Vlákno názorů k článku Nesnažíme se to vymlčet. Microsoft nemůže zaručit, že data zákazníků z ČR a EU nevydá do USA od Uncaught ReferenceError: - ale FHE můžeš použít jen na některé atributy...

ale FHE můžeš použít jen na některé atributy jako náhradu za data masking. Nemůžeš takhle schovat data, která potřebuješ používat/konzumovat v cloud prostředí.

Hlavní ale důvod, proč se FHE dostává zase do popředí je MPC (multi-party computation), jak zmiňuješ, prostě si potřebuji vyměnit data s dalšími subjekty a jsem od GDPR či jinou legislativou.

Problém všech těhle FHE implementací (vč. SAP) je jejich uzavřenost a skoro nemožnost je zvalidovat, stejně tak neexistuje ještě dostatek výzkumu a ověření, že nebude možné provést deanonymizaci dat.

Nemusí ho mať. Fully Homomorphic Encryption je možné riešenie. Cloud síce vidí proces ale data zostávajú zašifrované. Pri MPC síce dokážeme schovať aj samotný postup ale strata výkonu je brutálna. FHE ju má prijateľnú ak nechceme trénovať veľké modely.

SAP dokonca už aj ukazoval niečo pár zákazníkom.

ale takovou službu nenabízí Azure, AWS a ani Google. Když už mají nějaké dedikované servery, tak stejně se svým kernelem, svými moduly. Všichni tři mají hodně upravenou i vlastní infrastrukturu, ať už to je komunikace na síti, šifrování, vzdálené disky, monitoring a správa, tam si nemůžeš dát libovolný kernel na fyzický server, pouze do virtualizace.

Krom toho fyzický přístup do ram i v případě, kdy tam máš vlastní kernel mohou umožňovat různé HW karty, které ty ovlivnit nemůžeš, počínaje síťovkami, konečně různými moduly na vzdálenou správu.

Tj. nelze snadno odstřihnout třetí stranu, když má pod palcem HW, kde chceš dešifrovat a musíš jí "věřit" a být s ní v nějakém souladu.

Já myslel fyzické stroje. VM mi přijdou mnohem riskantnější, tam předpokládám nebude těžké, aby provozovatel do RAM viděl, když bude daný stát opravdu chtít.

ale bohužel tím, jak se cloudy naučily dělat live migrace nebo uspávat neaktivní VM, tak vlastně si ten klíč persistují zcela přirozeně.

Řeším tohle téma dlouho pro klienty a je to čím dál těžší a důvěra se musí dávat třetím společnostem, které vlastně si dělají co chtějí.

Na zálohování a archivaci by to šlo, no. Anebo možná kompromis, kdy klíče má daný systém jen v RAM, takže pro ně bude komplikovanější se k datům dostat (ale rozhodně ne nemožné).

ptám se pro kamaráda, jak prosímtě dokážeš udržet ten klíč pro šifrování v bezpečí, když ho stejně nějak cloud provider musí mít? Jak takhle chceš řešit různé SaaS, v případě MS to je celý Office365 Azure ekosystém (kromě Azure VM), nějakou obdobu SSE-C implementuje jen minimum služeb a přínáší to velké problémy. Mít doma KMS zase umře na latency.

Prakticky varianta, kdy máš klíč doma a zašifrovaná data u třetí strany lze využít pouze v minimum případů a při větším provozu se nedoplatíš na traffiku. Tvoje rada zní hezky, ale nelze jí prakticky uplatnit.

Každá zahraniční firma je v podstatě nespolehlivá, to ale neznamená, že to nejde používat.
Ideální stav je hybridní provoz, kde velká část dat je zašifrovaná a je pokoj.
Problém je spíš u toho, že většina aplikací je odporná patlanina, kde Microsoft často hraje hlavní roli.
Ať už na úrovni "serverových" aplikací :-) uf to je hodně k smíchu tak tím formátováním ajtáků (tohle je normální a bude to stačit).