Homomorfe encryptie

Homomorfe encryptie is een vorm van encryptie die het mogelijk maakt (bepaalde) berekeningen te maken op versleutelde tekst. Het resultaat van deze berekening is ook versleuteld, maar komt na ontsleuteling overeen met het resultaat als dezelfde berekening was uitgevoerd op de oorspronkelijke klare tekst. Om de berekening uit te voeren, hoeft de versleutelde data niet eerst ontsleuteld te worden. Hierdoor kan de versleutelde data ook door een mogelijk onbetrouwbare derde partij beheerd worden.

Daar waar andere vormen van encryptie tot doel hebben voor iedereen zonder de juiste sleutel gegevens verborgen te houden, kan bij homomorfe encryptie voorkomen worden dat zelfs met de juiste sleutel iemand de klare tekst in kan zien. Vooral voor gegevens waarbij privacy of geheimhouding een rol speelt, kan zo voorkomen worden dat verkregen informatie bij decryptie terug te herleiden is naar een enkele individu of entiteit. Voorbeelden hiervan zijn beveiliging van patiëntgegevens (onderzoekers kunnen bijvoorbeeld wel het aantal patiënten of het aantal beddagen per ziekte uit de data herleiden, maar niet wie deze patiënten zijn), financiële data, en verkiezingen (het is niet te herleiden wat iemand heeft gestemd, maar de kiezer kan wel nagaan dat zijn of haar stem is meegenomen in het uiteindelijke resultaat).

Gedeeltelijke homomorfe encryptiesystemen

In onderstaande voorbeelden is de notatie ${\displaystyle {\mathcal {E}}(x)}$  gebruikt als zijnde het coderen van bericht x.

Ongepade RSA

Wanneer de publieke RSA-sleutel modulo ${\displaystyle m}$  en exponent ${\displaystyle e}$  is, wordt de encryptie van bericht ${\displaystyle x}$  verkregen door ${\displaystyle {\mathcal {E}}(x)=x^{e}\;{\bmod {\;}}m}$ . De homomorfe eigenschap is dan

${\displaystyle {\mathcal {E}}(x_{1})\cdot {\mathcal {E}}(x_{2})=x_{1}^{e}x_{2}^{e}\;{\bmod {\;}}m=(x_{1}x_{2})^{e}\;{\bmod {\;}}m={\mathcal {E}}(x_{1}\cdot x_{2})}$ 

ElGamal

In het ElGamal encryptiesysteem, in een cyclische groep ${\displaystyle G}$  van volgorde ${\displaystyle q}$  met generator ${\displaystyle g}$ , als de publieke sleutel ${\displaystyle (G,q,g,h)}$  is, met ${\displaystyle h=g^{x}}$ , en ${\displaystyle x}$  als geheime sleutel, is het coderen van bericht ${\displaystyle m}$  gedaan door ${\displaystyle {\mathcal {E}}(m)=(g^{r},m\cdot h^{r})}$ , met een willekeurige ${\displaystyle r\in \{0,\ldots ,q-1\}}$ . The homomorfe eigenschap is dan

${\displaystyle {\begin{aligned}&{\mathcal {E}}(m_{1})\cdot {\mathcal {E}}(m_{2})=(g^{r_{1}},m_{1}\cdot h^{r_{1}})(g^{r_{2}},m_{2}\cdot h^{r_{2}})\\[6pt]={}&(g^{r_{1}+r_{2}},(m_{1}\cdot m_{2})h^{r_{1}+r_{2}})={\mathcal {E}}(m_{1}\cdot m_{2})\end{aligned}}}$ 

Andere gedeeltelijk homomorfe encryptiesystemen

• Goldwasser–Micali cryptosystem
• Benaloh cryptosystem
• Paillier cryptosystem
• Okamoto–Uchiyama cryptosystem
• Naccache–Stern cryptosystem
• Damgård–Jurik cryptosystem
• Boneh–Goh–Nissim cryptosystem
• Ishai-Paskin cryptosystem

Gedeeltelijke homomorfe encryptiesystemen

Een encryptie die op een compacte wijze alle circuits evalueert.[1]

Bronnen, noten en/of referenties