当前的同态加密产品无需太多专门技能,有效性也在一些用例中得到证明。
同态加密无需密钥即可直接计算加密数据,开始引起企业和机构的关注。尽管该技术不是什么新鲜技术(已经存在了十多年),但其实现直到最近几年才陆续登场,且大多数供应商要么是初创公司,要么产品刚推出不久。
虽然确知各产品价格很难,但这些工具大部分都不便宜:预期花费至少六位数并签订多年合同才能上手。这样一来,潜在风险就不小了。而且,某些现有部署,尤其在金融服务和医疗保健领域,同态加密在解决隐私问题和交付可行数据洞察方面的有效性还有待观察。我们来看几个值得注意的例子。
圣地亚哥社区信息交易所采用同态加密方便信息交流,使多个社会服务机构能够在不泄露个人信息的情况下共享客户数据。这有助于同一客户需要从多家机构获取服务的情况,比如住房福利、食品券和药品。该交易所满足HIPAA在隐私方面的要求,同时允许各社会机构沟通协调,避免重复发放福利。
微软创建了一个旨在改善选举投票安全的研究项目,名为 Election Guard。尽管尚无任何选举委员会实际部署,但2月份的威斯康星州初选已将该产品作为测试用于一次小型市政选举中。投票的问题是,选民进行了无记名投票,但想验证自己的选票是否已计入。Election Guard基于同态加密,可以满足选民和选举委员会的需求。
金融服务行业的用例最为引人瞩目。丰业银行正将Duality Technologies的同态加密技术用于其反洗钱(AML)检测。为了让你对洗钱问题的严重性有个概念,此处援引联合国报告:每年通过全球金融系统洗出的资金高达2万亿美元。其中包括各种非法活动,例如恐怖主义、贩毒、网络犯罪和人口贩卖。
对于反洗钱,你希望能够跨多家银行关联和查询罪犯的活动,但又根据隐私法规不透露目标是哪家银行。同态加密就可以提供这种功能:既获取此类信息,又无需披露查询的对象,对处理查询的实体屏蔽这些数据。这种银行对银行的交易天然适用同态加密。破获几个此类金融欺诈案可能耗时几个月,但采用同态加密,几分钟就能破案。
寻找合适用例
这就给同态加密提出了另一个重要问题:由于加密算法使用复杂数学方法解决问题,因此与非加密方法相比,需要花费更多的时间来处理交易。从事数据加密领域工作的人对此见怪不怪,而处理速度较慢也被认为是该技术的一个采纳障碍。同态加密供应商否认这一观点。
Enveil公司销售基于同态加密的ZeroReveal产品,其首席执行官兼创始人Ellison Anne Williams称:“我们的同态加密不如未加密的安全措施快。这里面确实存在时间上的折衷,但还没达到人类所能感知的程度,而且可以节省我们客户数周的时间。”她提到,五年前,20MB数据的加密搜索需要几天的时间才能完成,但是如今,她的客户模糊匹配数十亿笔加密交易仅需几秒钟。
尽管如此,处理时间更长仍意味着需挑选合适的场景部署同态加密。Duality首席执行官Alon Kaufman表示:“例如,无人驾驶汽车应用就不适用同态加密。”而一位公司高管所谓的时延不敏感型批量计算,则很适用同态加密,可以使用同态加密的最新效率提升帮助获得追随者。“12年前,同态加密由于计算时间长而并不实用。今天,你不必加密所有内容,可以收束焦点,加快同态加密应用的运行速度。我们发现有些用例完成计算只需几秒钟,而使用其他方法通常要花费数天或数周的时间。”
多为工具包而非单一工具
几年前,大多数同态加密都是代码库或开源项目的集合,这些代码库或开源项目需要数学或数据科学家级别的高技术水平才能实现。例如,以下三家供应商的同态加密演示都比实际产品多多了:
IBM有一系列针对iOS和Mac OS的完全同态加密工具包,其中包括代码示例以及与开发环境的集成。
微软有其SEAL项目。项目的简单加密算术库始于2018年底,是提供.Net和C ++同态加密代码示例的开源库。
谷歌在Github上放了Private Join和Compute开源项目。这两个项目基于一篇关于其同态加密概念的研究论文,题为《带基数私有交集和》。光是理解标题都需要上一堂研究生水平的数学课了。
封装同态加密产品
帮助新兴同态加密供应商大步前进的是,他们可以在产品的实际使用中屏蔽同态加密计算和加密处理了。Kaufman表示:“只要确实在发挥作用,没人应该关心加密到底怎么进行的。”这就让产品更加企业就绪,比努力实现谷歌或IBM编程项目好多了。那么,都有哪些典型组件呢?
首先,每个产品都需要两个协同工作的代理,用来在服务器端加密数据和在数据分析端处理加密的数据。不同于安全套接字层交易,并没有发生实际解密。个中关键是要能够仔细选择需要加密的数据部分。
银行业务场景中,只需要一些交易相关细节即可识别客户和相应的银行业务。代理通过结构合理的一组API通信。这些API特定于每种产品,与数据库、CRM应用等后端应用程序,或其他结构化数据集交互,使加密和查询过程对最终用户透明。
其次,你需要了解须将哪些数据扩展到企业之外,确定如何与合作伙伴或其他公司的同业协作。哪些需要保密(出于监管或其他原因)?哪些系统需相互集成,如何集成?需要进行哪些编程,由谁来编——是内部编写,还是采用同态加密供应商或他们自己的集成商?
下表比较了一些同态加密产品及其目标市场。
图:同态加密产品比较
同态加密产品领域还是一片蓝海。预期在未来几年,我们可以看到成熟数据库和数据平台供应商提供更多同态加密工具。安全与隐私之间的平衡是研究这些工具的坚实理由。
