Cifrado Completamente Homomórfico: La Tecnología Que Computa Sobre Secretos

Craig Gentry demostró que era posible en 2009, después de aproximadamente tres décadas en las que los criptógrafos se preguntaban si podría existir. La idea: cifras tus datos, se los entregas a otra persona, esta realiza cálculos sobre ellos, te devuelve un resultado y, cuando descifras ese resultado, es correcto. La persona que realizó los cálculos nunca vio tus datos. No una versión depurada. No un hash. Los valores subyacentes reales, nunca expuestos, ni siquiera por una microsegundo. Eso es la encriptación totalmente homomórfica — una forma de cifrado que permite a terceros realizar cálculos sobre tus datos sin jamás desencriptarlos.

Entonces, ¿qué es FHE (Encriptación Totalmente Homomórfica)? No es un truco. Es una propiedad matemática de ciertos esquemas de cifrado. Le envías a alguien una caja cerrada. Reorganiza el contenido. La abres y la disposición es correcta. Nunca tuvieron la llave.

Por qué las alternativas no son suficientes

Antes de entrar en cómo funciona FHE, vale la pena ser específicos sobre el problema que resuelve, porque la mayoría de los enfoques para "calcular sobre datos sensibles" implican una compensación que la gente ha aprendido a aceptar sin cuestionarla.

El enfoque estándar: cifrar datos en reposo y en tránsito, descifrar antes de procesar. Tu proveedor de nube, tu proveedor de análisis, tu servicio de ML — todos necesitan texto plano para hacer su trabajo. Les extiendes confianza por necesidad. Esto funciona hasta que no lo hace: una brecha, una citación judicial, una amenaza interna, una política de acceso mal configurada.

Los entornos de ejecución de confianza (TEEs) como Intel SGX crean una región de memoria protegida que ni siquiera el sistema operativo puede leer. El cálculo sensible ocurre dentro del enclave. Esto es genuinamente útil, pero estás confiando en el fabricante del hardware y apostando a que la implementación del enclave no tiene fallas explotables. SGX ha tenido varias.

La privacidad diferencial añade ruido estadístico calibrado a los resultados de las consultas, lo que limita cuánto puede inferir un atacante sobre los individuos a partir de los resultados agregados. Protege las agregaciones, no los cálculos sobre registros individuales.

FHE es el único enfoque en el que los datos nunca se descifran en el servidor, y la prueba de seguridad no requiere confiar en ningún hardware ni en ningún tercero. La garantía es matemática.

La mecánica, brevemente

Los esquemas FHE definen operaciones aritméticas directamente sobre textos cifrados. La adición homomórfica y la multiplicación homomórfica sobre valores cifrados producen, al descifrarse, el mismo resultado que realizar esas operaciones sobre los textos planos subyacentes.

Dos operaciones parecen limitadas. No lo son. La adición y la multiplicación sobre campos binarios proporcionan puertas AND y XOR, que a su vez proporcionan circuitos digitales arbitrarios. Cualquier función que un ordenador pueda calcular puede expresarse en términos de estas dos operaciones. Ese es el puente entre "aritmética sobre números cifrados" y "cálculo arbitrario sobre datos cifrados".

El problema estructural es el ruido. Cada operación FHE introduce un pequeño error en el texto cifrado. Los errores se acumulan. Realiza suficientes operaciones y el ruido supera a la señal — el texto cifrado se vuelve imposible de descifrar. La intuición de Gentry fue el bootstrapping: evaluar el circuito de desencriptación de forma homomórfica sobre el texto cifrado ruidoso para producir un texto cifrado nuevo y con poco ruido con el mismo valor de texto plano. En otras palabras, ejecutas la desencriptación dentro del cifrado. El ruido se reinicia sin que los datos queden nunca expuestos.

Los esquemas que manejan un número acotado de operaciones antes de que el ruido se vuelva fatal se denominan nivelados o algo homomórficos. El bootstrapping es lo que justifica el "totalmente" en FHE.

Dónde se está implementando ahora

Para la mayoría de las aplicaciones, FHE sigue siendo demasiado lento. Las aplicaciones que se ejecutan hoy comparten un perfil: profundidad de circuito acotada, alta sensibilidad de los datos y una parte que puede absorber los costes de cómputo a cambio de una garantía matemática de privacidad.

La inferencia privada de ML es el caso más claro. Un cliente tiene entradas sensibles. Un servidor tiene un modelo propietario. FHE permite al servidor evaluar el modelo sobre entradas cifradas y devolver un resultado cifrado. Ninguna de las partes expone lo que está protegiendo. Zama ofrece esto para arquitecturas de modelos específicos. La profundidad del circuito es predecible y manejable.

El análisis genómico privado ha sido una carga de trabajo de referencia desde que iDASH comenzó a organizar competiciones de genómica cifrada en 2014. La puntuación de riesgo de enfermedades, los estudios de asociación de todo el genoma y la alineación de secuencias tienen todas construcciones FHE. Los datos genómicos son uno de los pocos tipos de datos donde el riesgo de privacidad es tanto permanente como se extiende a personas que nunca consintieron en compartir nada.

Las consultas financieras confidenciales cubren consultas de rango, búsquedas cifradas en bases de datos y puntuación de fraude sobre historiales de transacciones cifrados. Estas cargas de trabajo se ejecutan con poca frecuencia y los datos son suficientemente sensibles como para que la sobrecarga de cómputo sea aceptable.

La confidencialidad en blockchain es un área activa. Los Smart Contracts se ejecutan públicamente en cadena por defecto. Los sistemas basados en TFHE permiten ejecutar la lógica de contratos sobre estado cifrado, lo que habilita cosas como subastas privadas, votaciones confidenciales y mecanismos de oferta sellada donde la corrección es públicamente verificable pero las entradas no quedan expuestas. El proyecto fhEVM de Zama apunta específicamente a esto.

Fundamentos de seguridad

La seguridad de FHE se reduce a la dificultad del Aprendizaje con Errores (LWE) y su variante en anillo (RLWE). Estos problemas preguntan: dadas muchas ecuaciones lineales aproximadas sobre un anillo o retícula, recuperar el secreto. No se conoce ningún algoritmo de tiempo polinomial para ninguno de los dos, ni en hardware clásico ni cuántico.

Esto sitúa a FHE en la familia de la criptografía post-cuántica. La estandarización post-cuántica del NIST se basa en problemas de la familia LWE, lo que aporta un escrutinio y una confianza adicionales a los supuestos subyacentes. Dicho esto, LWE ha estado bajo ataque serio durante menos de 20 años. RSA y las curvas elípticas tienen más de 40 años de criptoanálisis fallido a sus espaldas. El nivel de confianza es alto, pero no idéntico.

Los parámetros gobiernan la seguridad. El grado polinomial, el tamaño del módulo y la distribución del ruido deben elegirse para que la instancia LWE sea difícil en el nivel de seguridad deseado. El consorcio HomomorphicEncryption.org publica conjuntos de parámetros recomendados. Se prefiere firmemente utilizar los valores predeterminados de la biblioteca que hayan sido validados frente a estas recomendaciones en lugar de configuraciones personalizadas.

El contexto competitivo

FHE es una de varias tecnologías de cómputo que preservan la privacidad, y cada vez se utilizan más juntas en lugar de como sustitutos.

El cómputo seguro multiparte (MPC) distribuye un cálculo entre múltiples partes, ninguna de las cuales ve la entrada completa. A menudo es más rápido que FHE para funciones específicas y es una opción natural cuando las partes están definidas de antemano. FHE funciona con un único servidor no confiable.

Las pruebas de conocimiento cero (ZKPs) permiten que una parte demuestre que una afirmación es verdadera sin revelar el testigo. Las ZKPs prueban; FHE calcula. Son complementarias, y los sistemas reales usan ambas: FHE para el cómputo privado, ZKPs para verificar que el cómputo se realizó correctamente.

Los protocolos híbridos que combinan FHE y MPC son un área de investigación activa. Ninguna tecnología por sí sola satisface todos los requisitos; combinarlas puede ofrecer mejor rendimiento y garantías más sólidas que cualquiera de las dos de forma independiente.