Llegamos a ustedes gracias a:



Reportajes y análisis

Las herramientas de cifrado homomórfico encuentran su nicho

[13/11/2020] Las organizaciones están comenzando a interesarse por el cifrado homomórfico, el cual permite que el cómputo se realice directamente sobre datos cifrados sin necesidad de acceder a una clave secreta. Si bien la tecnología no es nueva -ha existido durante más de una década-, muchas de sus implementaciones lo son, y la mayoría de los proveedores son nuevas empresas o solo han vendido productos en los últimos años.

Si bien es difícil obtener precios precisos, la mayoría de estas herramientas no son baratas: espere gastar al menos seis cifras y firmar contratos de varios años para comenzar. Eso aumenta el riesgo potencial. Aun así, vale la pena estudiar algunas implementaciones existentes, particularmente en servicios financieros y atención médica, para ver qué tan efectivo puede ser el cifrado homomórfico para resolver problemas de privacidad y brindar información procesable de datos. Veamos algunos ejemplos dignos de mención.

  • La Community Information Exchange de San Diego utiliza cifrado homomórfico para permitir que múltiples agencias de servicios sociales compartan datos sobre sus clientes sin revelar su información personal. Esto es útil si un cliente requiere servicios de varias agencias, como un beneficio de vivienda, cupones de alimentos y medicamentos. El intercambio satisface los requisitos de privacidad de la HIPAA, pero permite la coordinación de las diversas agencias sociales para evitar la duplicación de beneficios.
  • Microsoft ha creado un proyecto de investigación destinado a mejorar la seguridad de las boletas electorales llamado Election Guard. Si bien aún no ha sido implementado en producción por ninguna junta electoral, se usó como prueba en una pequeña elección municipal para la votación primaria de Wisconsin en febrero. El problema en la votación es que los votantes tienen boletas secretas, pero quieren verificar que su voto fue tabulado. Election Guard se basa en un cifrado homomórfico y satisface las necesidades de los votantes y la junta electoral.
  • Uno de los casos de uso más convincentes es el del sector de servicios financieros. Scotiabank está utilizando tecnología de cifrado homomórfico de Duality Technologies para su detección contra el lavado de dinero (AML). Para darle una idea de cuán grande es este problema, las Naciones Unidas informan que todos los años se lavan hasta dos billones de dólares en fondos a través del sistema financiero. Estos incluyen una amplia gama de actividades ilícitas como el terrorismo, drogas, ciberataques y tráfico de personas.

Con AML, puede correlacionar y consultar las actividades de los delincuentes en varios bancos, pero no puede revelar quiénes son los objetivos debido a las regulaciones de privacidad. El cifrado homomórfico ofrece la posibilidad de obtener esta información sin revelar quién es el sujeto de la consulta y, en cambio, oculta estos datos a la entidad que está procesando la consulta. Estas transacciones de banco a banco calzan con el cifrado homomórfico. La resolución de algunos de estos casos de fraude podría llevar meses, pero con el cifrado homomórfico se pueden resolver en minutos.

Encontrar los casos de uso adecuados

Eso trae a colación otro punto importante para el cifrado homomórfico: debido a que los algoritmos de cifrado utilizan matemáticas complejas para resolver problemas, toman más tiempo para procesar transacciones que los métodos no cifrados. Eso no es una sorpresa para nadie que haya trabajado en el campo del cifrado de datos, la mayor lentitud en el procesamiento se ha considerado un obstáculo para la adopción. Los proveedores de cifrado homomórfico refutan esta noción.

Ellison Anne Williams, CEO y fundadora de Enveil, firma que vende el producto ZeroReveal, basado en cifrado homomórfico, afirma: "Nuestro cifrado homomórfico no es tan rápido como la seguridad no cifrada. Ciertamente, hay una compensación de tiempo, pero no es humanamente perceptible y puede ahorrarles a nuestros clientes muchas semanas. Ella sostuvo que ejecutar una búsqueda cifrada de 20MB de datos hubiera tardado días en completarse hace cinco años, pero hoy tiene clientes que pueden hacer una coincidencia aproximada de miles de millones de transacciones cifradas que solo toman unos segundos para completarse.

Aun así, el incremento en el tiempo de procesamiento significa elegir las implementaciones de cifrado homomórfico donde tengan sentido. "Esto no es apropiado para emplearse en una aplicación de automóvil autónomo, por ejemplo, afirma Alon Kaufman, director ejecutivo de Duality. En cambio, el cifrado homomórfico tiene sentido para lo que un ejecutivo de la empresa denominó cálculos por lotes insensibles a la latencia, utilizando las últimas mejoras de eficiencia del cifrado homomórfico para ayudar a ganar adeptos. "Hace 12 años, el cifrado homomórfico no era práctico debido a sus largos tiempos de cómputo. Hoy no tiene que cifrar todo. En cambio, uno limita su enfoque y puede ejecutar sus aplicaciones de cifrado homomórficas mucho más rápido. Hemos encontrado casos de uso que pueden hacer frente a unos pocos segundos para completar los cálculos que normalmente llevaban días o semanas hacer con otros métodos, afirmó Kaufman.

Más un kit de herramientas que una herramienta

Antes de la era más reciente, la mayor parte del cifrado homomórfico era una colección de bibliotecas de códigos o proyectos de código abierto que requerían un alto nivel de habilidad para implementar, como expertos en matemáticas o en ciencia de datos. Por ejemplo, estos tres proveedores tienen más demostraciones de cifrado homomórfico que productos reales:

  • IBM tiene una serie de kits de herramientas de cifrado, totalmente homomórfico para iOS y Mac OS, que incluyen muestras de código e integración con ambientes de desarrollo.
  • Microsoft tiene su proyecto SEAL. Su biblioteca aritmética cifrada simple se inició a fines del 2018 y es de código abierto con muestras de código de cifrado homomórfico .Net y C++.
  • Google tiene sus proyectos de código abierto Private Join y Compute en GitHub. Estos se basan en un artículo de investigación sobre su concepto de cifrado homomórfico, llamado suma de intersección privada con cardinalidad. El simple hecho de entender ese título requiere una clase de matemáticas a nivel de posgrado.

Productos de cifrado homomórficos empaquetados

Lo que ha ayudado a los nuevos proveedores de cifrado homomórfico es que pueden ocultar los cálculos de cifrado homomórfico, así como el procesamiento de cifrado del uso real de sus productos. "A nadie debería importarle cómo funciona el cifrado, siempre que realmente funcione, afirma Kaufman. Esto hace que todos estén más preparados para la industria, y es mejor que intentar implementar un proyecto de codificación de Google o IBM. Entonces, ¿cuáles son los componentes típicos?

Primero, cada producto necesita dos agentes que trabajen en conjunto para cifrar los datos en el lado del servidor y procesar los datos cifrados en el lado del análisis. No se está realizando ningún descifrado real -esto no es como las transacciones de capa de sockets seguros-. La clave es poder seleccionar cuidadosamente la porción de datos que necesitan cifrarse.

En un contexto bancario, solo necesita algunos detalles sobre la transacción para identificar al cliente y la acción bancaria resultante. Los agentes se comunican a través de una colección bien estructurada de APIs que son específicas para cada producto. Estos interactúan con la aplicación backend, como una base de datos, una aplicación CRM o alguna otra recopilación de datos estructurados, y hacen que el proceso de cifrado y consulta sea transparente para el usuario final.

En segundo lugar, debe controlar qué datos necesita para extender, más allá de su empresa, y cómo pretende colaborar con sus socios en otras empresas. ¿Qué se debe mantener en privado (por razones reglamentarias o de otro tipo)? ¿Qué sistemas se integrarán entre sí y cómo ocurrirá esta integración? ¿Qué programación debe realizarse y quién la hará, ya sea internamente o utilizando uno de los proveedores de cifrado homomórfico o sus propios integradores para hacerlo?

La siguiente tabla compara algunos de los productos de cifrado homomórfico y los mercados a los que se dirigen.

Cifrado homomorfico, seguridad

Este sigue siendo un mundo nuevo y audaz. En los próximos años, espere ver más herramientas de cifrado homomórfico de proveedores de bases de datos y plataformas de datos. El equilibrio entre seguridad y privacidad es una razón sólida para investigar estas herramientas.