1kx 研究パートナー：FHEは「大規模な応用に非常に近い」と述べ、分野の発展を注視しています。

インタビューおよび執筆：Wendy、Foresight News

インタビュイー：Wei Dai、1kx 研究パートナー

「長い間、全同態暗号（Fully Homomorphic Encryption, FHE）は暗号学の王冠の一つと見なされてきました」と、2020年7月20日に発表されたブログ記事の冒頭でVitalikはこう書いています。今年5月5日、Vitalikは再びX（Twitter）で「全同態暗号の探求」という記事をリツイートし、「多くの人が全同態暗号に興味を持っている」と述べました。

この「興味」は暗号ベンチャーキャピタル界でも表れています。今年3月、全同態暗号企業Zamaは、MulticoinとProtocol Labsが主導する7300万ドルのAラウンド資金調達を発表し、市場の注目を集めました。

Foresight Newsは最近の調査で、暗号分野におけるFHEエコシステムがすでに形成されていることを発見しました。一部の敏感な暗号ファンドもすでにFHEに投資を始めており、その中には1kxも含まれています。今年の初め、1kxはZamaに基づく全同態暗号プロジェクトIncoにリード投資を行いました。このファンドの研究パートナーであるWei Daiは、Foresight Newsに対し、彼らはこの分野の発展を注視していると明かしました。なぜなら、全同態暗号技術は「非常に近い」段階で大規模に採用される可能性があるからです。

Wei Daiはアメリカ・カリフォルニア大学サンディエゴ校で暗号学の博士号を取得しています。彼の見解では、全同態暗号の全体的な発展はゼロ知識証明に比べて約3〜4年遅れているものの、その潜在能力は非常に大きいとしています。特にブロックチェーン上のプライバシー問題を解決する上での可能性が高いと考えています。この技術が多者計算（MPC）やゼロ知識証明（ZKP）などの関連技術と組み合わさることで、より大きな想像の余地が開かれると期待されています。

Foresight News：半同態暗号などの従来の暗号技術と比較して、全同態暗号の主な利点と革新点はどこにありますか？

Wei Dai：全同態暗号（FHE）は1970年代に初めて議論され、今では30〜40年が経過していますが、実現は非常に難しいです。

このアイデアの（起源）は非常にシンプルで、データを暗号化し、その後に復号化するというのが標準的な暗号化です。すぐに、人々は実際にそれら（暗号化されたデータ）に対して簡単な操作、例えば加算（注：乗算も可能ですが、同時にはできません）を行えることに気づきました。これがいわゆる部分同態暗号です。そして、人々はそれに対して任意の形式の計算を行うことができるかどうかを考え始めました。加算と乗算ができれば、基本的には完全な汎用計算型が得られます。この考えは2009年にCraig Gentryの論文によって実現されました。それ以来、Craig Gentryに基づく全同態暗号スキームという新しい分野が広く研究されています。現在、私たちは多くの進展を目にしています。

したがって、全同態暗号の主な利点は、あなたが（暗号化された状態で）あらゆる種類の計算を行うことができる点にあります。

Foresight News：Vitalikは数年前の記事で、全同態暗号がブロックチェーンのスケーラビリティとプライバシー保護の鍵技術になる可能性があると述べました。あなたは全同態暗号がこの2つの分野でどのように応用されると考えていますか？具体的にはどのような改善がもたらされるでしょうか？

Wei Dai：現在のブロックチェーンはデフォルトで透明であり、すべての取引やスマートコントラクト内のすべての変数が公開されており、誰でもそれらを確認できます------これは変わる必要があります。

したがって、私たちは多くのプロジェクトが基本的に完全に透明なブロックチェーンを部分的に暗号化された形式に変換し、なおかつスマートコントラクトによって制御できるようにしているのを見ています。例えば、Zamaが構築したFHE仮想マシンです。Zamaは40人の博士を擁する企業で、深層技術FHE原語とそれに基づく製品を構築しています。基本的に、プログラマーはSolidityコードを簡単に記述することでFHE原語を操作できます。これは非常に強力です。私はこれが今日のブロックチェーン上に存在するプライバシー問題を解決するのに役立つと考えています。例えば、スロットマシンを作ったり、カジノを開設したり、暗号化された支払いを行ったりできます。それは完全にTornado Cashのようではありません。Tornado Cashは全体の取引グラフを曖昧にしますが、FHEと暗号化された支払いを使用する場合、実際には取引グラフを保持し、金額だけを隠します。したがって、ある意味では追跡が少し容易になり、規制に対してより友好的かもしれません。

Vitalikが言及したプライバシーに関するもう一つのポイントは、Zcash、Aztec、Tornado Cashのようなプライバシープロジェクトを使用する際に大きな問題があるということです。スマートフォンやブラウザでそれらを使用する場合、残高情報を取得するのに非常に長い時間がかかります。誰かがあなたに支払いを行った場合、チェーン上の状態と同期するのにも長い時間がかかります。実際、FHEはこの問題を解決しました。これはAztecが研究しているものです。これは無知なメッセージ取得（oblivious message retrieval、OMR）と呼ばれています。あなたが自分がアクセスしているものを漏らさずにウォレットクライアントの状態を同期したい場合、FHEはあなたに何らかの解決策を提供できます。

スケーラビリティに関して、私は実際にはFHEがこの問題を本当に解決するとは思っていません。Vitalikも彼の文章でこれを明確に述べていないと思います。現在ZKを使用しているプライバシーコインにとって、クライアントにはスケーラビリティの問題があります。クライアントはチェーン上の状態と同期する必要があります。FHEはこれらのプライバシーコインのクライアントのスケーラビリティの問題を解決します。

しかし、スケーラビリティの問題を解決するという点では、Rollupタイプのスケーラビリティと比較して、FHEはこの問題を本当に解決していません。実際、あるいは彼が言及したように、FHEがZKと補完的である場合、これらの問題を解決するのに役立つかもしれません。検証可能なFHEというものがあり、実際にチェーンに接続されたFHEを行いたい場合、Rollup設定ではFHE計算値を検証可能にする必要があります。ZK Rollupのように、特定の入力で実行される計算がここにあることを保証し、それがいくつかの出力を提供します。FHEはデフォルトでこれを提供しません。それは依然として信頼できる計算ですが、計算が正しく完了したことを保証するために、特定の検証可能なFHEスキームを行うことができます。例えば、RISC Zeroや他のZKプロジェクトは、このことを一般的な形式で行おうとしています。彼らはZKVMを採用し、Zamaのコードを挿入し、一般的にこのことを行おうとしています。しかし、実際にはFHE操作を数学的に研究することで、より賢く、より効率的な方法で直接検証可能な計算を行うことができます。

Foresight News：あなたが言及したゼロ知識証明（ZKP）も暗号学分野で期待されている技術ですが、全同態暗号（FHE）とゼロ知識証明（ZKP）技術の関係と違いは何ですか？両者は互補的ですか？プライバシー保護の分野で、これら2つの技術をどのように選択し、バランスを取るべきですか？

Wei Dai：これは非常に複雑なトピックで、簡潔に説明しようとします。

ゼロ知識証明は主に2つのことを可能にします。1つは検証可能な計算、もう1つは「ゼロ知識」、つまりZK（Zero Knowledge）の属性です。現在、すべてのZK L2が基本的に検証可能な計算を行っています------計算を行い、それを検証することができ、再計算する必要はありません。そして、ZKPのゼロ知識属性は、実際にデータそのものを構築することなく、データに関する事柄を証明することを可能にします。これにより、何らかの形でプライバシーを得ることができます。これは、混合ネットワーク（mixnets）、プライバシーレポート（Zcashのような）、Tornado Cashのような事柄に使用されています。さらに、AleoやMinaのような、データを隠すためにZKを使用するより遠い計算に拡張することもできます。これはオフチェーンで行うことができ、オンチェーンではありません。

しかし、プライバシーの観点から、ZKは共有状態に対してプライバシーを持つことを許可せず、プライベートな状態に対してのみプライバシー保護を許可します。つまり、情報が一方または複数の当事者にとってプライベートであれば問題ありません。

しかし、これはスマートコントラクトには適用されません。例えば、Uniswap上の流動性は誰とでも許可なしに相互作用できます。この種のプライバシーは、私が言うところの共有状態におけるプライバシーまたは機密性です。これはZKには不可能であり、ここでMPC（多者計算）とFHEが必要になります。

FHEが本当に許可するのは、計算とデータを分離することです。あなたはデータを暗号化し、それに対して計算を行うことができ、計算中はデータを見ることができません。そして、暗号化された場所では、どの計算が実行されているかを知る必要はありません。したがって、ブロックチェーン環境ではこれは非常に良いことです。なぜなら、暗号化されたスマートコントラクトや暗号化された値を保持するスマートコントラクトを持ちながら、それらに対して計算を行うことができるからです。まるでUniswapにFHEの層を追加して、何らかの暗号化された計算トレースを得るようなものです。

したがって、FHEとZKの違いは非常に微妙ですが、一般的に言えば、スマートコントラクトをプライベートにしたい場合は、MPCまたはFHEが必要です。しかし、支払いのようなシンプルな事柄にはZKを使用できます。

Foresight News：最近、ZK+FHEの話をしているプロジェクトもありますが、あなたはこれについてどう思いますか？

Wei Dai：ZK+FHEのアイデアについて、私は確かにこれら二つは互補的な技術だと思いますが、現段階では、もし本当にそれらを重ね合わせると、計算量が倍増することになります。なぜなら、彼らの間の計算量は乗算関係だからです。例えば、ZKを使用する場合の計算量が千倍増加し、FHEの計算量も千倍増加する場合、両者を重ね合わせると百万倍になります。そして実際には、真の計算量の増加は百万掛ける百万、つまり1兆になる可能性があります。

したがって、私は今のところこれはほぼ不可能だと思います。特にそれを必要とするユースケースがない限り。

Foresight News：あなたの見解では、全同態暗号技術は現在どの段階にありますか？大規模な応用までどれくらいの距離がありますか？

Wei Dai：この技術の発展が現在どの段階にあるかを絶対的な観点から見るのは難しいですが、この問題はFHEと他の技術の相対的な位置付けを用いて説明できるかもしれません。

ZamaやDualityなどのFHE企業で働いている人と話すと、FHEの発展は全体的にZKに数年遅れていると言います。具体的に何年遅れているかというと、ある人は2〜3年、別の人は5〜6年、さらには10年遅れていると考える人もいます。異なる意見があるのは、みんなが見る指標が異なるからです。例えば、開発者の数、技術論文の数、あるいはそれに基づく新しいアプリケーションの数などです。

私はこれについて非常に包括的な整理を行ったわけではありませんが、私の個人的な経験に基づくと、これらの指標を平均すると、FHEの発展はおおよそZKに対して3〜4年遅れていると思います。

ZKは常により速くなっており、FHEも同様です。では、私たちはFHEの大規模な応用までどれくらいの距離があるのでしょうか？私は実際には非常に近いと考えています。（FHEに関して）第一世代のプロジェクトが現在テストネットに上がったばかりで、今年の後半にはメインネットに上がる予定です。したがって、私たちはこの点（FHEの大規模な応用）を目にすることになると思います。今、これらの実際のシステムにおける計算コストを測定すると、FHEは依然としてZKPよりも多くのリソースを必要とします。しかし、何かが生産に投入され、積極的に適応し、拡張できる場合、比較的迅速に成長を始めることができ、通常は指数関数的な成長が見られます。この点ではZKロールアップを見てみると、理論的な概念から実際に使用され、数十億ドルの価値を保証していることがわかります。

Foresight News：実用化の面で、現在全同態暗号技術（FHE）はどのようなボトルネックに直面していますか？例えば、計算効率、鍵管理など。アルゴリズムの最適化やハードウェアの加速などの面で、どのような問題が解決される必要がありますか？

Wei Dai：まず、確かに解決すべき多くの課題があります。FHEに関しては、問題は通常ブートストラッピング（bootstrapping）にあります。ブートストラッピングは実際には非常に大きな計算量を要するもので、これに関しては計算量が非常に大きいですが、アルゴリズムの改善や一般的なエンジニアリングの最適化により、徐々に減少しています。

実際、ブートストラッピングを行わない他のタイプのソリューションも存在し、これらはML（機械学習）に対してより効率的である可能性があります。特別な古典的計算を使用することで、実際にそれに対して最適化することが可能です。特に、長時間実行されない、より一回限りの計算、例えばAI推論のようなものに対してです。特定の古典的計算に注目し、それを最適化し、特定の方向に多くのエネルギーを投入することに関しては、商業化の努力はあまり見られません。Zamaが現在チェーン上の計算のために行っていることは非常に一般的であり、これはそれほど効率的ではありません。なぜなら、すべてのステップでブートストラッピングを行う必要があるからです。

鍵管理の面でもいくつかの課題があります。ZamaのfhEVM、Inco、またはPhoenixはすべて閾値鍵管理を必要とし、あなたは一組の検証者を持ち、彼らは一緒に解読する能力を持っています。私はこれがロードマップ上にあると思いますが、Zamaは実際にはまだ完全にこれを実現していません。これは克服すべき障害であり、そうでなければ、単一の検証者が解読できる単一障害点が残ります。

Foresight News：1kxの研究パートナーとして、投資の観点から見て、全同態暗号分野で注目すべき技術方向や応用シーンは何ですか？市場の展望はどうですか？主な機会と課題は何ですか？

Wei Dai：私は特に注目すべきは全同態暗号だけでなく、閾値同態暗号（threshold FHEまたはTFHE）、つまりFHE（全同態暗号）とMPC（多者計算）およびブロックチェーンの組み合わせです。この特別な組み合わせは、新しいユースケースの一連を開くでしょう。これについて私は非常に興奮しています。

実際、ZamaがfhEVMを作る前から、私はTFHEのブロックチェーンへの応用について議論してきました。私たちは最近Incoにリード投資を行いました。このプロジェクトはZamaの上に構築され、fhEVMのユースケースを展開することを目指しています。彼らはスロットマシン、カジノ、商業支払い、ゲームなどの小規模なユースケースを開発するためにいくつかのパートナーと協力しています。私は最初のアプリケーションが市場に登場するのを見るのが楽しみです。

さらに、これは開発者にとっても非常にフレンドリーです。なぜなら、プログラミングが簡単で、Solidityを操作するだけで済むからです。あなたも知っているように、開発者にカスタマイズされたプログラミング言語を使わせる必要がある場合、アプリケーションを見るのは非常に難しくなります。この点ではZKを見ればわかります。しかし、実際にはこのような良い形式で、FHEがチェーンに接続されているため、開発者はFHEを考慮する必要がなく、非常にシンプルな暗号化データ型に対して非常に簡単な操作を行うことができます。したがって、私はこれが今後1〜2年で最も興奮している主要な分野だと考えています。

さらに、他にも新興の分野がいくつかあります。このようなチェーン上のFHEに関してのもう一つのポイントは、通常スマートコントラクトで行われる計算が非常に短く、簡潔であるということです。なぜなら、スマートコントラクトアプリケーションはEthereumのような限られた計算環境を中心に設計されており、Uniswapは実際には非常に軽量です。したがって、FHEには非常に適しています。なぜなら、FHEは現在効率が低いからです。

その上、私はFHEの他の形式がより多くの応用を見込むことができると思います。FHEが初めて議論されたとき、暗号学界が本当に興奮したのは計算のアウトソーシングでした。データがあれば------ユーザーが所有するものであれ、組織が所有するものであれ------それらのデータを他の人に計算させることです。おそらく、あなたはMLユースケースを持っていて、すべての人のデータが実際には暗号化されているが、それでもトレーニングデータとして使用できるかもしれません。

これらはまだ遥かに遠いものですが、私はすでに素晴らしいチームがこれらの方向を研究していると思います。将来的には、機械学習推論、機械学習、さらには機械学習トレーニングがFHE内で完了するのを見ることができるかもしれません。

Foresight News：規制の観点から、異なる国や地域で暗号技術に対する態度に違いがあります。特にAIの発展に伴い、データプライバシーがますます重要になっています。あなたは未来の規制環境がどのように進化すると思いますか？これは全同態暗号技術の研究開発や応用にどのような影響を与えるでしょうか？

Wei Dai：私はプライバシーの規制に関してあまり詳しくありません。しかし、プライバシーには主に2つのタイプがあることを知っています。一つはデータプライバシー、もう一つは金融資産プライバシーです。この2つは大きく異なりますが、時には人々がプライバシーについて言及する際に混同されることがあります。現実には、これら2つの異なるプライバシーは区別される必要があり、この点に関してはより多くの社会的合意が必要です。

現在、人々は規制について話すとき、私たちは多くのデータプライバシーを持つべきだと考えていますが、金融プライバシーはグレーゾーンです。私はFHEがこの2つの面で役立つと考えていますが、確かにデータプライバシーの部分により直接的に適用されます。現在、大手テクノロジー企業はユーザーデータから利益を得ており、FHEを通じてユーザーは実際にデータの所有権を潜在的に保持し、大手テクノロジー企業にデータを何らかの形で販売することができます。こうすることで、これらのデータに基づいてモデルをトレーニングし、広告主が制御された方法でユーザーデータにアクセスできる一方で、ユーザーはデータの自主権を持つことができます。

Foresight News：今後3〜5年の展望として、全同態暗号技術の発展についてどのように予測しますか？どのような潜在的な技術的突破口が状況を変える可能性がありますか？

Wei Dai：私は何か画期的な変化が見られるとは期待していませんが、漸進的な改善を期待しています。理論、ソフトウェア、ハードウェア、アルゴリズムなど、すべての関連要因が相互に重なり合い、各レベルで改善が見られます。時間が経つにつれて、計算量と開発者の体験が着実に改善され、この技術がますます利用可能になるでしょう。

FHEは現在、ゼロから一の段階にありますが、同時に一から十の軌道にもあります。私は再度強調したいのですが、FHEの発展にはハードウェア、ソフトウェア、理論、開発体験の各方面での進歩が必要であり、私はこれらの面で興味深い企業が活動していると考えています。

Foresight News：1kxはZKに関して多くの投資を行っていますが、FHEに関してはどうですか？あなたが先ほど言及したIncoの他に、他のプロジェクトにも注目していますか？将来的にFHEの分野にさらに投資する可能性はありますか？

Wei Dai：はい、私たちはネットワーク企業Incoに投資しましたが、ハードウェアの面でも投資を行っています。現在、詳細を多くは明かせませんが、私たちは全体の技術スタックに注目しています。私はこれは非常にエキサイティングな時期だと思います。3〜5年後には、この分野がどの程度まで進展するかを見ることができるでしょう。