Sikre beregninger fra kryptografi – hvordan samarbeide om hemmelige data uten å røpe hemmeligheter

Abstract

Ved hjelp av moderne kryptografi kan vi utføre sikre beregninger, der ingen får innsyn i andre data enn de skal. Det gjør oss i stand til å redusere risikoen som følger av å dele data med andre organisasjoner eller personer, uavhengig av hvor gode de er til å holde informasjonen hemmelig. Vi har studert tre metoder: Sikre flerpartsberegninger (secure multiparty computations – MPC) Når flere parter har fortrolige data, kan man bruke MPC for å regne på disse dataene i fellesskap og gi resultatene til partene som skal ha dem. Ingen av partene vil se mer enn deres egne data og sluttresultatet. MPC er et forholdsvis modent område, og selv om det i liten grad finnes pakkeløsninger, kan det brukes i dag. Homomorf kryptering (fully homomorphic encryption – FHE) Dersom én part har sensitive data, og en annen, ikke-tiltrodd part har beregningsressursene, kan den første kryptere dataene med et FHE-system og sende dem til den andre. Den andre kan da regne på dataene og sende dem tilbake, men uten å ha sett noe i klartekst. FHE er også nyttig dersom parten med beregningsressursene ønsker å holde algoritmene for seg selv. Forskerne forstår FHE godt, men på grunn av svært store chiffertekster er det mindre anvendbart i praksis. Skreddersydd dekryptering (functional encryption – FE) Ideen forklares enklest med et eksempel: Eieren av en stor database kan kryptere hele databasen og distribuere den til flere interessenter med ulike behov og tillitsnivå. Disse kan få utdelt nøkler som tillater dem å bruke databasen på forskjellige måter. Noen kan for eksempel dekryptere alle dataene, noen kan bare dekryptere felter som samsvarer med deres tilgangsnivå, mens andre igjen kan beregne statistikk fra databasen, men ikke dekryptere noen enkeltdatapunkter. FE er fortsatt umodent, også i grunnforskningen. Disse metodene har noen iboende begrensninger som påvirker mulige anvendelser, men disse begrensningene finnes i stor grad også i ikke- kryptografiske løsninger som benytter seg av tiltrodde tredjeparter. Vi har tidligere utarbeidet en katalog over mulige anvendelser av teknikkene over innen nasjonal sikkerhet. Nå har vi også gått dypere inn i flere av anvendelsene og undersøkt i hvilken grad teknikkene over kan brukes til disse. Vi ser tilfeller der disse fungerer godt, og tilfeller der de ikke fungerer så godt. Det ikke bare er et spørsmål om teknologi, men også om jus, organisasjon og ikke minst intensjonen til de som laget reglene uten å kjenne til mulighetene som kryptografien kan tilby.

Modern cryptography can be used to do secure computations. It enables us to reduce the risk involved in sharing data with other organisations or persons, regardless of their ability to keep the information secret. We have studied three methods: Secure Multiparty Computations (MPC) If multiple parties have sensitive data, MPC can be used to collectively do computations on the data, and to release the results to the intended parties. No party can access more than their own data and the end result. MPC is reasonably mature, and while it is not yet available off the shelf, it has already seen several real-life applications. Fully Homomorphic Encryption (FHE) If one party has sensitive data and another, untrusted party has the resources to do computations on the data, the former can encrypt the data using FHE before sending the data to the latter. The other party can then compute and return the encrypted result without having access to any cleartext. FHE is particularly useful if the party doing the computations wants to keep their algorithms to themselves. FHE is well understood in the research community, but it is less applicable in practice due to very large ciphertexts. Functional Encryption (FE) The core idea is best explained through an example: The owner of a large database can encrypt the whole database and distribute it to numerous parties with different needs and trusts. These can be given keys that allow them to calculate different properties of the database. Some might be allowed to decrypt all the data, some might only decrypt some of the data corresponding to their specific access privileges, while others yet might only be given access to certain statistical aggregate values of the data in the database without having access to any single data point. FE is still primarily a topic for basic research. These methods have some inherent limitations that could affect possible applications, but these limitations are in most cases also present in non-cryptographic solutions based on a trusted third-party. In previous work, we have made a catalogue of possible applications of the techniques above in the area of national security. In this work we have expanded our exporation of a selection of the applications, and tried to examine whether the methods above are applicable. The results unveil both promise and challenges. We observe that they are dependent not solely on technology, but also on law, organisation, and not least the intention of those who made the rules without being aware of the possibilities offered by cryptography.