是否存在完全同態加密方案的應用，使得加密密鑰和評估密鑰不同？

我想知道是否有 FHE 的應用程序包含三種使用者：

1. $ A $ 是數據所有者，她擁有密鑰。
2. $ B $ 僅具有加密權限（就像普通使用者一樣）。
3. $ C $ 具有加密和評估的權限（就像雲或其他伺服器一樣）

FHE的這種應用有意義嗎？並且是在加密密鑰和評估密鑰不同的情況下。但是，我還沒有看到這樣的應用程序。

在文獻中，這些被稱為“鍵控完全同態加密”，具有三個鍵： $ \mathit{pk} $ 是公共加密密鑰， $ \mathit{sk} $ 是秘密解密密鑰，並且 $ \mathit{ek} $ 是秘密評估密鑰。

是的，至少對於雲計算來說，這個場景實際上是有意義的：在那裡，只有“雲提供商”需要進行同態評估，實際上沒有必要進一步擴展能力。

相反，我認為情況正好相反：我們當然可以將評估能力擴展到任何人，但我們為什麼需要這樣做呢？一個原因可能是，如果應用程序不是關於雲計算的，那麼可能存在任意人需要同態評估密文的原因。但是，在很多情況下，鍵控 FHE 都可以。

而且，對於keyed FHE，其實可以定義並實現IND-CCA安全性：IND-CCA對於FHE來說不可能的原因是延展性，當對手不具備同態評估能力時，攻擊者就無法再進行明顯的 CCA 攻擊，所以對於沒有 $ \mathit{ek} $ , 該方案可以是 IND-CCA, 但當然是對“內部人員” $ \mathit{ek} $ ，該方案最多可以是IND-CPA。

引用自：https://crypto.stackexchange.com/questions/53343