FHE 全同态加密是即将崛起的下一代隐私保护技术,值得我们布局。 FHE 具备理想的隐私保护能力,但其的性能还存在差距。我们相信随着 Crypto 资本的进入,会极大地加速技术的发展和成熟,就像这几年 ZK 的飞速发展一样。
全同态加密在 Web3 中可以用于交易隐私保护、AI 隐私保护和隐私保护协处理器。其中我尤其看好隐私保护 EVM,它比现存的环签名、混币技术和 ZK 都要更灵活,更适配 EVM。
我们调研了目前杰出的几个 FHE 项目,大部分 FHE 的项目是今年到明年第一季度上主网。这些项目中,ZAMA 技术最强但暂未声明有发币的计划。此外,我们认为 Fhenix 是其中最优秀的 FHE 项目。
全同态加密是一种加密形式,它允许人们对密文进行任意多次的加法和乘法运算得到仍然是加密的结果,将其解密所得到的结果与对明文进行同样的运算结果一样。实现数据的 「可算不可见」。
全同态特别适合外包计算,你可以将数据外包给外部算力去运算,同时又不用担心数据泄漏。
用通俗的话来讲,比如,你运行着一家公司,公司的数据非常值钱,你想用好用的云服务来处理和计算这些数据,但你又担心数据在云端泄漏。那么你就可以:
将数据进行全同态加密转成密文后再上传至云服务器上。比如,上图中的数字 5 和 10,会被加密成密文,用「X」, 「YZ」来表述。
当你需要对数据做运算的时候,比如你想让两个数字 5 和 10 相加,你只需要让云服务器上的密文「X」, 「YZ」进行算法规定的明文 + 操作相对应的某种运算,得到的密文结果「PDQ」.
这个密文结果从云服务器上下载下来后,经过解密得到明文。你会发现这个明文结果,就是 5 + 10 的运算结果。
明文只出现在你这里,而云服务器上存储和计算的全都是密文数据。这样你就不用担心数据泄漏了。这种隐私保护的方法非常理想。
半同态加密:半同态是容易且更实用的。半同态指的是密文只有一种同态特性,比如:加法同态 / 乘法同态。
近似同态:使得我们可以在密文上同时计算加法和乘法,但支持的次数非常有限。
有限级数全同态加密:允许我们对密文进行任意的加法乘法组合,没有次数限制。但有一个新的复杂度上限,这个上限约束了函数的复杂度。
全同态加密:则需要支持任意多次的加法和乘法运算,没有复杂度和次数的限制。
全同态加密在这里是最困难最理想的,被称作是「密码学圣杯」。
全同态加密历史悠久
1978 年:全同态加密概念被提出。
2009 年(第一代):第一个全同态方案被提出。
2011 年(第二代):基于整数的全同态方案被提出。比上一个方案更简单,效率没有提高。
2013 年(第三代):一种构造 FTE 方案的新技术 GSW 被提出,效率更高,安全性更强。这一技术得到进一步改进,开发了 FHEW 和 TFHE,进一步提高了效率。
2016 年(第四代):一种近似同态加密方案 CKKS 被提出,是评估多项式近似的最有效的方法,特别适合隐私保护机器学习应用。
目前常用的同态加密库支持的算法主要是第三代和第四代算法。算法上的创新、工程上的优化、Blockchain 更友好、硬件加速,随着资本的进入是容易出现的。
常用的同态加密库:
ZAMA TFHE 性能:
比如:ZAMA TFHE 的 256 位加和减耗时 200ms 左右,明文计算大约几十~几百纳秒,FHE 计算速度大概比明文计算慢 10^6 倍。部分优化了的操作大概比明文慢 1000 倍。当然,拿一个密文计算和明文计算做对比本来就是不公平的。隐私是要付出代价的,何况是全同态这种理想的隐私保护技术。
ZAMA 计划通过研发FHE 的硬件来进一步提高性能。
Web3 是去中心化的,全同态和 Web3 结合还有很多技术方向可以研究,比如下面这些。
创新的 FHE 方案、编译器、库,使 FHE 更好用、更快、更适合区块链。
FHE 硬件,提高运算性能。
FHE + ZKP,用 FHE 隐私计算的同时,用 ZK 证明输入输出是满足条件的,或证明 FHE 是正确执行的。
运算节点的防做恶,可以结合 EigenLayer restaking 等。
MPC 解密方案,共享状态经过了加密,密钥往往采用的 MPC 分片,需要一个安全且高性能的阈值解密协议。
数据存储 DA 层,需要更高吞吐的 DA 层,现有的 Celestia 不能满足要求。
总的来说,我们认为 FHE 全同态加密是即将崛起的下一代隐私保护技术。FHE 具备理想的隐私保护能力,但其的性能还存在差距。我们相信随着 Crypto 资本的进入,会极大地加速技术的发展和成熟,就像这几年 ZK 的飞速发展一样。FHE 这个赛道值得我们布局。
FHE 属于隐私保护赛道。简单来说就包括 「交易隐私保护」+「AI 隐私保护」+ 「隐私保护的协处理器」。
交易隐私保护还包括隐私保护的 Defi, 投票,竞标,防 MEV 等。
AI 隐私保护还包括去中心化的身份标识,以及其它 AI 的模型和数据的隐私保护。
隐私保护协处理器是将全同态密文操作放在链下进行,并最终将结果返回到链上,可以用来做 Trustless games 等。
当然,隐私保护技术有多种,对比一下您就会知道 FHE 的特殊性的。
TEE 是很快的,数据在可信硬件中是以明文形式存在并计算的,因此速度非常快。但它依赖于安全硬件,实际上是信赖硬件的制造商,而非算法,这种信任模式是中心化的。且 TEE 的一些计算验证是需要联网到 TEE 制造商做远程验证的。这就不适合整合到区块链上,做链上验证。因为我们要求链上验证,仅仅需要区块链的历史数据节点就可以独立完成,而不应该依赖于外部中心化的机构。
MPC 安全多方计算也是一种保护隐私的多方计算技术。但这个技术往往需要多方同时在线,频繁交互,通常不适合区块链这种异步的场景。MPC 我们多用来做分散的密钥管理,在 MPC 钱包中,私钥不会以完整形式存储在任何一个地方。相反,私钥被分成多个碎片(或部分),这些碎片分别存储在不同的设备或节点上。只有在需要签名交易时,多个碎片会通过多方计算协议共同参与计算,生成签名。
ZK 零知识证明则多用于做计算证明,证明某一个计算过程是正确执行的,很少用来做隐私保护。ZK 和同态技术也是密不可分的,其中隐私保护的部分也是用到了同态技术。
FHE 全同态加密在密文运算过程中不需要中途交换数据,可以完全在服务器 / 节点上计算。因此,没有 MPC 的需要发起方 / 多方在线的要求,更适合用于区块链。且相比 TEE 是 Trustless 的。唯一的不足在于性能不高。
因此,只要 FHE 逐步提升性能,它的隐私保护能力是更适合于 Web3 的。
同时,在交易隐私保护方面,全同态加密也更适合 EVM。因为:
环签名和混币技术,并不能支持合约。
而 Aleo 等 ZK 隐私保护项目,隐私数据是类似 UTXO 模型,而非 EVM 的账户模型。
全同态加密则既能支持合约,又能支持账户模型,可以很容易接入到 EVM 中。
对比下来,全同态 EVM 确实很吸引人。
AI 的运算本来就是很耗算力的,再叠加全同态加密这么复杂的加密模式,现阶段可能性能过低,成本过高。我认为 AI 的隐私保护最终还是会是一种 TEE/MPC/ZK/ 半同态的混合方案。
总的来说,全同态加密在 Web3 中可以用于交易隐私保护、AI 隐私保护和隐私保护协处理器。其中我尤其看好隐私保护 EVM,它比现存的环签名、混币技术、ZK 都要更灵活,更适配 EVM。
我们调研了如今市面上比较杰出的全同态加密项目,他们的简要信息如下:
叙事:为区块链和 AI 提供全同态加密
工具:TFHE-rs,TFHE 的 rust 实现
工具:Concrete,TFHE 的编译器
产品:Concrete ML ,保护隐私的机器学习
产品:fhEVM, 保护隐私的智能合约
团队:CTO Pascal Paillier 著名密码学家
CTO & co-founder:Pascal Paillier 密码学家。1999 年于 Telecom ParisTech 获得 PHD 的学位,1999 年发明了 Paillier 密码系统。2013 年开始发表同态加密相关的论文,在全同态领域属于顶尖人物之一。
CEO & co-founder:Rand Hindi,2011 年 UCL,Bioinformatics PHD 毕业,做过数据科学类项目,在做 ZAMA 的同时,为多个项目做过 Advisor
融资:4 年,共融资 8200 多万美金,最近一轮 A 轮融 7300 万,Multicoin Capital 和 Protocol Labs 领投
2023 年 9 月 26 日,Seed Round 700 万美元, Multicoin Capital 领投,Node Capital、Bankless Ventures、Robot Ventures、Tane Labs、HackVC 和 Metaplanet 参投
叙事:FHE 协处理器 /L2 FHE Rollup(EVM 兼容的隐私 L2)
产品:支持 FHE 的 Rollup,是 EVM 兼容的机密智能合约。开发者用 Solidity 开发 Dapp,同时能保证数据隐私。
产品:FHE coprocessor,加密计算任务从主机链(无论是以太坊、L2 还是 L3)Offload 到链下。它们极大地提高了基于 FHE 的操作的效率。
合作:和 Zama 合作,使用 ZAMA 的 fhEVM,github 上是 fork 的 ZAMA 的库
合作:和 EigenLayer 合作,Rollup 的节点需要在 EigenLayer 做再质
团队:Guy Itzhaki 曾经在 Intel 有着 7 年多的工作经验,担任 Intel 同态加密与区块链业务发展总监。
Founder:Guy Zyskind,MIT 的 PHD Candidate, 2016 年 MIT 的 MSC。参与 MIT Enigma 隐私协议的研发,具备很强的研究发能力。
CEO:Guy Itzhaki 曾经在 Intel 有着 7 年的工作经验,在隐私保护领域有着非常强的时间经验,曾担任 Intel 同态加密与区块链业务发展总监。
Prof. Chris, Peikert, 全同态加密的密码学家。Algorand 的密码学 leader。
融资:1 年,最近一轮 A 轮融 1500 万, Hack VC 领投, Foresight Ventures 等机构跟投。
2024 年 5 月,A 轮 1500 万美金,Hack VC 领投, Foresight Ventures 等机构跟投。
2023 年 9 月 26 日,Seed Round 700 万美金, Multicoin Capital 领投,Node Capital、Bankless Ventures、Robot Ventures、Tane Labs、HackVC 和 Metaplanet 参投.
Roadmap:24 年 Q2 发布测试网,25 年 Q1 上主
2024 年 Q2,发布 threshold 网络.
2024 年 Q3,FHE Co-processor V0.
2025 年 Q1,主网
2025 年 Q3,FHE Co-processor V1.
叙事:模块化隐私计算层 / 支持 EVM 链
产品:支持 FHE 的 Rollup,是 EVM 兼容的机密智能合约。开发者用 Solidity 开发 Dapp,同时能保证数据隐私。
合作:和 Zama 合作,使用 ZAMA 的 fhEVM
团队:Founder Remi Ga,早期短暂做微软和谷歌软件工程师,做过 Parallel Finance 的 DeFi 项目
Founder:Remi Gai, 22 年前在微软和谷歌分别有有 6~9 个月的软件工程师经验,后来做过 Parallel Finance, DeFi 项目。
Tech lead:Amaury A,Cosmos 的核心开发
融资:最近一轮 Seed 轮融 450 万, 1kx 领投
2024 年 2 月,Inco Network 完成 450 万美元种子轮融资,1kx 领投,Circle Ventures、Robot Ventures、Portal VC、Alliance DAO、Big Brain Holdings、Symbolic、GSR、Polygon Ventures、Daedalus、Matter Labs 和 Fenbushi 等参投
进度:24 年 3 月推出测试网, 24 年 Q4 推出主网
2024 年 3 月,推出测试网包含了 fhEVM。目前包含了保护隐私的 ERC-20,隐私投票,盲拍,隐私 DID 几个示例
2024 年 Q2~Q3,推出测试网包含了 fhEVM
2024 年 Q4,上主网
2025 年计划做 FPGA 硬件加速,希望 TPS 到 100~1000.
叙事:数据的隐私保护和隐私计算。AI 和 DePIN 数据和模型。
产品:23 年的叙事是隐私数据湖,隐私保护的数据存储和计算。今年调整到了针对 AI 和 DePIN 数据和模型的隐私保护。
合作:和 ZAMA 合作,使用 ZAMA 的全同态库
合作:与 Fhenix,Inco 合作,使用 fhEVM 做 Rollup
合作:和 Arweave 合作,存储加密后的数据
合作:和 EigenLayer, Babylon 等合作,服务节点 restaking 参考:https://mindnetwork.medium.com/fhe-secured-restaking-layer-scaling-security-for-ai-depin-networks-73d5c6e5dda3
团队:CTO George 曾是剑桥大学研究员。
Co-founder & CTO:George 曾是剑桥大学研究员,做过跨国银行的技术主管, 也有多年互联网金融科技的从业经验。
融资:2 年,Seed 融 250 万,Binance Labs 孵化
2023 年 6 月 20 日,Seed Round 250 万美元, Binance Labs 领投,HashKey, SevenX 等参投.
RoadMap:已经上了测试网,目前有一个 restake 的功能. 其余 Roadmap 未公布
叙事:AI 和 DePIN 隐私计算。
产品:使用 FHE 来训练 ML 模型。优化了 TFHE 的 Boolean gates.
产品:FaceID, 隐私保护版人脸识别。用于防女巫和 KYC
合作:集成 BNB Greenfield 存储加密数据
团队:CTO Zhuan Cheng,芝加哥大学数学 PHD,密码学技术研发经验丰富。
CEO:David Jiao, AI 项目曾融过 2 千万,区块链项目融过 400 万。
CTO Zhuan Cheng,芝加哥大学数学 PHD,密码学研发经验丰富,之前做过 NuLink 的 ZK 隐私保护项目
融资:1 年,Seed 融 500 万,Binance Labs 孵化
2024 年 3 月,Seed Round 500 万美元, Binance Labs 孵化,MH Ventures,K300,Gate Labs, 1NVST 等参投.
RoadMap:24 年 4 月发布测试网 V2,24 年 Q3 主网
2024 年 1 月,Testnet V1.
2024 年 4 月,Testnet V2.
2024 年 Q3,TGE.
叙事:同态加密硬件。
从上述信息来看,ZAMA 为这些项目提供了全同态加密的核心开源库,是当前当之无愧的技术先行者和最强者。但目前 ZAMA 暂未声明有发币计划,因此我们重点关注了 Fhinex。
Fhinex 将实现隐私保护的 EVM,实现保护隐私的智能合约。他们计划建造一个 Fhenix L2,这是一个全同态隐私的 EVM。提供保护隐私的交易和 DeFi 等。这个 L2 还配备了一个 threshold 网络,用于做一些加解密操作;并且,Fhenix 还会搭建 FHE co-processor, 一个全同态计算网络,可以服务于 Fhenix 以外的 EVM 链,提供全同态的计算服务。
Fhinex 团队的技术实力很强,团队成员不仅仅有在 Intel 负责隐私计算的专家,还有在 MIT 参与 Enigma 隐私协议研发的 PHD,以及 Algorand 密码学 lead。
总之,我们相信 ZAMA、Fhinex 等全同态加密项目能为区块链带来理想的隐私保护工具。
