En 2020, après Cingulata, un compilateur open-source pour le FHE développé par le CEA LIST depuis 2015, l’équipe était à la recherche d’une voie pour donner un « second souffle » de performance à l’approche FHE dite généraliste, permettant de réaliser la promesse de réaliser n’importe quel algorithme dans le domaine chiffré, mais aussi d’identifier des pistes qui se démarqueraient de l’état de l’art en vue d’une accélération HW.
Une occasion s’est présentée en 2022 autour de la thèse de Daphné Trama. La stratégie a été de définir un petit corpus d’opérateurs FHE basés sur TFHE et permettant de reconstruire « ex nihilo » une approche de FHE à vocation généraliste plus efficace que l’état de l’art. Concrètement, l’objectif affiché était alors de définir un premier jeu d’instructions généralistes manipulant des chiffrés FHE pour une abstraction logicielle d’un processeur « 8 bits ».
Cette année, un jalon majeur a été franchi : l’équipe vient de proposer une solution reposant sur des techniques de débruitage (bootstrapping) programmable avancées et le cryptosystème TFHE (proposé en partie par le CEA LIST en 2016-17). Un des enjeux majeurs pour la communauté FHE était, ces dernières années, de s’efforcer de comprendre sa portée et d’en tirer le meilleur parti. Dans ce contexte, nos travaux explorent une piste (l’utilisation du bootstrapping de TFHE avec des chiffrés d’entiers) encore peu étudiée pour le FHE généraliste et qui s’avère compétitive avec l’état de l’art (qui, à l’instar de Cingulata, procède par évaluation de circuits Booléens sur des chiffrés binaires).
Ainsi, l’équipe constituée autour de Daphné s’est donc attelée à l’élaboration d’un « processeur » homomorphe généraliste, dont l’ISA propose une cinquantaine d’instructions. Ce jeu d’instructions universel nous permet d’implémenter l’équivalent homomorphe de n’importe quel algorithme classique (tri de tableau, calcul de moyenne, trouver un maximum/minimum, et même, grande première, l’évaluation d’un neurone avec une fonction d’activation sigmoïde et des entrées/sorties à plusieurs décimales de précision, etc.). L’évaluation d’une demi-douzaine d’algorithmes à l’aide de notre jeu d’instruction nous permet de montrer que notre approche est en moyenne près de deux fois plus efficace que l’état de l’art. En particulier notre approche se démarque dès que le circuit Booléen correspondant à l’instruction exécutée grandit (typiquement, une multiplication est suffisante).
Ces résultats sont résumés dans le tableau suivant, où les temps d’exécution sont donnés en secondes.
À noter que l’état de l’art le plus compétitif était Cingulata, qui reste significativement plus rapide que les solutions concurrentes.
Ces travaux ont été présentés lors de l’édition 2025 de la prestigieuse conférence CHES et font l’objet d’un article [1] dans le journal associé à la conférence (IACR Transactions on Cryptographic Hardware and Embedded Systems). Ces travaux ont été réalisés dans le cadre des projets PEPR SecureCompute et TRUSTIncloudS.
Ces travaux définissent également ce à quoi peuvent ressembler les noyaux de calculs à optimiser/accélérer pour le FHE généraliste. Une collaboration peut donc être envisagée avec des équipes de conception matérielle du CEA-List. Sur le long terme, il pourrait même en découler un accélérateur matériel spécifiquement réalisé pour optimiser ce processeur virtuel.
En lien avec ces travaux, nous avons travaillé sur une application emblématique et au cœur du sujet du premier appel du NIST (National Institute of Standards and Technology) visant du FHE : l’exécution homomorphe de l’AES (Advanced Encryption Standard). Après avoir amélioré l’état de l’art international d’un facteur 10 en 2023 [3], plusieurs équipes de différents pays ont successivement amélioré le « record » de l’exécution homomorphe de l’AES la plus rapide en proposant de nouvelles techniques. En 2025, par le biais d’une collaboration avec une équipe de CryptoExperts, la France a repris la tête de cette compétition amicale en proposant une nouvelle méthode plus efficace qui améliore le précédent record de 33%. Cette approche reprend les bases sous-jacentes de MadPanthera et l’étend avec une approche complémentaire dites des « p-encodings ».
Réduction de moitié des temps d’exécution d’algorithmes de calcul homomorphe sur des chiffrés
Ces travaux ont été présentés lors de l’édition 2025 de la prestigieuse conférence CHES et font l’objet d’un article [1] dans le journal associé à la conférence (IACR Transactions on Cryptographic Hardware and Embedded Systems).
