Chiffrement Entièrement Homomorphe : La Technologie Qui Calcule Sur Des Secrets

Craig Gentry a prouvé que c'était possible en 2009, après environ trois décennies durant lesquelles les cryptographes se demandaient si cela pouvait exister. L'idée : vous chiffrez vos données, vous les confiez à quelqu'un d'autre, cette personne effectue des calculs dessus, vous renvoie un résultat, et lorsque vous déchiffrez ce résultat, il est correct. La personne qui a effectué les calculs n'a jamais vu vos données. Pas une version expurgée. Pas un hash. Les valeurs sous-jacentes réelles, jamais exposées, pas même pendant une microseconde. C'est le chiffrement entièrement homomorphe — une forme de chiffrement qui permet à une partie tierce d'effectuer des calculs sur vos données sans jamais les déchiffrer.

Alors, qu'est-ce que le FHE (chiffrement entièrement homomorphe) ? Ce n'est pas un tour de passe-passe. C'est une propriété mathématique de certains schémas de chiffrement. Vous envoyez à quelqu'un une boîte verrouillée. Il réarrange le contenu. Vous l'ouvrez, et l'arrangement est correct. Il n'a jamais eu la clé.

Pourquoi les alternatives ne suffisent pas

Avant d'expliquer le fonctionnement du FHE, il convient de préciser le problème qu'il résout, car la plupart des approches du « calcul sur des données sensibles » impliquent un compromis que les gens ont appris à accepter sans le remettre en question.

L'approche standard : chiffrer les données au repos et en transit, déchiffrer avant le traitement. Votre fournisseur cloud, votre prestataire d'analyse, votre service de ML — tous ont besoin du texte en clair pour faire leur travail. Vous leur accordez votre confiance par nécessité. Cela fonctionne jusqu'à ce que ça ne fonctionne plus : une violation, une assignation à comparaître, une menace interne, une politique d'accès mal configurée.

Les environnements d'exécution de confiance (TEE) comme Intel SGX créent une région mémoire protégée que même le système d'exploitation ne peut pas lire. Les calculs sensibles se déroulent à l'intérieur de l'enclave. C'est véritablement utile, mais vous faites confiance au fabricant du matériel et pariez que l'implémentation de l'enclave ne présente aucune faille exploitable. SGX en a eu plusieurs.

La confidentialité différentielle ajoute un bruit statistique calibré aux résultats des requêtes, ce qui limite la quantité d'informations qu'un attaquant peut déduire sur des individus à partir des sorties agrégées. Elle protège les agrégations, pas les calculs sur des enregistrements individuels.

Le FHE est la seule approche où les données ne sont jamais déchiffrées sur le serveur, et la preuve de sécurité ne nécessite de faire confiance ni à un matériel ni à une partie tierce. La garantie est mathématique.

Les mécanismes, brièvement

Les schémas FHE définissent des opérations arithmétiques directement sur les textes chiffrés. L'addition homomorphe et la multiplication homomorphe sur des valeurs chiffrées produisent, une fois déchiffrées, le même résultat que l'exécution de ces opérations sur les textes en clair sous-jacents.

Deux opérations, cela semble limité. Ce ne l'est pas. L'addition et la multiplication sur des champs binaires donnent des portes AND et XOR, qui donnent des circuits numériques arbitraires. Toute fonction qu'un ordinateur peut calculer peut être exprimée en termes de ces deux opérations. C'est le pont entre « arithmétique sur des nombres chiffrés » et « calcul arbitraire sur des données chiffrées ».

Le problème structurel est le bruit. Chaque opération FHE introduit une petite erreur dans le texte chiffré. Les erreurs s'accumulent. Poussez suffisamment d'opérations et le bruit submerge le signal — le texte chiffré devient indéchiffrable. L'intuition de Gentry était le bootstrapping : évaluer le circuit de déchiffrement de manière homomorphe sur le texte chiffré bruité pour produire un texte chiffré frais et peu bruité avec la même valeur en clair. En d'autres termes, vous exécutez le déchiffrement à l'intérieur du chiffrement. Le bruit se réinitialise sans que les données ne soient jamais exposées.

Les schémas qui gèrent un nombre limité d'opérations avant que le bruit ne devienne fatal sont appelés nivelés ou partiellement homomorphes. Le bootstrapping est ce qui justifie le « entièrement » dans FHE.

Où il est déployé actuellement

Pour la plupart des applications, le FHE est encore trop lent. Les applications qui fonctionnent aujourd'hui partagent un profil : profondeur de circuit limitée, haute sensibilité des données, et une partie d'un côté pouvant absorber les coûts de calcul en échange d'une garantie de confidentialité mathématique.

L'inférence ML privée est la meilleure adéquation. Un client dispose d'entrées sensibles. Un serveur possède un modèle propriétaire. Le FHE permet au serveur d'évaluer le modèle sur des entrées chiffrées et de renvoyer un résultat chiffré. Aucune des deux parties n'expose ce qu'elle protège. Zama propose cela pour des architectures de modèles spécifiques. La profondeur du circuit est prévisible et gérable.

L'analyse génomique privée est une charge de travail de référence depuis qu'iDASH a commencé à organiser des compétitions de génomique chiffrée en 2014. Le calcul du risque de maladie, les études d'association pangénomique et l'alignement de séquences disposent tous de constructions FHE. Les données génomiques sont l'un des rares types de données où le risque pour la vie privée est à la fois permanent et s'étend à des personnes qui n'ont jamais consenti à partager quoi que ce soit.

Les requêtes financières confidentielles couvrent les requêtes de plage, les recherches dans des bases de données chiffrées et la détection de fraude sur des historiques de transactions chiffrés. Ces charges de travail s'exécutent suffisamment rarement, et les données sont suffisamment sensibles, pour que la surcharge de calcul soit acceptable.

La confidentialité blockchain est un domaine actif. Les Smart Contracts (Contrats Intelligents) s'exécutent publiquement on-chain par défaut. Les systèmes basés sur TFHE vous permettent d'exécuter la logique des contrats sur un état chiffré, ce qui permet des enchères privées, des votes confidentiels et des mécanismes d'offres scellées où la correction est vérifiable publiquement mais les entrées ne sont pas exposées. Le projet fhEVM de Zama cible spécifiquement cela.

Fondements de la sécurité

La sécurité du FHE se réduit à la difficulté du Learning With Errors (LWE) et de sa variante en anneau (RLWE). Ces problèmes posent la question suivante : étant donné de nombreuses équations linéaires approximatives sur un anneau ou un réseau, retrouver le secret. Aucun algorithme en temps polynomial n'est connu pour l'un ou l'autre, sur du matériel classique ou quantique.

Cela place le FHE dans la famille de la cryptographie post-quantique. La standardisation post-quantique du NIST est construite sur des problèmes de la famille LWE, ce qui confère aux hypothèses sous-jacentes un examen et une confiance supplémentaires. Cela dit, LWE fait l'objet d'attaques sérieuses depuis moins de 20 ans. RSA et les courbes elliptiques ont plus de 40 ans de cryptanalyse infructueuse derrière eux. Le niveau de confiance est élevé, mais pas identique.

Les paramètres régissent la sécurité. Le degré polynomial, la taille du module et la distribution du bruit doivent être choisis pour rendre l'instance LWE difficile au niveau de sécurité souhaité. Le consortium HomomorphicEncryption.org publie des ensembles de paramètres recommandés. L'utilisation des valeurs par défaut des bibliothèques validées par rapport à ces recommandations est fortement préférée aux configurations personnalisées.

Le contexte concurrentiel

Le FHE est l'une des nombreuses technologies de calcul préservant la confidentialité, et elles sont de plus en plus utilisées ensemble plutôt que comme substituts.

Le calcul multipartite sécurisé (MPC) distribue un calcul entre plusieurs parties, dont aucune ne voit l'entrée complète. Il est souvent plus rapide que le FHE pour des fonctions spécifiques et convient naturellement lorsque les parties sont définies à l'avance. Le FHE fonctionne avec un seul serveur non fiable.

Les preuves à divulgation nulle de connaissance (ZKP) permettent à une partie de prouver qu'une affirmation est vraie sans révéler le témoin. Les ZKP prouvent ; le FHE calcule. Ils sont complémentaires, et les systèmes réels utilisent les deux : le FHE pour le calcul privé, les ZKP pour vérifier que le calcul a été effectué correctement.

Les protocoles hybrides combinant FHE et MPC sont un domaine de recherche actif. Aucune technologie seule ne satisfait toutes les exigences ; les combiner peut offrir de meilleures performances et des garanties plus solides que l'une ou l'autre indépendamment.