FHEはZKの次のステップであり、暗号技術の新しい章です。
アプリケーションシーンと実装は、FHEがブロックチェーンインフラストラクチャの突破口となる。著者:佐爷
暗号通貨の発展の主線は非常に明確であり、ビットコインが暗号通貨を創造し、イーサリアムがパブリックチェーンを創造し、テザー社がステーブルコインを創造し、BitMEXが永久契約を創造しました。この4つの創造は、暗号の原語のように万億の市場を構築し、数え切れないほどの暴富神話や、常に人々に記憶される去中心化の夢を生み出しました。
暗号技術の発展の軌跡はあまり明確ではなく、さまざまなコンセンサスアルゴリズムや巧妙な設計は、ステーキングやマルチシグシステムには敵わず、後者こそが暗号システムの運用を維持する真の柱です。たとえば、去中心化ステーキングのWBTCを取り去った後、大部分のBTC L2は存在できなくなります。一方、Babylonのネイティブステーキングはこの方向の探求であり、7000万ドルの価値を持つ探求です。
私はこの記事で暗号技術の発展史を描こうと試みます。これは暗号業界のさまざまな技術の変遷とは異なります。たとえば、FHEとZK、MPCの関係について、粗い応用の過程から見ると、MPCが最初に使用され、FHEが中間の計算過程に使用され、ZKが最終的に証明されます。応用の時間順序から見ると、ZKが最初に実現され、その後AAウォレットの概念が大流行し、MPCが技術的な解決策として注目され、発展が加速しました。ただし、FHEは2020年にすでに神によって予言されましたが、2024年になってようやく少し火がつきました。
MPC/FHE/ZKP
ZKやMPCとは異なり、FHEは現在のすべての暗号アルゴリズムとも異なります。FHEを除けば、対称または非対称の暗号技術は、絶対的な安全性を達成するために「簡単にまたは解読不可能な暗号システム」を作り出そうとしていますが、FHEの目標は暗号化された密文を機能させることです。つまり、暗号化と復号化は重要ですが、暗号化後、復号化前の内容も無駄にすべきではありません。
理論が整い、Web2がWeb3に先行して実現
FHEは基礎技術であり、学術的にはすでに理論探求が完了しています。Web2の巨人たちは多くの努力をしており、たとえば、マイクロソフト、インテル、IBM、DARPAが支援するDualityは、ソフトウェアとハードウェアの適合と開発ツールの準備を進めています。
良いニュースは、Web2の巨人たちもFHEを何に使うべきか分かっていないことです。Web3は今から始めても遅くはありませんが、悪いニュースはWeb3の適合がほぼゼロであり、主流のビットコインやイーサリアムはFHEアルゴリズムをネイティブに互換性を持たせることができません。イーサリアムは世界のコンピュータですが、FHEをハードに計算するには恐らく世界の終わりまで計算しなければならないでしょう。
私たちは主にWeb3の探求に焦点を当てており、Web2の巨人たちがFHEに非常に熱心であり、すでに多くの基礎作業を行っていることを覚えておけば十分です。
これは、Vitalikが2020年から2024年までZKに重心を置いていたためです。
ここで、私がZKの爆発的な人気の原因を簡単に説明します。イーサリアムがRollupのスケーリングルートを確立した後、ZKの状態圧縮機能はL2からL1へのデータ伝送のサイズを大幅に削減することができ、これは経済的に巨大な価値を持ちます。もちろん、これは理論上の話であり、L2の断片化やソート問題、さらには一部のL2/Rollupがユーザー手数料を収穫する問題など、これらはすべて発展中の新たな問題であり、引き続き発展によって解決するしかありません。
簡単にまとめると、イーサリアムはスケーリングが必要であり、Layer 2の発展ルートを確立し、ZK/OP系のRollupが競い合い、短期的にはOP、長期的にはZKの業界コンセンサスを形成し、ARB/OP/zkSync/SatrkNetの4大巨頭を生み出しました。
経済性はZKが暗号の世界、特にイーサリアムの体系に受け入れられる重要な理由であり、唯一の理由でもあります。したがって、今後のFHE技術の特徴については詳述しませんが、FHEがWeb3の運用効率をどの方向で向上させることができるか、またはWeb3の運用コストをどのように削減できるか、コスト削減と効率向上のどちらかを占める必要があります。
FHEの発展小史と成果
まず、同態暗号と全同態暗号の違いを明確にします。厳密に言えば、全同態暗号は前者の特例です。同態暗号は「暗号文の加算または乗算の計算が平文の加算または乗算の計算と等しい」ことを意味します。つまり:
この時、cとE(c)、dとE(d)は等価と見なすことができますが、ここには2つの難点があります:
平文と暗号文の等価性は、実際には平文にノイズを加えた後、その運算によって得られた暗号文です。もし暗号文によって引き起こされる偏差が大きすぎると、計算が失敗する可能性があるため、ノイズを制御するさまざまなアルゴリズムが重要です。
加算と乗算のコストは非常に大きく、暗号文の計算は平文の計算の1万倍から100万倍以上になる可能性があります。そして、無限回の加算と乗算の暗号文計算を同時に実現することが全同態暗号と呼ばれます。もちろん、さまざまな同態暗号はそれぞれの分野で独自の価値を持ち、実現の程度によって次のように分類できます:
部分同態暗号(Partially homomorphic encryption):暗号化されたデータに対して限られた操作セット(加算または乗算など)のみを許可します。ある種の同態暗号(Somewhat homomorphic encryption):限られた数の加算と乗算を許可します。
全同態暗号(Fully homomorphic encryption):無限回の加算と乗算を許可し、暗号化されたデータに対して任意の計算を実現します。
全同態暗号(FHE)の発展の歴史は2009年に遡り、Craig Gentryが初めて理想格に基づく全同態アルゴリズムを提案しました。理想格は、ユーザーが特定の線形関係を満たす多次元空間内の点の集合を定義できる数学的構造です。
Gentryの提案では、理想格を使用して鍵と暗号化データを表現し、暗号化データがプライバシーを保持しながら、ブートストラップを使用してノイズを低減できるようにしました。ブートストラップは「自分の靴ひもを引っ張って自分をひっくり返す」と理解できます。実際の操作では、FHEで暗号化された密文に再度暗号化を加えることで、ノイズを低減し、機密性を維持し、複雑な計算操作をサポートします。
(ブートストラップはFHEの実用化において非常に重要な技術的進歩ですが、数学的知識はここでは展開しません)
このアルゴリズムはFHEのマイルストーンであり、初めてFHEの実現可能性を工学的に証明しましたが、コストが非常に高く、計算に30分かかることもあり、実用化の可能性はほとんどありませんでした。
0から1を解決した後、残るのは大規模な実用化であり、異なる数学的仮定に基づいて対応するアルゴリズム設計を展開することもできます。理想格の他に、安全性の仮定に使用されるのはLWE(Learning with Error)およびその変種であり、現在最も一般的なソリューションです。
2012年、Zvika Brakerski、Craig Gentry、Vinod VaikuntanathanはBGVスキームを提案しました。これは第二世代のFHEスキームの1つであり、その最も重要な貢献はモジュラス変換技術です。この技術は同態演算によって引き起こされる暗号文のノイズの増加を効果的に制御し、Leveled FHEを構築しました。つまり、このFHEは与えられた計算深度の同態計算タスクを実現できます。
これに類似するものとしてBFVやCKKSなどのスキームがあり、特にCKKSスキームは浮動小数点演算をサポートできますが、計算リソースの消費をさらに増加させるため、より良いスキームが必要です。
最後にTFHEとFHEWスキーム、特にTFHEスキームがあります。これはZamaの選択アルゴリズムであり、簡単に言えば、FHEのノイズ問題はGentryが初めて適用したブートストラップによって低減でき、TFHEは効率的なブートストラップを実現し、精度も保証されているため、ブロックチェーン分野との良い結合点があります。
私たちは各スキームの紹介をここで終わりますが、実際にはそれらの間の違いは優劣ではなく、シーンの違いであり、基本的には強力なソフトウェアとハードウェアリソースのサポートが必要です。TFHEスキームでさえ、ハードウェアの問題を解決しなければ大規模に適用することはできず、基本的にはZK分野の「アルゴリズムとソフトウェアが先行し、ハードウェアとモジュール化が追随する」という道筋を踏襲することは不可能です。つまり、FHEは最初からハードウェアと同期して発展する必要があり、少なくとも暗号分野では必然的にそうなります。
Web 2 OpenFHE vs Web3 Zama
前述のように、Web2の巨人たちは探求を行い、いくつかの実践的成果を形成しました。ここでそれをまとめ、Web3の応用シーンを導入します。
簡略化すると、IBMはHelibライブラリを提供し、主にBGVとCKKSをサポートしています。マイクロソフトのSEALライブラリは主にCKKSとBFVスキームをサポートしています。特筆すべきは、CKKSの著者の一人であるSong YongsooがSEALの設計と開発に参加したことです。OpenFHEは最も包括的なものであり、DARPAが支援するDualityが開発したもので、現在BGV、BFV、CKKS、TFHE、FHEWなどの主流アルゴリズムをサポートしており、市場に存在するFHEライブラリの中で最も充実しています。
さらに、OpenFHEはインテルのCPU加速ライブラリとの協力や、NVIDIAのCUDAインターフェースを呼び出してGPU加速をサポートすることも探求しましたが、CUDAのFHEに対する最近のサポートは2018年に止まっており、現在のところ更新されたサポートは見つかっていません。誤りがあればご指摘ください。
OpenFHEはC++とPythonの2つの言語をサポートしており、Rust APIが開発中であり、シンプルで包括的なモジュール化とクロスプラットフォーム能力を提供することに努めています。もしWeb2の開発者であれば、これは最も簡単な即使用可能なソリューションです。
もしWeb3の開発者であれば、少し難易度が上がります。
計算能力が弱いため、大部分のパブリックチェーンはFHEアルゴリズムの実行をサポートできません。次に、ビットコインとイーサリアムのエコシステムは現在FHEに対する「経済的需要」が不足しています。再度強調しますが、L2からL1への効率的なデータ伝送の需要が先にあって、ZKアルゴリズムの実現が促進されたのであり、FHEのためにFHEを行うことはできません。これはハンマーで釘を打つような強引なマッチングであり、落地コストを増加させるだけです。
FHE+EVMの動作原理
後の部分では現在直面している困難や可能な落地シーンについて詳述しますが、ここではWeb3の開発者にいくつかの自信を与えます。
2024年、Zamaは暗号分野で最大のFHE関連の資金調達を行い、Multicoinがリードした7300万ドルを調達しました。Zamaは現在、TFHEアルゴリズムライブラリに基づいており、次にfhEVMがその上でFHE機能を持つEVM互換チェーンの開発をサポートしています。
次に効率の問題ですが、これはソフトウェアとハードウェアの協力によってのみ解決できます。一つはEVMがFHE契約を直接実行できないことです。これはZamaのfhEVMスキームとは矛盾しません。Zamaは自分でチェーンを構築し、FHE機能をネイティブに追加できます。たとえば、Shiba InuもZamaのスキームに基づいてLayer 3を構築しようとしています。新しく作られたチェーンがFHEをサポートすることは難しくありませんが、イーサリアムEVM自体がFHE契約のデプロイ能力を持つ方法が難しいのです。これはイーサリアムのOpcode(操作コード)のサポートが必要です。良いニュースは、Fair MathとOpenFHEが共同でFHERMAコンペティションを開催し、開発者にEVMのOpcodeを書き換えることを奨励していることです。これは積極的に結合の可能性を探求していると言えます。
もう一つはハードウェア加速です。こう言えます。たとえSolanaなどの高性能パブリックチェーンがネイティブにFHE契約のデプロイをサポートしても、そのノードを遅くしてしまいます。ネイティブFHEハードウェアにはChain Reactionの3PU™(プライバシー保護処理ユニット)があり、ASICスキームに属します。次に、ZamaやIncoもハードウェア加速の可能性を探求しています。たとえば、Zamaの現在のTPSは約5であり、Incoは10 TPSを実現できます。IncoはFPGAハードウェア加速を使用することで、TPSを100〜1000に引き上げることができると考えています。
しかし、速度の問題について過度に心配する必要はありません。既存のZKハードウェア加速スキームは理論的にFHEスキームに適合するように改造できるため、以下の議論では速度の問題を過度に設計することはなく、主にシーンを探し、EVMの互換性を適合させることに焦点を当てます。
暗池玉殒、FHE X Cryptoの未来は期待できる
MulticoinがZamaに投資した際、「ZKPは過去のもの、未来はFHEに属する」と豪語しました。未来が真実になるかどうかは現実は常に厳しいものであり、Zamaの後、Inco NetworkとFhenixはfhEVMエコシステムの隠れた同盟を形成しました。方向性はそれぞれ異なりますが、基本的にはFHEとEVMエコシステムの融合に取り組んでいます。
早くやることよりも、巧妙にやることが重要です。まずは冷水を一杯浴びせましょう。
2024年はFHEの大年かもしれませんが、2022年に始まったElusivはすでに運営を停止しています。Elusivは最初、Solana上の「暗池」プロトコルでしたが、現在はコードベースとドキュメントが削除されています。
結局のところ、FHEは技術コンポーネントの一部として、MPC/ZKPなどの技術と一緒に使用する必要があります。そして、私たちが考慮すべきは、FHEがどのような点でブロックチェーンの現行のパラダイムを変えることができるかです。
まず認めなければならないのは、単純にFHEがプライバシーを強化するために経済的価値を持つと考えるのは正確ではないということです。過去の実践から見ると、Web3やチェーン上のユーザーはそれほどプライバシーを気にしていません。プライバシーが経済的価値を提供できる場合にのみ、関連ツールを使用します。たとえば、ハッカーは資金を盗むために隠すためにTornado Cashを使用しますが、普通のユーザーはUniswapを使用します。なぜなら、Tornado Cashを使用すると追加の時間や経済的コストがかかるからです。
FHEの暗号化コストは、もともとチェーン上で弱い運用効率をさらに悪化させるものであり、このコストがより顕著な利益をもたらす場合にのみ、プライバシーを保護することが大規模に普及する可能性があります。たとえば、RWA方向の債券発行や取引、2023年6月に中銀国際がスイスのUBSを通じてアジア太平洋の顧客に「ブロックチェーンデジタル構造票」を発行し、UBSのプレスリリースではイーサリアムを通じて行われたと指摘されていますが、奇妙なことにその取引の契約アドレスや配布アドレスは見つかりません。もし誰かが見つけられたら、関連情報を補足してください。
この例はFHEの重要性を明示的に示すことができます。機関レベルの顧客にとって、彼らはブロックチェーンなどのパブリックチェーンを使用する必要がありますが、すべての情報を公開することは適していないか、望んでいません。したがって、FHEのような暗号文表示が可能で、直接売買などの操作ができる特性はZKPよりも適しています。
個人の小口投資家にとって、FHEは現在まだ比較的遠い基盤インフラです。私はいくつかの方向性を挙げることができます。たとえば、MEVに対抗すること、プライバシー取引、より安全なネットワーク、第三者の覗き見を防ぐことなどですが、明らかにこれらは第一のニーズではありません。また、現在FHEを使用するとネットワークが遅くなることは確かです。率直に言えば、FHEの主役の時はまだ来ていません。
結局のところ、プライバシーは痛みのないニーズです。公共サービスとして、ほとんどの人はプライバシーにプレミアムを支払うことを望んでいません。私たちはFHEで暗号化されたデータの計算可能な特性を利用してコストを削減したり、取引効率を向上させるシーンを見つける必要があります。そうすることで、市場の自発的な推進力を生み出すことができます。たとえば、MEVに対抗するソリューションは多くの種類があります。たとえば、中央集権的なノードが実際に解決できますが、FHEはシーンの痛点を直接突くことはできません。
もう一つの問題は計算効率の問題です。一見すると、これはハードウェア加速やアルゴリズムの最適化が必要な技術的問題のように見えますが、本質的には市場にあまり需要がなく、プロジェクト側に競争の動機がないからです。計算効率は結局のところ競争から生まれるものであり、ZKを例にとると、活発な市場の需要の中でSNARKとSTARKのルートが互いに競い合い、さまざまなZK Rollupがプログラミング言語から互換性まで必死に開発され、ZKの発展は熱い資金によって急速に進展しました。
応用シーンと落地はFHEがブロックチェーン基盤インフラになるための突破口です。この一歩を踏み出せなければ、FHEは暗号業界で勢力を持つことはできず、各プロジェクトは自分の小さな世界で楽しむことしかできません。
Zamaと彼の仲間たちの実践から見ると、共通の認識はイーサリアムの外で新しいチェーンを作り、ERC-20などの技術コンポーネントと標準を再利用してFHE L1/L2をイーサリアムに接続する暗号スキームを形成することです。このスキームの利点は、先行して試すことができ、FHEの基礎コンポーネントを構築できることです。欠点は、イーサリアム自体がFHEアルゴリズムをサポートしない場合、チェーン外のスキームは常に比較的微妙な立場に置かれることです。
Zama自身もこの問題を認識しており、前述のFHE関連ライブラリの他にFHE.orgという組織を立ち上げ、関連会議を支援し、より多くの学術成果を工学的応用に転換できることを期待しています。
Inco Networkの発展方向は「汎用プライバシー計算層」であり、本質的には計算アウトソーシングサービスプロバイダーのモデルです。Zamaに基づいてFHE EVM L1ネットワークを構築しました。興味深い探求は、クロスチェーンメッセージプロトコルHyperlaneとの協力であり、別のEVM互換チェーン上のゲームメカニズムをInco上にデプロイできます。ゲームが実行される際にFHE計算が必要な場合、Hyperlaneを通じてIncoの計算能力を呼び出し、その後、結果を元のチェーンに返します。
Incoが想定するこのようなシーンを実現するには、EVM互換チェーンがIncoの信用を信じることを望み、Inco自身の計算能力が十分に強い必要があります。チェーンゲームのような高並行性、低遅延の需要の中で、実際に良好に機能するかどうかはかなりの挑戦です。
このことから、いくつかのzkVMは実際にFHE計算のアウトソーシングプロバイダーの役割を果たすことができます。たとえば、RISC Zeroはすでにその能力を持っています。ZK製品とFHEの次のステップの衝突は、さらに多くの火花を生むかもしれません。
さらに進んで、いくつかのプロジェクトはイーサリアムに少し近づきたいと考えています。少なくともイーサリアムの一部になる方向に進んでいます。IncoはZamaのスキームを使用してL1を実現でき、FhenixはZamaのスキームを使用してEVM L2を実現できます。現在も発展中で、やりたい方向性は多く見受けられますが、最終的にどのような製品が落地するのかは不明です。おそらくFHE能力を強調したL2になるでしょう。
また、前述のFHERMAコンペティションもあります。読者の中にイーサリアム開発に精通したプログラマーがいれば、試してみてください。FHEの落地を助けると同時に報酬も得られます。
さらに、SunscreenとMind Networkという2つの比較的奇妙なプロジェクトがあります。Sunscreenは主にRavitalという一人の運営者によって運営されており、方向性はBFVアルゴリズムを使用してFHEに適したコンパイラソリューションを構築することですが、長期間テストと実験の状態にあり、製品の実用化にはまだ時間がかかります。
最後に、Mind Networkのアプローチは主にFHEと既存のシーン、たとえば再ステーキングとの結合に集中していますが、具体的にどのように実現するかは時間が必要です。
最後に、前節の冒頭に戻りますが、Elusivは現在Arciumに改名し、新たな資金調達を受け、「並行FHE」スキームに転換しました。これはFHEの実行効率を改善することを目指しています。
結論
この記事は一見FHEの理論と実践について語っているようですが、暗線は暗号技術自体の発展史を明確にすることです。これは必ずしも暗号通貨で使用される技術と同じではありません。ZKPとFHEには多くの類似点があり、その一つはブロックチェーンが公開特性を保持しつつプライバシー設計を維持することに取り組んでいることです。ZKPのプライバシーソリューションはL2とL1間の相互作用の経済コストを削減することを指向していますが、FHEはまだ自分の最適なシーンを探しています。
各スキームの分類
道は長く、FHEはまだ探求を続けています。イーサリアムとの関連度に応じて、3つのタイプに分けることができます:
Type 1:独立した王国、イーサリアムとコミュニケーション。Zama/Fhenix/Inco networkを代表とし、主に開発基盤を提供し、FHE L1/L2の自立構築を奨励し、特定の細分野に適用されます。
Type 2:その上に外付け、イーサリアムに統合。Fair Math/Mind Networkを代表とし、一定の独立性を保ちながらも、全体的な考え方はイーサリアムとのより深い融合を目指しています。
Type 3:共通通行、イーサリアムを改造。イーサリアムがネイティブにFHE機能をサポートできない場合、契約層で探求し、FHEの機能を各EVM互換チェーンに分散させる必要があります。現在、これに該当するスキームはあまり見受けられません。
ZKが発展の後期に一鍵でチェーンを発行し、ハードウェア加速が実用化されるのとは異なり、FHEはZKの巨人の肩に立っています。今、FHEチェーンを発行することは最も簡単なことかもしれませんが、自身とイーサリアムとのコミュニケーションが最も難しいのです。
毎日自分を省みて、ブロックチェーンの世界でFHEの未来の座標を探します:
どのシーンで暗号化が必要であり、明文を使用できないのか?
どのシーンでFHE暗号化が必要であり、他の暗号化方法を使用できないのか?
どのシーンでFHE暗号化を使用したユーザーが良いと感じ、高い費用を支払う意欲があるのか?
