расшифровки зашифрованных текстов Microsoft SEAL следует рассматривать как личную информацию, доступную только владельцу секретного ключа, поскольку совместное использование расшифровок зашифрованных текстов может в некоторых случаях привести к утечке секретного ключа.
Это было введено в качестве ответа на Атака Ли Миччанчио на CKKS. Модель, в которой работает Li Micciancio [LM], представляет собой традиционную безопасность IND-CPA, дополненную оракулом дешифрования.
Этот оракул расшифровки расшифровывает только в том случае, если «идеальный» результат в левом и правом мирах совпадает, поэтому для правильный В схемах FHE (где идеальное вычисление — это вычисление, которое происходит на самом деле) понятие эквивалентно безопасности IND-CPA (любой злоумышленник может тривиально имитировать этот оракул).
Для схем, которые могут быть неверными, эквивалентность больше не выполняется, и LM может нарушить это расширенное понятие безопасности (и даже извлечь секретный ключ). В результате несколько библиотек включили контрмеры, вы можете прочитать сводку здесь. Цитирую из этого документа:
ТЮЛЕНЬ. В настоящее время модификация безопасности IND-CPA+ для алгоритмов или API не
появляются в SEAL [18]. Вместо этого в SECURITY.md отметили, что результаты расшифровки SEAL
зашифрованные тексты следует рассматривать как личную информацию, доступную только владельцу секретного ключа.
Итак, ответ на:
Означает ли это, что приложение, использующее SEAL, например. вычислить среднее значение и дисперсию в зашифрованном наборе данных, не может опубликовать (расшифрованные) результаты? По крайней мере, первые (скажем) 4 десятичных цифры среднего и 2 первые цифры дисперсии должны быть в порядке для публикации, верно?
это "это зависит". Поскольку SEAL не содержит никаких контрмер, вы (в принципе) уязвимы для атаки LM. Вы можете обработать среднее значение и дисперсию (как вы предлагаете), уменьшив точность, и это может быть хорошо (это «детерминированное округление» примерно то же самое, что добавление случайного шума к битам более низкого порядка, хотя я думаю, что есть некоторые незначительные преимущества добавления случайного шума по сравнению с детерминированным округлением). Но конкретные параметры для постобработки еще не определены.
Стоит упомянуть о том, что, хотя LM удается извлечь секретный ключ, для вычислений более сложных схем это становится менее очевидным, хотя атака с неразличимостью по-прежнему кажется простой.