1kx 研究合夥人:FHE 已“非常接近”大規模應用,密切關注領域發展
訪談及撰文:Wendy,Foresight News
受訪者:Wei Dai,1kx 研究合夥人
「很長時間以來,全同態加密(Fully Homomorphic Encryption, FHE)一直被視作是密碼學的皇冠之一」,在 2020 年 7 月 20 日發表的一篇博文的開頭 Vitalik 這樣寫到。今年 5 月 5 日,Vitalik 再次在 X(推特)上轉發了這篇名為《探索全同態加密》的文章,並表示有「很多人對全同態加密感興趣」。
這種「興趣」在加密創投界已經得到體現。今年 3 月份,全同態加密公司 Zama 官宣獲得由 Multicoin 和 Protocol Labs 領投的 7300 萬美元 A 輪融資,引發市場關注。
Foresight News 近日梳理發現,加密領域內的 FHE 生態已然生成。一些嗅覺敏銳的加密基金也早已開始佈局 FHE,這其中也包括 1kx。今年早些時間,1kx 領投了一個基於 Zama 的全同態加密項目 Inco。該基金研究合夥人 Wei Dai 向 Foresight News 透露,他們正在密切關注這一領域的發展,因為全同態加密技術已經「非常接近」被大規模採用。
Wei Dai 持有美國加州大學聖地亞哥分校密碼學博士學位。在他看來,雖然全同態加密的整體發展還落後於零知識證明約三到四年的時間,但其潛力巨大,尤其是在解決區塊鏈上的隱私問題方面。一旦這項技術與多方計算(MPC)和零知識證明(ZKP)等關聯技術結合,則將有望解鎖更大的想像空間。
Foresight News:與半同態加密等傳統加密技術相比,全同態加密的主要優勢和創新點體現在那些方面?
Wei Dai:全同態加密(FHE)最早在 1970 年代就被討論,到現在已經有三四十年了,但它很難實現。
這個想法的(起源)很簡單,就是對數據進行加密,然後再解密,這就是標準加密。很快,人們意識到實際上可以對它們(這些加密的數據)進行簡單的操作,比如加法(注:也可以是乘法,但不是同時有),這就是所謂的部分同態加密。然後人們開始設想,是否可以對它進行任意形式的計算呢?如果可以進行加法和乘法,基本上就得到了完整的通用計算類型。這一設想在 2009 年通過 Craig Gentry 的論文實現了。從那時起,基於 Craig Gentry 的全同態加密方案這一全新領域就被廣泛研究。到現在,我們已經看到了很多進展。
所以,全同態加密的主要的優勢在於你能夠(在加密狀態下)進行任何類型的計算。
Foresight News:Vitalik 在幾年前的一篇文章中提到,全同態加密有望成為區塊鏈擴容和隱私保護的關鍵技術。您認為全同態加密在這兩個領域的應用前景如何?具體會帶來哪些改進?
Wei Dai:當前的區塊鏈在默認情況下都是透明的,每一筆交易、智能合約中的每一個變量都是公開的,任何人都可以去查看它們------這需要改變。
所以,我們看到很多項目基本上都是在將一個完全透明的區塊鏈轉變為部分加密的形式,但仍然可以由智能合約控制。比如,由 Zama 構建的 FHE 虛擬機。Zama 是一家擁有 40 名博士的公司,它正在構建深度技術 FHE 原語以及以此為基礎的產品。基本上,程序員簡單地編寫 Solidity 代碼就可以操縱 FHE 原語。這非常強大。我認為這將有助於解決當今區塊鏈上存在的隱私問題。例如,你可以做老虎機,可以開設賭場,可以進行加密支付。它不完全像 Tornado Cash。Tornado Cash 模糊了整個交易圖,但使用 FHE 和加密支付的話,實際上會保留交易圖,只是金額隱藏。因此在某種意義上它稍微更容易追蹤,可能對監管更友好。
Vitalik 提到的關於隱私的另一點是,像 Zcash、Aztec、Tornado Cash 這樣的隱私項目在使用起來具有一個巨大的問題,就是如果你在手機或瀏覽器上使用它們,要花很長時間才能獲取你的餘額信息。如果有人付款給你,也需要很長時間才能跟鏈上狀態同步。事實證明,FHE 解決了這個問題。這是 Aztec 正在研究的東西。這被稱為不經意消息檢索 (oblivious message retrieval,OMR)。如果你想在不洩露自己正在訪問的東西的前提下同步你的錢包客戶端的狀態,那麼 FHE 可以為你提供某種形式的解決方案。
在擴容方面,我實際上並不認為 FHE 真正解決了這方面的問題。我不認為 Vitalik 在他的文章中也明確提到了這一點,對於目前使用 ZK 的隱私幣來說,客戶端存在擴展性問題,客戶端需要和鏈上狀態同步。FHE 解決了這些隱私幣在客戶端的擴展性問題。
但就解決擴容問題而言,與 Rollup 類型的擴容相比,FHE 並沒有真正解決這個問題。實際上,或者可能就像他提到的,當 FHE 與 ZK 互補時,也許可以幫助解決這些問題。有一種叫做可驗證 FHE 的東西,事實證明,如果你想做與鏈相連的 FHE,在 Rollup 設置中,你實際上必須使 FHE 計算值可驗證。類似於 ZK Rollup,你可以保證這裡有一個在某些輸入上運行的計算,它給你一些輸出。FHE 默認不提供這個。它仍然是可信計算,但你能夠做一些專門的、經過驗證的 FHE 方案來保證計算是正確完成的。例如,RISC Zero 和其他 ZK 項目試圖以一種通用形式來做這件事,他們採用 ZKVM,插入 Zama 的代碼,試圖通用地做這件事。但實際上你可以做一些更聰明、更高效的事情,通過從數學上研究 FHE 操作,以一種更加定制的方式直接進行可驗證計算。
Foresight News:你提到的零知識證明(ZKP)也是密碼學領域一個比較被看好的技術,那麼,全同態加密(FHE)與零知識證明(ZKP)技術之間有何關聯與區別?二者是否可以互補?在隱私保護領域,如何權衡和選擇這兩種技術?
Wei Dai:這是一個非常複雜的話題,我嘗試簡明扼要地做一個解釋。
零知識證明主要允許你做兩件事,一是可驗證計算,二是「零知識」,也就是 ZK(Zero Knowledge)的屬性。目前,所有 ZK L2 做的基本都是可驗證計算------你可以做一段計算並驗證它,無需重做計算。而 ZKP 中的零知識屬性則允許你在不實際構建數據本身的情況下證明有關數據的事情,這可以讓你獲得某種形式的隱私。這已經被用於像混合網絡(mixnets)、隱私報告 (如 Zcash)、Tornado Cash 這樣的事物中。你也可以將它們擴展到更遠的計算,比如像是 Aleo 和 Mina,它們使用 ZK 來隱藏數據。可以在鏈下做,而不是在鏈上做。
然而,就隱私而言,ZK 不允許你在共享狀態上擁有隱私,它只允許你對私有狀態進行隱私保護,也就是說,如果信息對一方或多方來說是私有的,那就沒問題。
但這並不適用於智能合約。比如 Uniswap 上面的流動性可以與任何人進行無需許可的交互,這種類型的隱私就是我所說的共享狀態上的隱私或機密性。這對 ZK 來說是不可行的,這就是你需要 MPC(多方計算) 和 FHE 的地方。
FHE 真正允許你做的是將計算和數據分離,你可以加密數據,對其進行計算,計算過程中你是看不到數據的。而進行加密的地方,不必知道在其上運行什麼計算,所以在區塊鏈環境中這真的很好,因為你可以有加密的智能合約或持有加密值的智能合約,並且仍然可以對它們進行計算。就像你給 Uniswap 加一層 FHE,以獲得某種加密的計算跡數(trace,也稱作跡)。
所以,FHE 和 ZK 的區別非常微妙,但總的來說如果你想讓智能合約變得私密,那麼你需要 MPC 或 FHE。但對於像支付這樣簡單的事情,你可以使用 ZK。
Foresight News:最近也有一些項目方在講 ZK+FHE 的故事,對此,你怎麼看?
Wei Dai:關於 ZK+FHE 的想法,我確實認為這二者是互補的技術,但目前階段,如果真的將它們疊加在一起,計算量就會倍數增長,因為他們之間的計算量是乘法關係。比如,如果使用 ZK 計算量要增加千倍,使用 FHE 計算量也增加千倍的話,那麼兩者疊加就是百萬倍。而實際上,真實的計算量的增加可能是一百萬乘以一百萬,也就是 1 萬億。
所以我認為現在這幾乎是不可行的,除非真的有一些用例需要它。
Foresight News:在您看來,全同態加密技術目前的發展在什麼階段?距離大規模應用還有多遠?
Wei Dai:如果要從絕對的角度來看這項技術的發展目前處在什麼階段,這很難說,我想這個問題或許可以用 FHE 與其它技術的相對定位來進行解釋。
如果你與在 Zama 或 Duality 這些 FHE 公司工作的人交談,他們會說,FHE 的發展整體要落後於 ZK 幾年。具體落後幾年呢?有些人會說是兩三年,有人會說是五六年,甚至還有人認為是長達十年。之所以會有不同的說法是因為大家看的指標不同,比如,開發人員的數量、技術論文的數量、或者是在此基礎上的新應用的數量等。
我並沒有就此做非常全面的梳理,但根據我個人與這些社區互動的經驗,我認為如果把這些指標做一個平均的話,那麼 FHE 的發展大致落後於 ZK 三四年的時間。
ZK 一直在變得更快,FHE 也是如此。那麼,我們離 FHE 的大規模應用還有多遠?我認為實際上已經非常接近了。(在 FHE 方面)第一代項目現在剛剛上線測試網,今年晚些時候會上線主網,所以我想,我們即將看到這一點(指 FHE 的大規模應用)。如果現在去測量這些真實系統中的計算開銷,FHE 仍然比 ZKP 要多一些。不過,一旦某樣東西投入生產,如果它看到了主動適應,如果它可以擴展,它就可以相對快速地開始增長,通常會出現指數級的增長。這方面可以看看 ZK rollup,在相當短的時間內從一個理論概念到實際被使用,並已經保障了數十億美元的價值。
Foresight News:在落地方面,當前全同態加密技術(FHE)還面臨哪些瓶頸?比如,計算效率、密鑰管理等。您認為在算法優化、硬件加速等層面,還有哪些問題需要攻克?
Wei Dai:首先,肯定有很多難題需要解決。對於 FHE 來說,問題通常在於自舉(bootstrapping)。自舉實際上是一件瘋狂的事情,在這方面計算量很大,但隨著算法改進和一般的工程優化,它正在不斷減少。
事實證明,還有其他類型的方案,可以不做 bootstrapping,這種方案對於 ML(機器學習)可能更有效率。如果採用特殊的經典計算,實際上能夠針對它進行優化。特別是對於不長時間運行的、更像一次性的計算,例如 AI 推理。在關注特定的經典計算並優化它,然後真正在一個特定方向上投入大量精力方面還沒有太多商業化的努力。像 Zama 目前為鏈上計算所做的事情是非常通用的,這意味著它沒有那麼高效,因為每一步都要進行 bootstrapping。
在密鑰管理這方面也有一些挑戰。Zama 的 fhEVM、Inco 或 Phoenix 都需要門限密鑰管理,你會有一組驗證者,他們一起有能力進行解密。我認為這在路線圖上,但 Zama 實際上還沒有完全實現這一點。這是一個需要克服的障礙,否則,單個驗證者仍然有能夠解密的單點故障。
Foresight News:作為 1kx 的研究合夥人,從投資的角度來看,你認為全同態加密領域有哪些值得關注的技術方向和應用場景?市場前景如何?主要的機會和挑戰有哪些?
Wei Dai:我認為特別值得關注的不僅僅是全同態加密,而是閾值同態加密(threshold FHE 或 TFHE),也就是 FHE(全同態加密)加上 MPC(多方計算)再加上區塊鏈這三者的結合。這種特殊的組合將開啟一系列全新的用例。對此,我感到非常興奮。
事實上,在 Zama 還沒有做 fhEVM 之前,我就一直在討論 TFHE 在區塊鏈上的應用。我們最近領投了 Inco,這一項目是在 Zama 之上構建的,旨在推出 fhEVM 用例。他們正在與一些合作夥伴合作開發小型用例,比如老虎機、賭場、商業支付、遊戲。我很興奮看到第一批應用程序進入市場。
此外,它對開發者來說也很友好,因為很容易編程,只需要操作 Solidity。而你知道,如果需要讓開發者用一種定制的編程語言編程,要看到應用就難多了,這方面看看 ZK 就知道了。但事實證明,在這種很好的形式下,FHE 與鏈相連,開發者根本不需要考慮 FHE,這是非常簡單的加密數據類型,對它們進行非常簡單的操作,你可以在 Solidity 中以編程方式解密所有內容。所以我認為這是我在未來一兩年內最興奮的主要領域。
此外,還有其他更多新興的領域。關於這種鏈上 FHE 的另一點是,通常在智能合約中進行的計算真的很短而且很簡潔。因為智能合約應用程序是圍繞像以太坊這樣的有限計算環境設計的,像 Uniswap 實際上是非常輕量級的。所以它真的很適合 FHE,因為 FHE 現在效率很低。
除此之外,我認為 FHE 的其他形式可能會看到更多的應用。當 FHE 最初被討論時,讓密碼學界真正感到興奮的是計算的外包。如果有數據------不論是由用戶擁有還是由組織擁有------就將這些數據外包給其他人進行計算。也許你會有一個 ML 用例,每個人的數據實際上都是加密的,但你仍然可以將其用作訓練數據。
雖然這些都更加遙遠,但我認為已經有很棒的團隊在研究這些方向。也許在未來我們可以看到機器學習推理、機器學習,甚至是機器學習訓練在 FHE 內部完成。
Foresight News:在監管方面,不同國家和地區對加密技術的態度存在分歧。尤其是隨著 AI 的發展,數據隱私變得越來越重要。您認為未來監管環境可能如何演變?這會對全同態加密技術的研發和應用帶來哪些影響?
Wei Dai:我對隱私的監管方面了解不多。但我知道隱私有兩種主要類型,一種是數據隱私,一種是金融資產隱私。這兩者差異極大,但有時人們在提到隱私時會把他們混為一談。在現實中,這兩種不同的隱私也需要被區分對待,在這方面需要更多的社會共識。
現在,人們談到監管時都認為我們應該有很多數據隱私,但金融隱私是一個灰色地帶。我認為 FHE 在這兩個方面都可以發揮作用,但它肯定更直接適用於數據隱私部分。現在大型科技公司們從用戶數據中獲利,而通過 FHE,用戶實際上可以潛在地保留數據所有權,以某種方式將數據出售給大型科技公司。這樣一來,依然保留了某種社會積極效益,就是在這些數據基礎上訓練模型,廣告商以可控的方式訪問用戶數據,而用戶則可以擁有數據自主權。
Foresight News:展望未來三到五年,您對全同態加密技術的發展有何預期?哪些潛在的技術突破可能會改變格局?
Wei Dai:我並不會期望看到有任何突破性的變化,而是漸進式地改進。理論、軟件、硬件、算法等所有這些相關因素都是互相疊加的,每一個層面都會有所改進。隨著時間的推移,你會看到計算量和開發者體驗的穩步改善,這樣一來這項技術就會變得越來越可用。
FHE 目前是處在從零到一的階段,但與此同時,也處在從一到十的軌道上。我想要再次重申的是,FHE 的發展需要硬件、軟件、理論和開發體驗各個方面都取得進步,而我認為在這些方面都有一些有意思公司正在開展工作。
Foresight News:1kx 在 ZK 方面已經做了很多佈局,那麼在 FHE 方面呢?除了你剛才提到的 Inco,你們是否還在看一些其它項目,未來是否有可能進一步押注 FHE 這個賽道?
Wei Dai:是的,我們已經投資了一家網絡公司 Inco,但我們也在硬件方面進行了投資。目前不能透露太多細節,但我們正在關注整個技術棧。我認為這是一個非常令人興奮的時刻,再過三到五年的時間,我們將看到這個領域能達到什麼程度。