1kx 研究合伙人 Wei Dai 认为,虽然全同态加密的整体发展还落后于零知识证明约三到四年,但其潜力巨大。
采访及撰文:Wendy,Foresight News
受访者:Wei Dai,1kx 研究合伙人
「很长时间以来,全同态加密(Fully Homomorphic Encryption, FHE)一直被视作是密码学的皇冠之一」,在 2020 年 7 月 20 日发表的一篇博文的开头 Vitalik 这样写到。今年 5 月 5 日,Vitalik 再次在 X(推特)上转发了这篇名为《探索全同态加密》的文章,并表示有「很多人对全同态加密感兴趣」。
这种「兴趣」在加密创投界已经得到体现。今年 3 月份,全同态加密公司 Zama 官宣获得由 Multicoin 和 Protocol Labs 领投的 7300 万美元 A 轮融资,引发市场关注。
Foresight News 近日梳理发现,加密领域内的 FHE 生态已然生成。一些嗅觉敏锐的加密基金也早已开始布局 FHE,这其中也包括 1kx。今年早些时间,1kx 领投了一个基于 Zama 的全同态加密项目 Inco。该基金研究合伙人 Wei Dai 向 Foresight News 透露,他们正在密切关注这一领域的发展,因为全同态加密技术已经「非常接近」被大规模采用。
Wei Dai 持有美国加州大学圣地亚哥分校密码学博士学位。在他看来,虽然全同态加密的整体发展还落后于零知识证明约三到四年的时间,但其潜力巨大,尤其是在解决区块链上的隐私问题方面。一旦这项技术与多方计算(MPC)和零知识证明(ZKP)等关联技术结合,则将有望解锁更大的想象空间。
Foresight News:与半同态加密等传统加密技术相比,全同态加密的主要优势和创新点体现在哪些方面?
Wei Dai:全同态加密(FHE)最早在 1970 年代就被讨论,到现在已经有三四十年了,但它很难实现。
这个想法的(起源)很简单,就是对数据进行加密,然后再解密,这就是标准加密。很快,人们意识到实际上可以对它们(这些加密的数据)进行简单的操作,比如加法(注:也可以是乘法,但不是同时有),这就是所谓的部分同态加密。然后人们开始设想,是否可以对它进行任意形式的计算呢?如果可以进行加法和乘法,基本上就得到了完整的通用计算类型。这一设想在 2009 年通过 Craig Gentry 的论文实现了。从那时起,基于 Craig Gentry 的全同态加密方案这一全新领域就被广泛研究。到现在,我们已经看到了很多进展。
所以,全同态加密的主要的优势在于你能够(在加密状态下)进行任何类型的计算。
Foresight News:Vitalik 在几年前的一篇文章中提到,全同态加密有望成为区块链扩容和隐私保护的关键技术。您认为全同态加密在这两个领域的应用前景如何?具体会带来哪些改进?
Wei Dai:当前的区块链在默认情况下都是透明的,每一笔交易、智能合约中的每一个变量都是公开的,任何人都可以去查看它们——这需要改变。
所以,我们看到很多项目基本上都是在将一个完全透明的区块链转变为部分加密的形式,但仍然可以由智能合约控制。比如,由 Zama 构建的 FHE 虚拟机。Zama 是一家拥有 40 名博士的公司,它正在构建深度技术 FHE 原语以及以此为基础的产品。基本上,程序员简单地编写 Solidity 代码就可以操纵 FHE 原语。这非常强大。我认为这将有助于解决当今区块链上存在的隐私问题。例如,你可以做老虎机,可以开设赌场,可以进行加密支付。它不完全像 Tornado Cash。Tornado Cash 模糊了整个交易图,但使用 FHE 和加密支付的话,实际上会保留交易图,只是金额隐藏。因此在某种意义上它稍微更容易追踪,可能对监管更友好。
Vitalik 提到的关于隐私的另一点是,像 Zcash、Aztec、Tornado Cash 这样的隐私项目在使用起来具有一个巨大的问题,就是如果你在手机或浏览器上使用它们,要花很长时间才能获取你的余额信息。如果有人付款给你,也需要很长时间才能跟链上状态同步。事实证明,FHE 解决了这个问题。这是 Aztec 正在研究的东西。这被称为不经意消息检索 (oblivious message retrieval,OMR)。如果你想在不泄露自己正在访问的东西的前提下同步你的钱包客户端的状态,那么 FHE 可以为你提供某种形式的解决方案。
在扩容方面,我实际上并不认为 FHE 真正解决了这方面的问题。我不认为 Vitalik 在他的文章中也明确提到了这一点,对于目前使用 ZK 的隐私币来说,客户端存在扩展性问题,客户端需要和链上状态同步。FHE 解决了这些隐私币在客户端的扩展性问题。
但就解决扩容问题而言,与 Rollup 类型的扩容相比,FHE 并没有真正解决这个问题。实际上,或者可能就像他提到的,当 FHE 与 ZK 互补时,也许可以帮助解决这些问题。有一种叫做可验证 FHE 的东西,事实证明,如果你想做与链相连的 FHE,在 Rollup 设置中,你实际上必须使 FHE 计算值可验证。类似于 ZK Rollup,你可以保证这里有一个在某些输入上运行的计算,它给你一些输出。FHE 默认不提供这个。它仍然是可信计算,但你能够做一些专门的、经过验证的 FHE 方案来保证计算是正确完成的。例如,RISC Zero 和其他 ZK 项目试图以一种通用形式来做这件事,他们采用 ZKVM,插入 Zama 的代码,试图通用地做这件事。但实际上你可以做一些更聪明、更高效的事情,通过从数学上研究 FHE 操作,以一种更加定制的方式直接进行可验证计算。
Foresight News:你提到的零知识证明(ZKP)也是密码学领域一个比较被看好的技术,那么,全同态加密(FHE)与零知识证明(ZKP)技术之间有何关联与区别?二者是否可以互补?在隐私保护领域,如何权衡和选择这两种技术?
Wei Dai:这是一个非常复杂的话题,我尝试简明扼要地做一个解释。
零知识证明主要允许你做两件事,一是可验证计算,二是「零知识」,也就是 ZK(Zero Knowledge)的属性。目前,所有 ZK L2 做的基本都是可验证计算——你可以做一段计算并验证它,无需重做计算。而 ZKP 中的零知识属性则允许你在不实际构建数据本身的情况下证明有关数据的事情,这可以让你获得某种形式的隐私。这已经被用于像混合网络( mixnets)、隐私报告 ( 如 Zcash)、Tornado Cash 这样的事物中。你也可以将它们扩展到更远的计算,比如像是 Aleo 和 Mina,它们使用 ZK 来隐藏数据。可以在链下做,而不是在链上做。
然而,就隐私而言,ZK 不允许你在共享状态上拥有隐私,它只允许你对私有状态进行隐私保护,也就是说,如果信息对一方或多方来说是私有的,那就没问题。
但这并不适用于智能合约。比如 Uniswap 上面的流动性可以与任何人进行无需许可的交互,这种类型的隐私就是我所说的共享状态上的隐私或机密性。这对 ZK 来说是不可行的,这就是你需要 MPC(多方计算) 和 FHE 的地方。
FHE 真正允许你做的是将计算和数据分离,你可以加密数据,对其进行计算,计算过程中你是看不到数据的。而进行加密的地方,不必知道在其上运行什么计算,所以在区块链环境中这真的很好,因为你可以有加密的智能合约或持有加密值的智能合约,并且仍然可以对它们进行计算。就像你给 Uniswap 加一层 FHE,以获得某种加密的计算迹数(trace,也称作迹)。
所以,FHE 和 ZK 的区别非常微妙,但总的来说如果你想让智能合约变得私密,那么你需要 MPC 或 FHE。但对于像支付这样简单的事情,你可以使用 ZK。
Foresight News:最近也有一些项目方在讲 ZK+FHE 的故事,对此,你怎么看?
Wei Dai:关于 ZK+FHE 的想法,我确实认为这二者是互补的技术,但目前阶段,如果真的将它们叠加在一起,计算量就会倍数增长,因为他们之间的计算量是乘法关系。比如,如果使用 ZK 计算量要增加千倍,使用 FHE 计算量也增加千倍的话,那么两者叠加就是百万倍。而实际上,真实的计算量的增加可能是一百万乘以一百万,也就是 1 万亿。
所以我认为现在这几乎是不可行的,除非真的有一些用例需要它。
Foresight News:在您看来,全同态加密技术目前的发展在什么阶段?距离大规模应用还有多远?
Wei Dai:如果要从绝对的角度来看这项技术的发展目前处在什么阶段,这很难说,我想这个问题或许可以用 FHE 与其它技术的相对定位来进行解释。
如果你与在 Zama 或 Duality 这些 FHE 公司工作的人交谈,他们会说,FHE 的发展整体要落后于 ZK 几年。具体落后几年呢?有些人会说是两三年,有人会说是五六年,甚至还有人认为是长达十年。之所以会有不同的说法是因为大家看的指标不同,比如,开发人员的数量、技术论文的数量、或者是在此基础上的新应用的数量等。
我并没有就此做非常全面的梳理,但根据我个人与这些社区互动的经验,我认为如果把这些指标做一个平均的话,那么 FHE 的发展大致落后于 ZK 三四年的时间。
ZK 一直在变得更快,FHE 也是如此。那么,我们离 FHE 的大规模应用还有多远?我认为实际上已经非常接近了。(在 FHE 方面)第一代项目现在刚刚上线测试网,今年晚些时候会上线主网,所以我想,我们即将看到这一点(指 FHE 的大规模应用)。如果现在去测量这些真实系统中的计算开销,FHE 仍然比 ZKP 要多一些。不过,一旦某样东西投入生产,如果它看到了主动适应,如果它可以扩展,它就可以相对快速地开始增长,通常会出现指数级的增长。这方面可以看看 ZK rollup,在相当短的时间内从一个理论概念到实际被使用,并已经保障了数十亿美元的价值。
Foresight News:在落地方面,当前全同态加密技术(FHE)还面临哪些瓶颈?比如,计算效率、密钥管理等。您认为在算法优化、硬件加速等层面,还有哪些问题需要攻克?
Wei Dai:首先,肯定有很多难题需要解决。对于 FHE 来说,问题通常在于自举(bootstrapping)。自举实际上是一件疯狂的事情,在这方面计算量很大,但随着算法改进和一般的工程优化,它正在不断减少。
事实证明,还有其他类型的方案,可以不做 bootstrapping,这种方案对于 ML(机器学习)可能更有效率。如果采用特殊的经典计算,实际上能够针对它进行优化。特别是对于不长时间运行的、更像一次性的计算,例如 AI 推理。在关注特定的经典计算并优化它,然后真正在一个特定方向上投入大量精力方面还没有太多商业化的努力。像 Zama 目前为链上计算所做的事情是非常通用的,这意味着它没有那么高效,因为每一步都要进行 bootstrapping。
在密钥管理这方面也有一些挑战。Zama 的 fhEVM、Inco 或 Phoenix 都需要门限密钥管理,你会有一组验证者,他们一起有能力进行解密。我认为这在路线图上,但 Zama 实际上还没有完全实现这一点。这是一个需要克服的障碍,否则,单个验证者仍然有能够解密的单点故障。
Foresight News:作为 1kx 的研究合伙人,从投资的角度来看,你认为全同态加密领域有哪些值得关注的技术方向和应用场景?市场前景如何?主要的机会和挑战有哪些?
Wei Dai:我认为特别值得关注的不仅仅是全同态加密,而是阈值同态加密(threshold FHE 或 TFHE),也就是 FHE(全同态加密)加上 MPC(多方计算)再加上区块链这三者的结合。这种特殊的组合将开启一系列全新的用例。对此,我感到非常兴奋。
事实上,在 Zama 还没有做 fhEVM 之前,我就一直在讨论 TFHE 在区块链上的应用。我们最近领投了 Inco,这一项目是在 Zama 之上构建的,旨在推出 fhEVM 用例。他们正在与一些合作伙伴合作开发小型用例,比如老虎机、赌场、商业支付、游戏。我很兴奋看到第一批应用程序进入市场。
此外,它对开发者来说也很友好,因为很容易编程,只需要操作 Solidity。而你知道,如果需要让开发者用一种定制的编程语言编程,要看到应用就难多了,这方面看看 ZK 就知道了。但事实证明,在这种很好的形式下,FHE 与链相连,开发者根本不需要考虑 FHE,这是非常简单的加密数据类型,对它们进行非常简单的操作,你可以在 Solidity 中以编程方式解密所有内容。所以我认为这是我在未来一两年内最兴奋的主要领域。
此外,还有其他更多新兴的领域。关于这种链上 FHE 的另一点是,通常在智能合约中进行的计算真的很短而且很简洁。因为智能合约应用程序是围绕像以太坊这样的有限计算环境设计的,像 Uniswap 实际上是非常轻量级的。所以它真的很适合 FHE,因为 FHE 现在效率很低。
除此之外,我认为 FHE 的其他形式可能会看到更多的应用。当 FHE 最初被讨论时,让密码学界真正感到兴奋的是计算的外包。如果有数据——不论是由用户拥有还是由组织拥有——就将这些数据外包给其他人进行计算。也许你会有一个 ML 用例,每个人的数据实际上都是加密的,但你仍然可以将其用作训练数据。
虽然这些都更加遥远,但我认为已经有很棒的团队在研究这些方向。也许在未来我们可以看到机器学习推理、机器学习,甚至是机器学习训练在 FHE 内部完成。
Foresight News:在监管方面,不同国家和地区对加密技术的态度存在分歧。尤其是随着 AI 的发展,数据隐私变得越来越重要。您认为未来监管环境可能如何演变?这会对全同态加密技术的研发和应用带来哪些影响?
Wei Dai:我对隐私的监管方面了解不多。但我知道隐私有两种主要类型,一种是数据隐私,一种是金融资产隐私。这两者差异极大,但有时人们在提到隐私时会把他们混为一谈。在现实中,这两种不同的隐私也需要被区别对待,在这方面需要更多的社会共识。
现在,人们谈到监管时都认为我们应该有很多数据隐私,但金融隐私是一个灰色地带。我认为 FHE 在这两个方面都可以发挥作用,但它肯定更直接适用于数据隐私部分。现在大型科技公司们从用户数据中获利,而通过 FHE,用户实际上可以潜在地保留数据所有权,以某种方式将数据出售给大型科技公司。这样一来,依然保留了某种社会积极效益,就是在这些数据基础上训练模型,广告商以可控的方式访问用户数据,而用户则可以拥有数据自主权。
Foresight News:展望未来三到五年,您对全同态加密技术的发展有何预期?哪些潜在的技术突破可能会改变格局?
Wei Dai:我并不会期望看到有任何突破性的变化,而是渐进式地改进。理论、软件、硬件、算法等所有这些相关因素都是互相叠加的,每一个层面都会有所改进。随着时间的推移,你会看到计算量和开发者体验的的稳步改善,这样一来这项技术就会变得越来越可用。
FHE 目前是处在从零到一的阶段,但与此同时,也处在从一到十的轨道上。我想要再次重申的是,FHE 的发展需要硬件、软件、理论和开发体验各个方面都取得进步,而我认为在这些方面都有一些有意思公司正在开展工作。
Foresight News:1kx 在 ZK 方面已经做了很多布局,那么在 FHE 方面呢?除了你刚才提到的 Inco,你们是否还在看一些其它项目,未来是否有可能进一步押注 FHE 这个赛道?
Wei Dai:是的,我们已经投资了一家网络公司 Inco,但我们也在硬件方面进行了投资。目前不能透露太多细节,但我们正在关注整个技术栈。我认为这是一个非常令人兴奋的时刻,再过三到五年的时间,我们将看到这个领域能达到什么程度。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。