数字隐私的下一个前沿

大纲

1. 零知识证明（ZKP）在提高web3的可扩展性和隐私方面被证明是有用的，但受到依赖第三方处理未加密数据的限制。
2. 全同态加密（FHE）提出了一个突破性的解决方案，允许同时共享和保护个人私有状态，无需第三方信任要求。
3. FHE允许直接对加密数据进行计算，使得应用程序如暗池自动做市商（AMMs）和私有贷款池成为可能，在这些应用中，全球状态信息从未被揭露。
4. 优点包括无需信任的操作和加密数据上的无需许可的链上状态转换，挑战主要集中在计算延迟和完整性方面。
5. 在新兴的FHE-加密领域中，关键参与者专注于开发私有智能合约和专门的硬件加速以实现扩展。
6. FHE-加密的未来架构包括直接在以太坊上集成FHE rollups的潜力。

“在以太坊生态系统中，最大的挑战之一仍然是隐私问题。正如Vitalik所指出的那样，“使用以太坊的整套应用意味着你生活中的很大一部分将公之于众，任何人都可以看到并分析。”

在过去的至少一年里，零知识证明（ZKPs）一直备受密切关注，被认为是密码学领域的宠儿，因为它们对于隐私保护非常有价值。ZKPs可以在不透露信息的情况下证明信息的知识，尤其在可扩展性方面，如zk-rollups，具有重要意义。然而，它们目前至少面临几个主要的局限性：

(1)隐藏的信息通常由可信第三方在链下存储和计算，这限制了无需许可的组合性。这种服务器端的证明类似于Web2.0云计算系统。

(2) 状态转换必须在明文上进行，这意味着用户必须信任那些第三方证明者处理他们的未加密数据。

(3) 在需要知道共享的私有状态以生成关于本地私有状态的证明的应用中，ZKPs并不适用。

然而，任何多玩家使用案例（例如，暗池AMM、私人借贷池）都需要链上的共享私有状态，这意味着，使用零知识证明将需要某种集中化/链下协调器来实现共享的私有状态，这使得它变得繁琐并引入了信任假设。

引入全同态加密（FHE）

为了解决这些问题，引入了全同态加密（FHE）。FHE是一种密码学方案，允许在不需要先解密的情况下对数据进行计算。它允许用户将明文加密成密文，并发送给第三方处理，而无需解密。这意味着实现了端到端加密，使得共享的私有状态成为可能。

这是什么意思？端到端加密。 FHE 允许共享私有状态。

例举例来说，在AMM中，一个去中心化的市场做市账户与每一笔交易互动，但不属于任何单一用户。当有人用Token A交换Token B时，他们必须了解共享的市场做市账户中两种代币的现有数量，以生成有效的交换详情证明。然而，如果全局状态通过ZKP方案隐藏，则生成该证明将不再可行。相反，如果全局状态信息公开可访问，则允许其他用户推断个人交换的具体情况。通过FHE，理论上可以隐藏共享状态和个人状态，因为证明可以在加密数据上计算。

除了FHE外，实现隐私‘圣杯’的另一个关键技术是多方计算（MPC），它解决了在私有输入上进行计算的问题，并且只公开这些计算的结果，同时保留输入的机密性。但，我们将这个话题留到另一个讨论。我们这里的重点是FHE——它的优势和劣势，以及当前市场和用例。

重要的是要注意，FHE仍处于开发的早期阶段。这并不是FHE与ZKPs或FHE与MPC之间的部落问题，而是当与当前可用的技术结合时解锁的额外特性。例如，一个注重隐私的区块链可以使用FHE来实现机密智能合约，MPC来分发解密密钥的碎片到验证者中，以及ZKPs来验证FHE计算的完整性。

优点和缺点

此时：

FHE 的好处包括：

1. 无需第三方信任。数据可以在不受信任的环境中保持安全和私密。
2. 通过共享私有状态的可组合性。
3. 在保持数据隐私的同时保证数据的可用性。
4. 采用(ring-)LWE数学方法学习带误差问题，能够防御未来量子计算机的攻击。
5. 能够在加密数据之上无需权限地进行链上状态转换。
6. 无需使用像英特尔SGX这样容易受到侧信道攻击且供应链集中的硬件。
7. 在完全同态EVM（fhEVM）的背景下，无需学习执行重复的数学乘法（例如，多标量乘法）或使用不熟悉的零知识（ZK）工具。

其缺点包括：

1. 延迟。计算密集型意味着大多数方案目前在计算密集的应用中商业上不可行。值得注意的是，这是一个短期瓶颈，考虑到硬件加速正在积极开发中，而且目前Zama的fhEVM已经能够以每月约2000美元的硬件成本达到大约2 TPS。
2. 准确性问题。FHE方案需要进行噪声管理，以防止密文变得无效或损坏。然而，TFHE因为它不需要近似（与CKKS对某些操作所需相反），所以更加准确。
3. 初期。在web3空间中，几乎没有多少准备就绪的FHE项目已经启动，这意味着还有很多实战测试需要完成。

市场概况

当前的 FHE x 加密货币格局

亮点

Zama为加密和非加密用例提供了一系列开源的全同态加密（FHE）工具。它的fhEVM库使得私有智能合约成为可能，保证了链上的保密性和可组合性。

Fhenix利用Zama的fhEVM库实现了端到端加密的rollup。他们的目标是简化将FHE集成到任何EVM智能合约的过程，对现有合约只需最小的修改。创始团队由Secret Network的创始人和Intel之前的FHE业务发展负责人组成。Fhenix最近获得了700万美元的种子轮融资。

Inco Network是一个由FHE驱动、与EVM兼容的L1，通过整合Zama的fhEVM密码学，将加密数据上的计算带入智能合约。创始人Remi Gai是Parallel Finance的创始成员，几名Cosmos工程师加入他，共同实现这一愿景。

硬件。一些实体正在构建硬件加速来解决延迟问题。值得注意的是Intel、Cornami、Fabric、Optalysis、KU Leuven、Niobium、Chain Reaction以及一些ZK ASIC/FPGA团队。这一发展浪潮是由大约三年前DARPA授予ASIC基础的FHE加速的资助推动的。尽管如此，对于一些可能GPU就能达到20+ TPS的区块链应用，这种专门的硬件加速可能并不是必需的。FHE ASICs可能在大幅降低验证者的运营成本的同时，提高性能至100+ TPS。

值得注意的提及。Google、Intel、OpenFHE都在FHE的总体进步上做出了重大贡献，只是在加密领域内的具体贡献较少。

用例

关键优势是实现了共享的私有状态和个人的私有状态。这是什么意思呢？

私有智能合约：传统的区块链架构让用户数据在web3应用中暴露无遗。每个用户的资产和交易对其他用户都是可见的。这对于信任和可审计性是有用的，但这也是企业采用的一个主要障碍。许多企业不愿或根本拒绝公开这些信息。FHE改变了这一点。

除了端到端加密的交易，FHE还实现了加密的mempool、加密的区块和保密的状态转换。

这解锁了各种新颖的用例：

• DeFi：暗池，通过加密的mempool消除恶意的MEV、无法追踪的钱包和保密支付（例如，链上组织的员工薪资）。
• 游戏：加密状态的多人策略游戏，使得各种新的游戏机制成为可能，如秘密联盟、资源隐藏、破坏、间谍、虚张声势等。
• DAO：私密投票。
• DID：加密的链上信用评分和其他标识符。
• 数据：符合规定的链上数据管理。

那么 FHE 加密架构的未来会是什么样子呢？

我们应该详细阐述三个核心组件：

第一层：这一层为开发者提供了一个基础，使他们能够（a）在网络上本地启动应用程序或（b）与现有的以太坊生态系统（一个输入输出模型）进行接口，包括以太坊主网及其L2s/侧链。这里第一层的灵活性是关键，因为它既能满足寻求具有全同态加密（FHE）能力的本地平台的新项目，也能适应那些更倾向于留在当前链上的现有应用程序。

Rollups / Appchains：应用程序可以在这些支持FHE的第一层之上启动自己的rollup或appchain。为此，Zama正在为fhEVM第一层开发既支持乐观又支持零知识（ZK）FHE rollup堆栈，以扩展面向隐私的解决方案。

以太坊上的FHE Rollup：在以太坊本身上启动一个FHE rollup可以显著增强以太坊的原生隐私性，但面临几个技术挑战：

1. 数据存储成本：FHE密文数据相当大（每个8kb+），即使明文条目很小。为了数据可用性（DA）目的在以太坊上存储如此大量的数据将非常昂贵，需要支付大量的gas费用。
2. 顺序器中心化：将中心化的顺序器排序交易并控制全局FHE密钥是一个主要的隐私和安全问题，这违背了fhEVM的初衷。虽然多方计算（MPC）是一个可能的解决方案，用于分散控制全局FHE密钥的权力，但维护多方执行计算的网络将增加运营成本并引入潜在的低效率。
3. 生成有效的ZKPs：为FHE操作生成零知识证明（ZKPs）是一个复杂的任务，仍在开发中。虽然像Sunscreen这样的公司正在取得进展，但可能还需要几年时间才能使这项技术准备好广泛的商业使用。
4. EVM集成：需要将FHE操作作为预编译指令集成到EVM中，因此需要通过网络范围升级的共识投票，涉及到计算开销和安全问题。
5. 验证器硬件要求：以太坊验证器需要升级他们的硬件以运行FHE库，引发了关于中心化和成本的担忧。

我们预计，最初FHE将在流动性较低且隐私至关重要的特定领域找到其利基。随着时间推移和吞吐量的增加，可能会在FHE的第一层上找到更广泛的流动性。长远来看，一旦解决了上述问题，我们可能会看到在以太坊上出现一个FHE rollup，它能够更无摩擦地利用主网的流动性和用户。目前的挑战在于找到FHE的杀手级应用场景，确保合规性，并将成熟的技术引入市场。

与此同时，任何有兴趣尝试或通过悬赏猎人赚取一些奖金的开发者都可以参与Fherma的FHE挑战，这些挑战附带着几个四位数的奖金。。

致谢：非常感谢Gurgen Arakelov（Yasha Labs/Fherma创始人）、Rand Hindi（Zama创始人）、Remi Gai（Inco Network创始人）和Hiroki Kotabe（Inception Capital研究负责人）对本文的贡献。

声明：

1. 本文转载自[medium]，著作权归属原作者[Mads Pedersen]，如对转载有异议，请联系Gate Learn团队，团队会根据相关流程尽速处理。
2. 免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。
3. 文章其他语言版本由Gate Learn团队翻译， 在未提及Gate.io的情况下不得复制、传播或抄袭经翻译文章。