Neexistuje nic takového jako plně homomorfní dešifrování. Kdykoli uvidíte systém, který používá FHE k výpočtu vašich citlivých dat, pamatujte: někdo má klíč. Pokud to nejste vy, důvěřujete jim?

Při daném Enc(data) vám FHE umožňuje vypočítat Enc(f(data)) pro libovolné f. Někdo ale musí výsledek dešifrovat! Existují dva scénáře a) Vaše data, váš klíč, právě jste outsourcovali výpočty. Bezpečné, ale málokdy stojí za režii FHE. b) Jsou to tajná data více lidí, takže kdo získá klíč?

Scénář B je místo, kde vidíme navrhované protokoly IRL: darkpooly, soukromé systémy proti praní špinavých peněz atd. Žádná osoba není důvěryhodná, že drží klíč, existuje výbor pro dešifrování prahů. Bezpečnost celého řešení však závisí na výboru, nejen na "šifrování"!

Aby bylo jasno, existují pro to legitimní případy použití a některé velmi působivé výzkumy. ALE, diskuse o bezpečnosti by pro ně měla být "ok, kde je klíč?"

Protože se to zdá být přehlíženo: jde o to, že protokol FHE zahrnující více stran má stejné bezpečnostní předpoklady a kompromisy jako protokol MPC. Kdo drží klíče/akcie a mělo by se jim věřit, že se nedohodnou? Pro MPC je to dobře pochopeno, ale pro FH tomu tak není.

Protože se to zdá být přehlíženo: jde o to, že protokol FHE zahrnující více stran má stejné bezpečnostní předpoklady a kompromisy jako protokol MPC. Kdo drží klíče/akcie a mělo by se jim věřit, že se nedohodnou? Pro MPC je to dobře pochopeno, ale pro FHE tomu tak není.

Jakmile přijmete, že FHE zásadně závisí na předpokladu netajných dohod/nekompromisů pro prahové dešifrování, existuje jedna velmi skromná bezpečnostní výhoda oproti MPC: Držáky klíčů jsou méně odkryté než v MPC. Pouze dešifrují, nepočítají funkci.

Odvrácenou stranou mince je, že většina FHE vám nezajistí integritu, takže dodat, že potřebujete např. zk důkazy. Tak zcela nedotčené pro ochranu soukromí a integritu FHE hodnocení je ještě dražší.