同态加密技术的现状是什么？

Question

我从一些互联网资源中得到的印象是，同态加密在计算上效率很低。然而，2010年年英飞凌新闻发布会说芯片卡的CPU可以以加密的形式进行计算。那么，对于今天的同态加密，是否没有更实际的障碍，因为普通CPU肯定比芯片卡上的CPU更强大？

Answer 1

不是的。完全同态密码学在今天是不实际的--在台式计算机上不可行，在芯片卡上也不一样。例如，参见我们姐妹网站的以下问题: Crypto.SE：什么是最实用的全同态密码系统？。(节选：“它们都不实用.”)你正在读的新闻稿可能被出版物关系的人歪曲了。嘿，这事经常发生。

用一种合理有效的方法进行部分同态密码是可能的，但这在其应用上受到了很大的限制，并且没有完全同态密码学的威力和实用性。

有关此主题的更多信息，请参见下列问题：

• 完全或部分同态加密对云有什么好处？
• 存在哪些部分同态加密实现以及如何利用它们？
• 代数同态加密和全同态加密方案有区别吗？

使用该站点右上角的搜索栏和Crypto.SE查找有关同态密码学的更多信息。

Answer 2

我不知道如何在媒体文档的字里行间阅读，但我看到的是这里，它绝不是死气沉沉的，而且我看到了很多关于云安全的热门话题--这至少在宏观上有一定程度的意义，尽管我过去实现安全解决方案的部分说：“在你看到它之前不要相信它”。

我对谷歌的看法是，它仍然是大学研究领域的一部分--还有很多数学工作要做，还有大量的计算分析。我们还需要很长一段时间才能看到公司在任何与硬件相关的或任何重要的软件实现上投入巨资--我指的是一种非常可靠、经过测试、经认证的可用于大规模计算的软件(与实验室中用于验证目的的软件相比)。

听起来，这种能力的价值很高，研究经费仍然存在。

基于评注的

添加：

随着更多的挖掘，我看到了这样的事情：

• http://www.faqs.org/patents/app/20120039473
• http://people.csail.mit.edu/joanne/vahlis-slides.pptx
• 链接

这使我坚持我最初的主张--这种类型的论文在这个时间框架内发表，如何最好地实现这一数学的本质仍然在经历着某种程度的进化。我愿意同意“不存在任何实际障碍”的意思，即“我们只是没有找到一种以高效的时间使用技术来实现这一目标的方法”--但我会说，在游戏的这个阶段，我没有看到在这个行业里有人在销售这样的解决方案赚钱--所以即使我们想出了如何有效地计算，我也没有看到它在实现中被使用。我并不是说它不会出现，但它还没有出现，而且可能还会有实现障碍--可能会随着时间和金钱而解决，一旦行业通过一些驱动用例并证明解决方案可以扩展，它的可用性就会提高。

Answer 3

恐怕英飞凌的这份新闻稿有误导性。Infineon发布了一份用于SLE 78芯片的通用标准评估安全目标文档(可下载这里)。从阅读本文档可以推断，虽然数据在内存中、总线上和寄存器中被加密，但当用于计算时(例如由ALU)，它实际上是解密的。

在这个时候，完全同态加密在芯片卡上绝对是不可行的。