同态加密(HE)是一种隐私保护技术,可以直接对加密数据执行计算任务(例如搜索或分析),例如云服务提供商,而无需查看高度敏感的数据。数据计算是在有数据(即“可用但不可见”)的情况下进行的。同态加密被认为是最安全的隐私增强技术(PET)和加密的“圣杯”,将彻底改变企业和个人对数据资源的利用方式。同态加密作为学术研究项目已有40多年的历史,但与量子计算不同的是,同态加密技术并不是“期货”。随着近年来全球对数据安全和隐私保护的重视程度越来越高,同样在状态加密方面的不断突破和加速商业化也越来越受到关注。同态加密在反洗钱、金融诈骗、数据货币化等各个垂直领域已经有了广泛的应用。当然,没有任何技术是万能的,同态加密也是如此,人们对同态加密是否已经在商业上得到广泛应用仍然持怀疑态度。以下是关于同态加密的四个最常见的误解:误解#1:同态加密还没有准备好用于商业用途因为即使是在密文中执行最基本的操作(例如1+1等简单操作)也需要几天时间并且需要大量计算力,极大地限制了它的实用性和适用性。然而,今天情况发生了变化。随着基础信息技术的进步和应用效率的提升,同态加密现在可以在很多用例中以业务速度运行。今天,同态加密技术可以对数百万条数据记录进行加密搜索,并在数秒内返回加密的搜索结果,而不是之前的数天甚至数周。如今,商业和政府实体正在大规模使用同态加密。不是在实验室环境中,而是在生产环境中实际使用同态加密来解决实际问题。同态加密的早期采用者来自金融服务行业,主要用于反洗钱应用。虽然法规是最大限度地降低数据泄露风险和保护消费者隐私的有效手段,但合规性本身也可能使银行难以发现和揭露犯罪活动。监管指令通常会阻止跨国银行在隐私管辖区之间有效地共享数据,即使数据来自其自身机构内的分支机构也是如此。例如,如果一家英国银行想要对一位新客户进行详细调查,则没有有效或自动的隐私保护方式让他们询问世界各地的其他分支机构是否了解该客户。同态加密具有解决这一合规性挑战的独特能力,因为它在处理过程中对数据进行加密,确保不泄露来自其他隐私管辖区的敏感或私人数据。通过遍历另一个司法管辖区的数据进行加密搜索,银行可以实时获取所需信息,同时尊重潜在客户的隐私。同态加密可以保证敏感的个人信息永远不会暴露给第三方,同时也不需要将受监管的数据引入自己的管辖范围,从而有效规避合规风险。误区二:凡事都要加密同态加密可以实现独特的加密处理,对加密数据和未加密数据都可以进行搜索/分析,也就是说同态加密的操作对象不仅限于加密数据,也适用于未加密数据。在许多用例中,这种保护级别是不必要的。例如,投资者在收购或合并之前进行的研究使用标准行业工具,包括提供最新可用信息的数据聚合器。这些第三方环境中的基础数据显然不是敏感数据,投资者只需利用现有信息了解相关公司的情况即可。在上述用例中,虽然数据不敏感,但搜索查询的内容(范围)及其背后的逻辑和目的是高度敏感的,这将揭示投资者对特定公司的意图和利益诉求。如果将此游戏信息泄露给其他意义上的利益相关方,将损害投资者的议价能力。同态加密通过使投资者能够保护某些重要信息来解决这个问题,例如第三方数据聚合器提供的查询内容和查询结果,确保他们的意图永远不会被泄露。在大多数情况下,可以在数据聚合器的现有环境中提供同态加密功能,而无需以任何方式移动或更改数据。误解#3:使用同态加密的协作需要合并所有数据当今同态加密最令人兴奋的用例之一是安全数据共享和协作领域。通过允许第三方安全和私密地协作,同态加密在历史上为公私协作和重要的跨行业应用打开了大门。试想一下,国际组织第一次可以在全球范围内有效合作打击人口贩运、毒品走私和恐怖主义。过去,阻碍全球、跨行业和跨实体协作的最大障碍是需要聚合敏感数据资产,以便可以共同访问它们。由于多种原因,这是不切实际的,因为组织不愿意放弃资产所有权,这增加了他们自己的风险和责任,使组织面临违反隐私法规的风险,更不用说将客户数据暴露给第三方,从而损害客户信任和声誉,即使是出于善意。同态加密的一些实现必须对数据进行聚合和加密,这显然缺乏实用性,但是当同态加密用于专门保护与数据交互的信息(例如查询或分析)时,可以通过去中心化的方式来完成,所有贡献者被允许保持对其各自数据资产的控制和所有权。误解#4:同态加密库是同态加密解决方案虽然经常混淆,但同态加密库和基于同态加密的解决方案之间存在显着差异。可以理解为同态加密方案是房子,同态加密库是原材料。同态加密库提供了实现同态加密功能所需的基本密码组件,但要实现可用的商业级产品,还需要进行大量工作,包括软件工程、创新算法和企业集成能力。构建和维护这些库的公司的研究团队通常也能够提供相关的咨询服务,以帮助组织考虑如何设计和计划使用这些基本元素。提供同态加密解决方案的供应商提供“现成的”,包括各种同态加密库的应用。虽然一些库可能需要重构以确保产品满足特定需求,但主要的繁重工作已经完成。企业用户在调研该领域的产品时,需要弄清楚自己购买的是什么产品,是原开发模块、方案还是现房。结论隐私增强技术(PET)(包括同态加密)对数据隐私领域的影响不容小觑。这些技术旨在改变我们使用和处理数据的方式,以确保组织能够执行关键业务功能,同时将隐私保护放在首位。根据Gartner的预测,到2025年,超过一半的企业和组织将使用隐私增强计算在不受信任的环境中处理数据。在通往这一里程碑的路上,作为企业用户,我们需要警惕炒作,同时避免对颠覆性新兴技术产生偏见,以免错失巨大的技术红利窗口。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
