FHE:披上哈利波特的隐身衣

FHE(全同态加密)是一种先进的加密技术,可以在加密状态下直接对数据进行计算处理。这意味着可以在保护隐私的同时对数据进行分析和处理。FHE有多个潜在应用场景,特别是在需要隐私保护的数据处理与分析领域,如金融、医疗健康、云计算、机器学习、投票系统、物联网、区块链隐私保护等。但目前商业化仍需一段时间,主要问题在于其算法带来的计算与内存开销极大,可扩展性较差。下面我们将简要介绍该算法的基本原理以及面临的主要问题。

基本原理

FHE的基本目标是实现对加密数据的计算,并得到与明文计算相同的结果。在密码学中,通常使用多项式来隐藏原文信息,因为多项式可以转换为线性代数问题,便于现代计算机进行高度优化的向量计算。

以加密数字2为例,在简化的HE系统中,可能会:

1. 选择一个密钥多项式,如s(x) = 3x^2 + 2x + 1
2. 生成一个随机多项式,如a(x) = 2x^2 + 5x + 3
3. 生成一个小的"错误"多项式,如e(x) = -x + 2
4. 加密2 -> c(x) = 2 + a(x)*s(x) + e(x)

这里引入噪声e(x)是为了迷惑攻击者,防止通过重复输入明文分析出s(x)与c(x)的关系。噪声大小也被称为噪声预算。

将c(x) * d(x)等操作转化为"电路",可以精确跟踪和管理每个操作引入的噪声,也便于后续在专业硬件如ASIC、FPGA上进行加速计算。任何复杂操作都可以映射为简单的加法和乘法模块。

但随着计算深度增加,噪声会指数级增长,最终导致无法恢复原文。为解决这个问题,提出了以下方案:

• Key switching:在每次乘法后压缩密文,但会引入少量噪声
• Modulus Switching:通过减小模数q来降低噪声,但会压缩计算能力
• Bootstrap:将噪声重置到原始水平,不减小模数,但计算开销很大

目前FHE方案主要有:

• BGV:基于RLWE,支持任意深度电路
• BFV:基于RLWE,适合算术运算
• TFHE:基于LWE/TLWE,适合布尔电路
• CKKS:基于RLWE,支持近似算术

FHE面临的问题

由于需要对数据进行加密并转换为"电路",再引入Bootstrap等技术解决噪声问题,FHE的计算开销比普通计算高出几个数量级。

以AES-128解密为例,普通版本在3 GHz处理器上需要约67纳秒,而FHE版本需要35秒,是普通版本的约5亿倍。

为解决这个问题,美国DARPA在2021年启动了Dprive计划,目标是将FHE计算速度提升到普通计算的1/10。主要从以下方面着手:

1. 增大处理器字长至1024位或更大,以支持更大的模数q
2. 构建专门的ASIC处理器来运行FHE算法
3. 采用MIMD并行架构,支持不同指令并行处理数据

虽然进展缓慢,但从长期来看,FHE技术对保护敏感数据隐私仍具有重要意义,特别是在后量子时代。

区块链的结合

在区块链中,FHE主要用于保护数据隐私,应用领域包括链上隐私、AI训练数据隐私、链上投票隐私、链上隐私交易审查等。FHE也被视为解决链上MEV问题的潜在方案之一。

但完全加密交易也会带来一些问题,如MEV bots带来的正外部性消失,验证者需要在FHE虚拟机上运行,显著提高节点要求并降低网络吞吐量。

主要项目

目前大部分FHE项目使用的技术来自Zama,如Fhenix、Privasea、Inco Network、Mind Network等。这些项目基于Zama提供的库进行构建,主要区别在于商业模式。

Zama

Zama基于TFHE方案,使用Rust重写了TFHE,并提供了Python转译工具Concrate。其fhEVM产品支持在EVM上编译端到端加密的智能合约。Zama为web3项目提供了较完善的FHE开发堆栈。

Octra

Octra使用了基于hypergraphs的原创技术来实现FHE。其构建了新的智能合约语言,以及基于机器学习的ML-consensus共识协议。Octra采用主网+子网的架构设计。

期待

FHE技术目前仍处于早期阶段,面临着成本高昂、工程难度大、商业化前景不明等挑战。但随着更多资金和注意力的涌入,以及FHE专用芯片的落地,该技术有望在国防、金融、医疗等领域带来深刻变革。虽然目前应用范围有限,但FHE作为一项极具前景的技术,未来仍值得持续关注和探索。