全同態暗号（FHE）は長い間、暗号学の宝石と見なされてきました。2020年7月20日、Vitalik Buterinはブログ記事でその重要性を強調しました。最近の2023年5月5日、VitalikはXで「全同態暗号の探求」という記事を共有し、FHEへの関心を再燃させ、「多くの人々がFHEに興味を持っている」と指摘しました。

この高まる関心は、暗号リスク投資の分野でも反映されています。2023年3月、FHE企業Zamaは、MulticoinとProtocol Labsが主導する7300万ドルのAラウンド資金調達を完了し、市場の大きな注目を集めました。 >

FHEとは

全同態暗号（FHE）は1970年代に初めて議論されましたが、実現は難しいものでした。その基本的な考え方は、データを暗号化し、復号化せずに計算を行うことです。最初は、暗号化されたデータに対して加算や乗算などの単純な操作しか行えず、これを部分同態暗号と呼びます。画期的な進展は2009年に起こり、Craig Gentryが暗号化されたデータ上で任意の計算を行うことができることを示し、全同態暗号の発展につながりました。

FHEは、復号化を必要とせずに暗号化データに対して計算を行うことを可能にする高度な暗号形式です。これは、暗号文（暗号化データ）に対して操作を行い、暗号化された結果を生成できることを意味し、復号化すると、その結果は平文（未暗号化データ）に対して操作を行った結果と一致します。 >

全同態暗号の重要な特性

同態性

• 加算：暗号文に対する加算操作は、平文に対する加算操作と同等です。

𝐸(𝑎+𝑏)=𝐸(𝑎)+𝐸(𝑏)

• 乗算：暗号文に対する乗算操作は、平文に対する乗算操作と同等です。

𝐸(𝑎×𝑏)=𝐸(𝑎)×𝐸(𝑏)

• ノイズ管理：FHEでデータを暗号化する際、暗号文にノイズが追加されて安全性が確保されます。しかし、操作のたびにこれらのノイズは増加します。ノイズを管理し最小化することは非常に重要です。ノイズが大きくなりすぎると、計算が不正確になったり失敗したりする可能性があります。

• 無限操作：部分同態暗号（PHE）が1つの操作（加算または乗算）を無限回サポートするのに対し、ある種の同態暗号（SHE）は有限回の操作をサポートするのに対し、FHEは無限回の加算と乗算をサポートします。これにより、暗号化されたデータ上であらゆる種類の計算を行うことができます。

厳密には、全同態暗号は同態暗号の特別なケースです。同態暗号は、暗号文に対する加算や乗算の操作が平文に対する同じ操作と等しいことを意味します。すなわち：

𝐸(𝑎+𝑏)=𝐸(𝑎)+𝐸(𝑏)

𝐸(𝑎×𝑏)=𝐸(𝑎)×𝐸(𝑏)

この文脈では、aとE(a)、bとE(b)は等価と見なすことができます。しかし、2つの重要な課題に注意が必要です：

• 平文と暗号文の間の等価性は、操作を行う前に平文にノイズを追加して暗号文を得ることを含みます。ノイズが大きな偏差を引き起こすと、計算が失敗する可能性があります。したがって、さまざまなアルゴリズムにおいてノイズを制御することが重要です。

• 加算と乗算のオーバーヘッドは非常に大きいです。暗号文の計算は、平文の計算よりも10,000倍から1,000,000倍高価になる可能性があります。暗号文上で無限回の加算と乗算が行える場合にのみ、全同態暗号が実現されます。

さまざまなタイプの同態暗号は、それぞれの分野で独自の価値を持ち、実現の程度に応じて以下のように分類されます：

• 同態暗号のタイプ部分同態暗号（PHE）：1つの操作（加算または乗算）を無限回サポートします。例えば、RSAは乗算において部分同態です。

• ある種の同態暗号（SHE）：加算と乗算をサポートしますが、回数は有限です。これは、少数の操作が必要な特定のアプリケーションに役立ちます。

• 全同態暗号（FHE）：無限回の加算と乗算をサポートし、暗号化データ上で任意の計算を行うことを可能にします。これにより、FHEは非常に強力ですが、計算集約的でもあります。

FHEの主な利点FHEの主な利点は、暗号化データ上であらゆる種類の計算を行うことができ、計算プロセス全体でプライバシーと安全性を確保できることです。 >

FHEのブロックチェーンにおける応用

Vitalikは、FHEがブロックチェーンのスケーラビリティとプライバシー保護の重要な技術になる可能性があると指摘しました。現在のブロックチェーンは透明性がデフォルトであり、すべての取引とスマートコントラクトの変数は公開されています。FHEは、完全に透明なブロックチェーンを部分的に暗号化された形式に変えることができ、なおかつスマートコントラクトの制御下にあります。

例えば、ZamaはFHE仮想マシンを開発しており、プログラマーがFHE原語を操作するSolidityコードを書くことを可能にします。このアプローチは、今日のブロックチェーンにおけるプライバシーの問題を解決し、暗号化された支払い、スロットマシン、カジノなどのユースケースを可能にし、Tornado Cashなどのソリューションに比べて規制に優しい取引グラフを保持します。

FHEのもう一つの重要な応用は、プライバシー関連プロジェクトの可用性を改善することです。Zcash、Aztec、Tornado Cashのようなプロジェクトは、残高情報の長い取得時間や同期遅延などの重大な可用性の問題を抱えています。FHEは、プライバシーメッセージ検索（OMR）を通じて解決策を提供し、ウォレットクライアントがアクセス内容を公開せずに同期できるようにします。

しかし、FHEはRollup技術のようなブロックチェーンのスケーラビリティの問題を直接解決するものではありません。FHEとゼロ知識証明（ZKP）を組み合わせることで、いくつかのスケーラビリティの課題を解決できる可能性があります。検証可能なFHEは、計算が正しく実行されることを保証し、ZK Rollupsのようにブロックチェーン環境に信頼できる計算メカニズムを提供します。 >

FHEとゼロ知識証明（ZKP）の関係

FHEとZKPは相補的な技術ですが、異なる目的にサービスを提供します。ZKPは、検証可能な計算とゼロ知識属性を許可し、プライベートな状態にプライバシーを提供します。しかし、ZKPはUniswapのような許可のないスマートコントラクトプラットフォームにとって重要な共有状態のプライバシーを提供しません。この場合、FHEとマルチパーティ計算（MPC）が機能し、データ自体を公開することなく暗号化データに対して計算を行うことを可能にします。

ZKPとFHEを組み合わせると、計算の複雑さが大幅に増加し、特定のユースケースが必要でない限り、実用的ではありません。

>

FHEの現在の段階と将来の展望

FHEは開発においてZKPより約3〜4年遅れていますが、急速に追いついています。第一世代のFHEプロジェクトがテストネットを立ち上げており、メインネットは今年後半にリリースされる予定です。FHEは依然としてZKPよりも計算コストが高いですが、大規模な採用の可能性が迫っています。FHEが生産に入り、スケールアップすると、ZK Rollupsのように急速に成長することが期待されます。

課題とボトルネック

FHEの採用は、計算効率とキー管理を含むいくつかの課題に直面しています。FHEにおけるブートストラップ操作は計算集約的ですが、アルゴリズムの進歩とエンジニアリングの最適化により改善が進んでいます。機械学習（ML）のような特定のユースケースに対しては、ブートストラップ操作を使用しない代替案がより効率的である可能性があります。

キー管理も課題をもたらします。ZamaのfhEVM、Inco、Phoenixなどのプロジェクトは、復号化能力を持つ検証者のグループを含む閾値キー管理を必要とします。この方法は、単一障害点の問題を克服するためにさらなる発展が必要です。

ユースケース:

>

FHE市場の現状

1kxのような暗号リスク投資会社は、FHE分野への投資を積極的に行い、その潜在能力を認識しています。1kxは、Zamaを基にしたIncoプロジェクトへの投資を主導し、fhEVMのユースケースに焦点を当てています。Incoは、パートナーと共にスロットマシン、カジノ、商業支払い、ゲームなどのアプリケーションを開発しています。

閾値FHE（TFHE）は、FHEをMPCとブロックチェーンと組み合わせ、新しいユースケースを開く非常に有望な技術です。FHEの開発者フレンドリーな性質により、Solidityを使用してプログラミングできるため、アプリケーション開発において実用的で実行可能です。 >

競争環境

Arcium（旧Elusiv）

Arciumは、並行機密計算のためのSolana上のDePINネットワークです。Yannik Schrade、Julian Deschler、Nicolas Schapeler、Lukas Steinerによって設立され、2024年5月8日にzkに基づくコンプライアンスプライバシープロトコルElusivからArciumに改名されました。

Arciumは、DeFi、DePIN、AIなどの開発者とアプリケーションをサポートし、基盤となるブロックチェーンのDA層とコンセンサス層を呼び出して、柔軟な無信任、検証可能、高性能の機密計算能力を提供します。これはブロックチェーンではありませんが、開発者が異なるブロックチェーン上に機密スマートコントラクトを展開できるようにし、非ブロックチェーンユーザーにもオンデマンドでブロックチェーン層の信頼モデルを構成する能力を提供します。

2024年5月、Arciumは550万ドルの戦略的資金調達を完了し、Greenfield Capitalが主導し、Coinbase Ventures、Heartcore Capital、Longhash VC、L2 Iterative Ventures、Stake Facilities、Smape Capital、Everstake、Solana共同創設者Anatoly Yakovenko、Monad共同創設者Keone Hanが参加しました。

Cysic

Cysicは、リアルタイムでゼロ知識（ZK）証明を生成および検証することに特化したハードウェア加速会社です。彼らは、専用ASIC、FPGA、GPUチップに基づくZK計算サービス（ZK-CaaS）を提供しています。CysicはFPGAハードウェアを開発しており、ZK AirおよびZK Proと呼ばれるZK DePINチップ/デバイスを発売する予定です。これにより、DePINのProver Networkが形成されます。

2023年2月、CysicはPolychain Capitalが主導する600万ドルのシード資金調達を完了し、HashKey、SNZ Holding、ABCDE、A&T Capital、Web3.com Foundationが参加しました。

Zama

Zamaは、ブロックチェーンとAI用のFHEソリューションを開発するオープンソースの暗号学会社です。Hindiと著名な暗号学者、FHEの発明者の一人であるPascal Paillierによって2020年初頭に共同設立され、ZamaはTFHE-reライブラリ、TFHEコンパイラConcrete、プライバシー保護機械学習Concrete ML、機密スマートコントラクトfhEVMなど、Web3プロジェクト向けのFHEソリューションを提供しています。

ZamaはTFHE（閾値全同態暗号）に焦点を当てており、TFHE-reは純Rustで実装され、ブールおよび整数計算の暗号化を行い、開発者や研究者がTFHEを細かく制御して高度な機能を実現できるようにします。fhEVMはTFHE-reをEVMに統合し、同態操作をプレコンパイルされたコントラクトとして、コンパイラツールを変更することなく実行します。

2024年3月7日、ZamaはMulticoin CapitalとProtocol Labsが主導する7300万ドルのAラウンド資金調達を完了し、Metaplanet、Blockchange Ventures、Vsquared Ventures、Stake Capital、Filecoin創設者Juan Benet、Solana共同創設者Anatoly Yakovenko、Ethereum共同創設者Gavin Woodが参加しました。資金は、彼らのFHEツールの研究と開発を続けるために使用されます。

Sunscreen

Sunscreenは、エンジニアがFHEなどの暗号技術を使用してプライベートアプリケーションを構築および展開するのを支援するプライバシースタートアップです。彼らはFHEコンパイラをオープンソース化しており、これはWeb3ネイティブコンパイラで、標準Rust関数を等価なプライベートFHE関数に変換し、ハードウェア加速なしで最適な性能の算術演算を提供します。コンパイラはBFV FHEスキームもサポートしており、FHEと組み合わせた際の計算の完全性を確保するためにZKPに対応したコンパイラを開発中です。

2022年7月、SunscreenはPolychain Capitalが主導する465万ドルのシード資金調達を完了し、Northzone、Coinbase Ventures、dao5、Naval Ravikan、Tux Pacificなどの個人が参加しました。

Octra

Octraは、隔離実行環境をサポートするFHEブロックチェーンネットワークで、HFHE（同態全同態暗号）と呼ばれる新しいタイプのFHEを提案しています。これは超グラフ上で動作します。公式文書によれば、HFHEは任意のプロジェクトと互換性があり、独立して動作します。Octraの大部分のコードベースは、OCaml、AST、ReasonML（スマートコントラクトおよびOctraとのインタラクション用アプリケーション）およびC++で開発されています。このアプローチは比較的新しく、学術的な議論は限られています。ソリューションの安全性はまだ検証されておらず、さらなる検証が必要です。

Fhenix

Fhenixは、FHE RollupsとFHE CoprocessorsによってサポートされるEthereum Layer 2（L2）で、EVMおよびSolidityと完全に互換性があり、FHEを使用してオンチェーン機密スマートコントラクトを実現します。FhenixはzkFHEを使用せず、Optimistic RollupとZamaのFHEを採用し、fhEVMを通じてオンチェーンの機密性を実現し、TFHE（閾値FHE）に焦点を当てています。

2023年9月、FhenixはSora Ventures、Multicoin Capital、Collider Venturesが主導する700万ドルのシード資金調達を完了し、Node Capital、Bankless、HackVC、TaneLabs、Metaplanetが参加しました。公共テストネットは2024年初頭にリリースされ、エコシステムアプリケーションの開発をサポートします。

Mind Network

Mind Networkは、DePINおよびAIのためのFHE再担保層で、Zamaがサポートしており、「HTTPZ」（エンドツーエンド暗号化インターネット）を実現することを目指しています。製品には、FHE再担保スキームMindLayer、FHE認可の隠しアドレスプロトコルMindSAP、MindLayerのFHE検証ネットワークを通じて構築されたFHE DataLake MindLakeが含まれます。ユーザーはBTCおよびETH LSTトークンをMind Networkに再担保し、FHE強化された検証者を導入して、AIおよびDePINネットワークの検証と計算プロセスにおけるエンドツーエンド暗号化を確保します。AI機械学習タスクに使用されるスマートPoI（Proof of Intelligence）コンセンサスメカニズムは、FHE検証者間の公平で安全な分配を保証します。FHE計算はハードウェア加速が可能です。MindLakeは、オンチェーン暗号データ計算のためのデータストレージRollupです。

2023年6月、Mind Networkは250万ドルのシード資金調達を完了し、Binance Labs、Comma3 Ventures、SevenX Ventures、HashKey Capital、Big Brain Holdings、Arweave SCP Ventures、Mandala Capitalが参加しました。

Inco

Inco Networkは、モジュール式機密計算Layer 1ブロックチェーンおよびWeb3汎用プライバシーレイヤーで、オンチェーンアプリケーションにプライバシー保護を提供します。これはEthereum EVMとFHEを組み合わせ、EigenLayerによって保護され、プログラムが復号化せずに暗号化データに対して操作および計算を行うことを可能にし、オンチェーンのローカルランダム性を使用します。IncoはGentryテストネットを立ち上げ、Web3プライバシー保護の課題を解決し、ゲーム、DeFi（ブラックプール、プライベート貸付、ブラインドオークションを含む）、企業ソリューション（機密安定コイン、プライベートRWA、プライベート投票など）などのアプリケーションをサポートします。

2024年2月、Inco Networkは1kxが主導する450万ドルのシード資金調達を完了し、Circle Ventures、Robot Ventures、Portal VC、Alliance DAO、Big Brain Holdings、Symbolic、GSR、Polygon Ventures、Daedalus、Matter Labs、Fenbushiが参加しました。 >

規制環境プライバシー技術としてのFHEの規制環境

地域によって異なります。データプライバシーは広く支持されていますが、金融プライバシーは依然としてグレーゾーンです。FHEはデータプライバシーを強化する可能性があり、ユーザーがデータの所有権を保持し、社会的利益（ターゲット広告など）を維持しながら、そこから利益を得ることを可能にします。

将来を見据えると、理論、ソフトウェア、ハードウェア、アルゴリズムの段階的な改善がFHEをますます実用的にすることが期待されます。FHEの開発は現在、理論研究から実際のアプリケーションへの移行を進めており、今後3〜5年内に顕著な進展が見込まれています。 >

結論

全同態暗号（FHE）は、暗号分野の革命的変革の最前線にあり、先進的なプライバシーと安全性のソリューションを提供しています。継続的な進歩とリスク資本の高まる関心に伴い、FHEは大規模な採用を実現し、ブロックチェーンのスケーラビリティとプライバシー保護の重要な問題を解決することが期待されています。技術が成熟するにつれて、新たな可能性を解き放ち、暗号エコシステムにおけるさまざまなアプリケーションの革新を促進することが期待されています。