Foresight Ventures：深度解析FHE(全同态加密)赛道

作者: Maggie @ Foresight Ventures

TLDR：

FHE全同态加密是即将崛起的下一代隐私保护技术，值得我们布局。 FHE具备理想的隐私保护能力，但其的性能还存在差距。我们相信随着Crypto资本的进入，会极大地加速技术的发展和成熟，就像这几年ZK的飞速发展一样。

全同态加密在Web3中可以用于交易隐私保护、AI隐私保护和隐私保护协处理器。其中我尤其看好隐私保护EVM，它比现存的环签名、混币技术和ZK都要更灵活，更适配EVM。

我们调研了目前杰出的几个FHE项目，大部分FHE的项目是今年到明年第一季度上主网。这些项目中，ZAMA技术最强但暂未声明有发币的计划。此外，我们认为Fhenix是其中最优秀的FHE项目。

一、FHE是理想的隐私保护技术

1.1 FHE的作用

全同态加密是一种加密形式，它允许人们对密文进行任意多次的加法和乘法运算得到仍然是加密的结果，将其解密所得到的结果与对明文进行同样的运算结果一样。实现数据的 “可算不可见”。

全同态特别适合外包计算，你可以将数据外包给外部算力去运算，同时又不用担心数据泄漏。

用通俗的话来讲，比如，你运行着一家公司，公司的数据非常值钱，你想用好用的云服务来处理和计算这些数据，但你又担心数据在云端泄漏。那么你就可以：

1. 将数据进行全同态加密转成密文后再上传至云服务器上。比如，上图中的数字5和10，会被加密成密文，用“X”, ”YZ”来表述。

2. 当你需要对数据做运算的时候，比如你想让两个数字5和10相加，你只需要让云服务器上的密文”X”, ”YZ”进行算法规定的明文+操作相对应的某种运算，得到的密文结果”PDQ”.

3. 这个密文结果从云服务器上下载下来后，经过解密得到明文。你会发现这个明文结果，就是5 + 10的运算结果。

明文只出现在你这里，而云服务器上存储和计算的全都是密文数据。这样你就不用担心数据泄漏了。这种隐私保护的方法非常理想。

半同态加密：半同态是容易且更实用的。半同态指的是密文只有一种同态特性，比如：加法同态/乘法同态。

近似同态：使得我们可以在密文上同时计算加法和乘法，但支持的次数非常有限。

有限级数全同态加密：允许我们对密文进行任意的加法乘法组合，没有次数限制。但有一个新的复杂度上限，这个上限约束了函数的复杂度。

全同态加密：则需要支持任意多次的加法和乘法运算，没有复杂度和次数的限制。

全同态加密在这里是最困难最理想的，被称作是“密码学圣杯”。

1.2 历史

全同态加密历史悠久

1978年：全同态加密概念被提出。

2009年（第一代）：第一个全同态方案被提出。

2011年（第二代）：基于整数的全同态方案被提出。比上一个方案更简单，效率没有提高。

2013年（第三代）：一种构造FTE方案的新技术GSW被提出，效率更高，安全性更强。这一技术得到进一步改进，开发了FHEW和TFHE，进一步提高了效率。

2016年（第四代）：一种近似同态加密方案CKKS被提出，是评估多项式近似的最有效的方法，特别适合隐私保护机器学习应用。

目前常用的同态加密库支持的算法主要是第三代和第四代算法。算法上的创新、工程上的优化、Blockchain更友好、硬件加速，随着资本的进入是容易出现的。

1.3 当前的性能和可用性

常用的同态加密库：

ZAMA TFHE 性能：

比如：ZAMA TFHE的256位加和减耗时200ms左右，明文计算大约几十～几百纳秒，FHE计算速度大概比明文计算慢10^6 倍。部分优化了的操作大概比明文慢1000倍。当然，拿一个密文计算和明文计算做对比本来就是不公平的。隐私是要付出代价的，何况是全同态这种理想的隐私保护技术。

ZAMA计划通过研发FHE的硬件来进一步提高性能。

1.4 FHE+Web3的几个技术研究方向

Web3是去中心化的，全同态和Web3结合还有很多技术方向可以研究，比如下面这些。

创新的FHE方案、编译器、库，使FHE更好用、更快、更适合区块链。

FHE硬件，提高运算性能。

FHE + ZKP，用FHE隐私计算的同时，用ZK证明输入输出是满足条件的，或证明FHE是正确执行的。

运算节点的防做恶，可以结合EigenLayer restaking等。

MPC解密方案，共享状态经过了加密，密钥往往采用的MPC分片，需要一个安全且高性能的阈值解密协议。

数据存储DA层，需要更高吞吐的DA层，现有的Celestia不能满足要求。