такая же - только у тебя есть две операции: сложение и умножения. Хитро их комбинируя можно получить любую вычислимую функцию, т.е. получаются тьюринг-полные вычисления. Да, это сложнее, чем программирование с полным набором инструкций, но зато получается абсолютная приватность - данные не только передаются в зашифрованном виде, но и обрабатываются, никогда не расшифровываясь даже в памяти.
А зачем нужна зашифрованная сумма - тут тоже уже ответили :). Ты, по сути, на медицинских данных, которые закриптованы - можешь обучить нейронку, не видя ни разу открытых данных. С одной стороны - не нарушается медицинская тайна. Ты можешь потрогать только закриптованные данные. С другой стороны - алгоритмы машинного обучения, крутящиеся вокруг умножения матриц всё равно работают, и ты, в общем-то, можешь обучить нейронку (и при этом, сторона, которая обучала нейронку не сможет посмотреть ни оригинальные данные, ни погонять нейронку, что она наобучала). Т.е. можно спокойно обучать нейронки в облаке на конфиденциальной закриптованной инфе, и не раскрыть ни датасет, на котором они обучались, ни результат обучения, т.к. без ключа результат вычислений будет так же выглядеть, как мусор.
Сказки, как всегда, красивые, а на практике уже лёгкий невидимый макияж сломал все ваши нейросетки.
Сетки - это лишь один возможный use case для этого)
> И существующие алгоритмы (например, RSA) вполне позволяли перемножать уже зашифрованные данные.RSA - частично гомоморфна.
Мне одно только не понятно, в случае с RSA это представляется так:
f( (a * b) ) = f(a) * f(b)
где f(x) - функция шифрования, то есть основная операция * (умножения) она одна - мультипликативность.
А вот тут по ссылке "Полностью_гомоморфное_шифрование"
https://ru.wikipedia.org/wiki/%D0%9F%D0%...
в разделе "Определение" описаны следующие условия:
Dec(Enc(m1) (x) Enc(m2)) = m1 * m2 - для умножения
Dec(Enc(m1) (+) Enc(m2)) = m1 + m2 - для сложения
m1 и m2 - открытый текст.
Enc() и Dec() - функции шифрования и дешифрования.Так вот, тут же операция (+) и арифметический + - это ведь две разные операции? И зачем должна быть задействована Dec() функция? И все тупо сводится в нахождении этой (+) операции.
> И зачем должна быть задействована Dec() функция?Равенства показывают основную суть гомоморфного шифрования, а именно
> Dec(Enc(m1) (+) Enc(m2)) = m1 + m2.
существует такая операция (+) над зашифрованными данными, после которой расшифровка эквивалента сумме оригинальных сообщений. Это суть. Вот зачем здесь Dec().
> операция (+) и арифметический + - это ведь две разные операции?
Да.
Ясно, спасибо.
Это круто, потому что имея и сложение, и умножение в гомоморфной системе шифрования - можно построить любые тьюринг-полные вычисления с шифрованными данными.
И поиск по подстроке?
Я так понял (из семинара по теме) - можно и поиск по подстроке реализовать, но будет медленно. Там каждый if требует обмена данными между клиентом и сервером, т.е. упирается в RTT. Это компенсируют с помощью SIMD операций большой длины - их можно выполнить за 1 хоп. Поэтому основное направление исследований - ML на гомоморфном шифровании, там как раз умножения матриц хорошо укладываются на SIMD.
Только искомая подстрока тоже должна быть в зашифрованном виде ;)
Ты теперь потенциально можешь развернуть свое mega.nz. Если не знаешь в чем смысл mega, то ничего страшного -- другие поймут)
>обычные корпоративные программистыЭто оскорбление?
Ты гомоморфофоб что ли?
О. гомоморфофобовед детектед
о, а ты - гомоморфофобоведовод.
О, аноним атакует анонима.
не удивлюсь, если это один и тот человек
И этот человек ты?
Нет ты!
Это эвфемизм. Подразумеваемое додумайте сами.
Нет. Это же про жабистов.
Только для женщин программистов и приравнивающих себя к ним.
Ужас какой, я пытался понять, но так и не понял в чем смысл этой новости
математики в очередной раз пытаются натянуть сову на глобус и показать, что это аддитивная операция.
никто не хочет понять, но я объясню тебе...смотри:
- есть ты, чувак который написал супер крутой бизнес алгоритм, но не хочеш его сливать в паблик зажал себе и береш на обработку своим алгоритмом данные от бизнесов.- есть я, чувак с бизнесом которому пипец как надо посчитать мои данные на твоем алгоритме, но сами данные я тебе раскрывать не хочу потому что ты сольеш их налево конкурентам, или себе нахомячиш.
ну и как нам быть?
и тут приходит гомоморфное шифрование, где я тебе даю данные в шифрованом виде, твой алгоритм их считает и выдает мне резултат, который дешифровать могу только я.
В результате:
- я не знаю твоего алгоритма,
- ты не знаеш моих данных,
но все получили профит и довольны. Круто же!
- есть Сахарный Мальчик, который сливает 90 млн аккаунтов со всеми потрохами.
Правильная ссылка - вот:
https://github.com/homenc/HElibПо той, что в новости, ничего интересного, зависимость на homenc/HElib и всякие докерфайлы и странные обертки студенческого качества.
Библиотека HElib тоже является разработкой IBM. На основе этой библиотеки, изначально исследовательской, сейчас пытаются построить готовый продукт.
Я в курсе, что их. Просто указываю, по какой ссылке что-то действительно интересное, а не докерфайлы.
As one of the authors of the toolkit (Eli), you can probably appreciate that we are indeed trying to make it easier to consume for more people. Not everyone has the skill or time to set up a development machine with a properly configured NTL, GMP, and HElib stack. Furthermore, most people do not have examples beyond the simple examples that come with HElib today. Even for those who cannot follow the mathematics, the examples are there to run and experience. We packaged some more interesting toy examples than the ones shipped with HElib, and included the ML helper library in this release that is not available in the HElib base. I would say we provided more than amateur docker files here. We also took the time to include a built-in pre-configured editor, ready to build and run those new examples to make it as easy as possible to see the technology is real and not just cheap talk. I am sorry for responding in English, but I cannot speak Russian. Thank you to the community here, and yourself for the interest and discussion.
> Добавление в каждый результат небольшого статистического "шума", не влияющего на точность извлекаемых данныхХа-ха, видели тут недавно, как малый шум вынес на* нейро-сетку :)
ibm с этим справляется https://arxiv.org/pdf/2001.00030.pdf
Суть не понял, но одобряю...
Закончатся программерские муки -
Да здравствуют шифрованные MUC-и!
А потом ещё, наверно,
Новых завезут блокчейнов...
*(multi-user conference)
Ваш проц слишком быстро считает? Даже с использованием эмуляции вебасембли на жаваскрипте? Тогда мы идём к вам с технологией шифрованных вычислений!
А разве с PGP нельзя зашифровать конференцию?
не вписывается в современые концепты, email-особенности (метаданные), https://ru.wikipedia.org/wiki/Perfect_forward_secrecy , памятные вехи проколов, хороший end-to-end в доквантовую эру
Речь идёт о шифровании многопользовательских конференций в XMPP.
каюсь, увлёкся фрилансом в каменты, а у всех должна быть одна PGP реализация типа как в wija?
Не знаю, я пользуюсь в OTR. Но в электронной почте, например, может быть любая реализация PGP.
Насколько я себе представляю, это адски сложно доказать. Т.е. людей, способных верифицировать доказательство в мире раз-два и обчёлся. А это крайне стрёмно.
Будут ошибки, как с Интелом... иногда получится не совсем точный результат, или вообще бред будет.
Жду в облаках всего мира.
>в облакахв смысле беспилотниках и подобных погремушках?
Например, в банковских базах.
как же будет выглядеть быстрофикс, когда вектор атаки на pq-схему вундервафли всё-таки найдётся
pq-related:
https://palisade-crypto.org/
https://researcher.watson.ibm.com/researcher/files/us-shaih/...
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8309.pdf
https://www.schneier.com/blog/archives/2009/07/homomorphic_e...
https://www.schneier.com/blog/archives/2019/07/google_releas...
"Next, the researchers plan to tweak the chip to run all the lattice-based cryptography schemes listed in NIST's second phase"
"Semantic Searchable Encryption Scheme based on Lattice in Quantum-era"
https://pqcrypto.org/lattice.html
(lattice-codes-multivariate-symmetric-isogeny)