Криптографія каже, що FHE - це наступний крок для ZK

Шлях розвитку криптовалют зрозумілий: Біткойн представили криптовалюту, Ethereum представили публічні ланцюжки, Tether створив стейблкоїни, а BitMEX представив безстрокові контракти, разом побудувавши ринок на трильйон доларів з незліченними історіями багатства та мріями про децентралізацію.

Траєкторія розвитку криптографічної технології менш зрозуміла. Різноманітні алгоритми консенсусу та складні конструкції затьмарюються системами стейкінгу та мультипідпису, справжніми стовпами криптосистем. Наприклад, без децентралізованого стейкінгу більшість рішень BTC L2 не існували б. Дослідження Вавилоном місцевого стейкінгу вартістю 70 мільйонів доларів ілюструє цей напрямок.

У цій статті зроблена спроба окреслити історію розвитку криптографічних технологій, відмінну від різних технологічних змін у криптоіндустрії, таких як взаємозв'язок між FHE, ZK та MPC. З точки зору грубого застосування, MPC використовується спочатку, FHE для проміжних обчислень, а ZK для остаточного доведення. Хронологічно першим був ZK, потім зростання гаманців AA, потім MPC привернув увагу та прискорив розвиток, тоді як FHE, який, за прогнозами, зростання з'явиться у 2020 році, почав набирати обертів лише у 2024 році.

MPC/FHE/ZKP

FHE відрізняється від ZK, MPC і всіх сучасних алгоритмів шифрування. На відміну від симетричних або асиметричних шифрування технологій, які спрямовані на створення «незламних» систем для абсолютної безпеки, FHE прагне зробити зашифровані дані функціональними. Шифрування та дешифрування важливі, але дані між шифрування та дешифруванням також мають бути корисними.

Теоретична основа та впровадження Web2 до Web3

FHE є фундаментальною технологією з завершеним теоретичним дослідженням завдяки значному внеску гігантів Web2, таких як Microsoft, Intel, IBM та Duality, що підтримується DARPA, які підготували програмну та апаратну адаптацію та інструменти розробки.

Хороша новина полягає в тому, що гіганти Web2 також не знають точно, що робити з FHE. Відтепер Web3 не запізнюється. Погана новина полягає в тому, що адаптація Web3 майже нульова. Мейнстрімні Біткойн та Ethereum не можуть нативно підтримка алгоритми PHE. Незважаючи на те, що Ethereum називають світовим комп'ютером, обчислення FHE може зайняти вічність.

Ми зосереджуємося на дослідженні Web3, зазначаючи, що гіганти Web2 зацікавлені в FHE і провели велику підготовчу роботу.

Це пов'язано з тим, що з 2020 по 2024 рік увага Віталіка була зосереджена на ЗК.

Тут я коротко пояснюю свою атрибуцію зростання ZK. Після того, як Ethereum встановили шлях масштабування зведення, функція стиснення станів ZK значно зменшила розмір даних з L2 до L1, пропонуючи величезну економічну цінність. Це теоретично; Фрагментація L2, проблеми з секвенсором та платою за користування – це нові виклики, які вирішить розробка.

Таким чином, Ethereum потрібно масштабувати, встановлюючи Рівень 2 шлях розвитку. ZK/OP роллапи конкурують, формуючи шорт-терміновий OP і лонг-терміновий консенсус ZK, причому ARB, OP, zkSync і StarkNet стають основними гравцями.

Економічна цінність має вирішальне значення для прийняття ЗК в криптосвіт, особливо Ethereum. Тому технічні характеристики FHE тут деталізуватися не будуть. Основна увага приділяється вивченню того, де FHE може підвищити ефективність Web3 або зменшити операційні витрати, знизивши витрати або підвищивши ефективність.

Історія розвитку та досягнення FHE

По-перше, розрізняють гомоморфні шифрування і повністю гомоморфне шифрування. Строго кажучи, повністю гомоморфне шифрування є особливим випадком. Гомоморфний шифрування означає «додавання або множення шифротекстів еквівалентно додаванню або множенню відкритих текстів». Ця еквівалентність стикається з двома проблемами:

1. Контроль шуму: рівність Відкритий текст до зашифрованого тексту передбачає додавання шуму, а надмірне відхилення шуму може спричинити помилку обчислень. Управління шумовими алгоритмами є ключовим.
2. Обчислювальні витрати: Додавання та множення є дорогими, а обчислення шифротексту потенційно можуть бути в 10 000-1 000 000 разів дорожчими, ніж звичайний текст. Досягнення необмеженої кількості додавань і множень є відмінною рисою повністю гомоморфне шифрування. Різні гомоморфні методи шифрування мають унікальні значення, класифіковані наступним чином:

• Частково гомоморфний шифрування: дозволяє обмежені операції із зашифрованими даними, як-от додавання або множення. Дещо гомоморфний шифрування: дозволяє обмежену кількість додавань і множень.
• Повністю гомоморфний шифрування: дозволяє необмежену кількість додавань і множень для будь-яких зашифрованих обчислень даних.

Розробка повністю гомоморфне шифрування (FHE) датується 2009 роком, коли Крейг Джентрі запропонував повністю гомоморфний алгоритм, заснований на ідеальних ґратках, математичну структуру, що дозволяє користувачам визначати множину точок у багатовимірному просторі, що задовольняє конкретним лінійним співвідношенням.

Схема Джентрі використовує ідеальні решітки для представлення ключів і зашифрованих даних, що дозволяє зашифрованим даним функціонувати, зберігаючи конфіденційність. Бутстреппінг зменшує шум, що розуміється як «підтягування себе за ремені». На практиці це означає повторне шифрування шифротексту FHE для зменшення шуму, зберігаючи конфіденційність і підтримуючи складні операції. (Початкове завантаження має вирішальне значення для практичного використання FHE, але не буде детально описано.)

Цей алгоритм є важливою віхою, яка доводить доцільність FHE в інженерії, але з величезними витратами, вимагаючи тридцяти хвилин на один крок обчислень, що робить його непрактичним.

Після розв'язання задачі від 0 до 1 наступним кроком є масштабна практичність, що передбачає розробку алгоритмів на основі різних математичних припущень. Крім ідеальних ґраток, поширеними схемами є LWE (Learning with Errors) та його варіанти.

У 2012 році Цвіка Бракерскі, Крейг Джентрі та Вінод Вайкунтанатан запропонували схему BGV, схему FHE другого покоління. Його ключовим внеском є технологія модульної комутації, ефективна керованість збільшенням шуму від гомоморфних операцій і побудова вирівняного FHE для заданих обчислювальних глибин.

Подібні схеми включають BFV і CKKS, особливо CKKS, який підтримує операції з плаваючою комою, але збільшує споживання обчислювальних ресурсів, що вимагає кращих рішень.

Нарешті, схеми TFHE і FHEW, особливо TFHE, є кращим алгоритмом Zama. Коротко кажучи, проблему з шумом FHE можна зменшити за допомогою початкового завантаження Gentry. TFHE досягає ефективного початкового завантаження з гарантією точності, добре підходить для інтеграції блокчейну.

Зупиняємося на впровадженні різних схем. Їхні відмінності полягають не в перевазі, а в різних сценаріях, які, як правило, вимагають надійного програмного та апаратного підтримка. Навіть схема TFHE потребує вирішення апаратних проблем для великомасштабних додатків. FHE повинна розробляти апаратне забезпечення синхронно з самого початку, принаймні в криптографії.

Web 2 OpenFHE проти Web3 Zama

Як уже згадувалося, гіганти Web2 досліджують і досягають практичних результатів, узагальнених тут за допомогою сценаріїв застосування Web3.

Спрощуючи ситуацію, IBM внесла свій вклад в бібліотеку Helib, в основному підтримуючи BGV і CKKS. Бібліотека SEAL від Microsoft підтримує CKKS і BFV. Примітно, що автор CKKS Сон Йонсу брав участь у проектуванні та розробці SEAL. OpenFHE є найбільш всеосяжною, розробленою за підтримки DARPA Duality, що підтримує BGV, BFV, CKKS, TFHE і FHEW, можливо, найповнішою бібліотекою FHE на ринку.

OpenFHE дослідила співпрацю з бібліотекою прискорення Intel CPU і використовувала інтерфейс CUDA від NVIDIA для прискорення графічного процесора. Однак останній підтримка CUDA для FHE припинився у 2018 році, і жодних оновлень не було знайдено. Виправлення вітаються, якщо вони помилкові.

OpenFHE підтримує мови C++ та Python, а Rust API розробляється, прагнучи забезпечити прості, всеосяжні модульні та кросплатформні можливості. Для Web2-розробників це найпростіше готове рішення.

Для Web3-розробників складність зростає. Обмежені слабкою обчислювальною потужністю, більшість публічних ланцюгів не можуть підтримка алгоритми PHE. Біткойн та Ethereum екосистеми наразі не мають «економічного попиту» на FHE. Попит на ефективну передачу даних L2—>L1 надихнув на створення алгоритму ZK. FHE заради FHE – це все одно, що бити молотком по цвяхах, форсувати сірник, збільшувати витрати.

Принцип роботи FHE+EVM

У наступних розділах будуть детально описані поточні труднощі та можливі сценарії лендінгу, головним чином надаючи розробникам Web3 впевненості. У 2024 році Zama отримала найбільший фінансування у криптографії, пов'язаний з FHE, на чолі з Multicoin, залучивши 73 мільйони доларів. Zama має бібліотеку алгоритмів TFHE і fhEVM, що підтримує розробку ланцюга, сумісного EVM з FHE.

Питання ефективності можуть бути вирішені тільки за допомогою програмно-апаратної співпраці. Одна з проблем полягає в тому, що EVM не можемо безпосередньо запускати контракти FHE, щоб не конфліктувати з рішенням FhEVM від Zama. Zama побудувала ланцюжок, що інтегрує функції PHE. Наприклад, Shiba Inu планує ланцюжок рівня 3 на основі рішення Zama. Створити новий ланцюжок, що підтримує FHE, не складно, але для того, щоб Ethereum EVM могли розгорнути контракти PHE, потрібна підтримка Opcode Ethereum. Хороша новина полягає в тому, що Fair Math і OpenFHE спільно провели конкурс FHERMA, заохочуючи розробників переписувати код операції EVM і вивчаючи можливості інтеграції.

Інше питання – апаратне прискорення. Високопродуктивні публічні ланцюжки, такі як Solana, що підтримують розгортання контрактів FHE, можуть перевантажити свої вузли. Нативне апаратне забезпечення FHE включає 3PU™ (Privacy Protection Processing Unit) від Chain Reaction, рішення ASIC. Zama та Inco вивчають можливості апаратного прискорення. Наприклад, поточний TPS Zama становить близько 5, Inco досягає 10 TPS, а Inco вважає, що FPGA апаратне прискорення може збільшити TPS до 100-1000.

Занепокоєння щодо швидкості не обов'язково має бути надмірним. Існуючі рішення ZK для апаратного прискорення можуть адаптуватися до рішень FHE. Таким чином, дискусії не будуть надмірно заглиблюватися в питання швидкості, а будуть зосереджені на пошуку сценаріїв і вирішенні EVM сумісності.

Темний пул Крах: FHE X Крипто майбутнє перспективне

Коли Multicoin очолив інвестиції в Zama, вони сміливо проголосили, що ZKP йде в минуле, а FHE - майбутнє. Чи справдиться це передбачення, ще невідомо, оскільки реальність часто є складною. Слідом за Zama, Inco Network і Fhenix сформували прихований альянс в екосистемі fhEVM, кожен з яких зосередився на різних аспектах, але в цілому працював над інтеграцією FHE з екосистемою EVM.

Час є ключовим, тому почнемо з дози реалізму.

2024 рік може стати великим роком для FHE, але Elusiv, який розпочав свою діяльність у 2022 році, вже припинив свою діяльність. Спочатку Elusiv був протокол «темного пулу» на Solana, але тепер його репозиторій коду та документація були видалені.

Зрештою, FHE, як частина технічної складової, все ще потрібно використовувати разом із такими технологіями, як MPC/ZKP. Нам потрібно вивчити, як FHE може змінити поточну парадигму блокчейну.

По-перше, важливо розуміти, що просто думати, що FHE покращить конфіденційність і, отже, матиме економічну цінність, невірно. З минулої практики, користувачі Web3 або у блокчейні не дуже дбають про конфіденційність, якщо вона не забезпечує економічну цінність. Наприклад, хакери використовують Tornado Cash для приховування вкрадених коштів, тоді як звичайні користувачі віддають перевагу Uniswap, оскільки використання Tornado Cash тягне за собою додаткові часові або економічні витрати.

Вартість шифрування ПТО ще більше обтяжує і без того слабку у блокчейні ефективність. Захист конфіденційності може бути пропагований у великих масштабах лише в тому випадку, якщо ці витрати приносять значну користь. Наприклад, випуск облігацій і торгівля в напрямку RWA. У червні 2023 року BOC International випустила «цифрові структуровані нотатки на блокчейні» через UBS у Гонконгу для клієнтів Азіатсько-Тихоокеанського регіону, стверджуючи, що використовує Ethereum, але адресу контракту та адресу розповсюдження не вдалося знайти. Якщо хтось може його знайти, будь ласка, надайте інформацію.

Цей приклад підкреслює важливість FHE. Інституційні клієнти повинні використовувати публічні блокчейни, але не хочуть розкривати всю інформацію. Тому функція FHE з відображення зашифрованого тексту, яким можна безпосередньо торгувати, більше підходить, ніж ZKP.

Для індивідуальних роздрібних інвесторів FHE все ще залишається відносно віддаленою базовою інфраструктурою. Потенційні варіанти використання включають захист від MEV, приватні транзакції, більш безпечні мережі та запобігання сторонньому шпигунству. Однак це не першочергові потреби, і використання FHE зараз дійсно уповільнює роботу мережі. Відверто кажучи, ключовий момент для FHE ще не настав.

Зрештою, конфіденційність не є сильною вимогою. Мало хто готовий платити премію за конфіденційність як публічну послугу. Нам потрібно знайти сценарії, за яких обчислювані функції зашифрованих даних FHE можуть заощадити витрати або підвищити ефективність транзакцій, створюючи ринковий імпульс. Наприклад, існує безліч анти MEV рішень, і централізовані вузли можуть вирішити проблему. FHE не звертається безпосередньо до больових точок.

Інше питання – обчислювальна ефективність. На перший погляд, це технічна проблема, яка вимагає апаратного прискорення або оптимізації алгоритмів, але, по суті, це відсутність ринкового попиту, відсутність стимулу для сторін проекту конкурувати. Ефективність обчислень є результатом конкуренції. Наприклад, в умовах бурхливого ринкового попиту конкурують маршрути SNARK і STARK, причому різні ZK Rollups жорстко конкурують від мов програмування до сумісності. Розвиток ZK відбувався швидкими темпами під впливом гарячих грошей.

Сценарії застосування та їх реалізація є проривними точками для того, щоб FHE стала блокчейн-інфраструктурою. Не зробивши цього кроку, FHE ніколи не набере обертів у криптоіндустрії, а великі проєкти можуть лише возитися у своїх невеликих доменах.

Виходячи з практики Zama та її партнерів, консенсус полягає у створенні нових ланцюгів за межами Ethereum та повторному використанні ERC-20 та інших технічних компонентів і стандартів для формування ланцюгів FHE L1/L2, пов'язаних із Ethereum. Такий підхід дозволяє проводити раннє тестування та створювати базові компоненти FHE. Недоліком є те, що якщо Ethereum не підтримка алгоритми PHE, рішення зовнішнього ланцюга завжди будуть незручними.

Зама також визнає цю проблему. Окрім вищезгаданих бібліотек, пов'язаних з FHE, вона ініціювала організацію FHE.org та спонсорувала пов'язані з нею конференції, щоб перевести більше академічних досягнень в інженерні програми.

Напрямком розвитку Inco Network є «універсальний обчислювальний рівень конфіденційності», по суті, модель постачальника обчислювальних послуг аутсорсингу. Вона побудувала мережу FHE EVM L1 на базі Zama. Цікавим дослідженням є співпраця з крос-ланцюг протокол обміну повідомленнями Hyperlane, яка може розгортати ігрові механізми з іншого EVM-сумісного ланцюга на Inco. Коли гра вимагає обчислень PHE, Hyperlane викликає обчислювальні потужності Inco, а потім повертає в початковий ланцюжок тільки результати.

Щоб реалізувати такі сценарії, передбачені Inco, EVM-сумісні ланцюги повинні довіряти довірі до Inco, а обчислювальна потужність Inco повинна бути достатньо потужною, щоб впоратися з високим паралелізмом і низьким затримка вимог блокчейн-ігор, що є дуже складним завданням.

Крім того, деякі zkVM також можуть виступати в якості постачальників обчислювального аутсорсингу FHE. Наприклад, RISC Zero має таку можливість. Наступний крок у зіткненні між продуктами ZK та FHE може викликати більше ідей.

Крім того, деякі проєкти мають на меті бути ближчими до Ethereum або стати її частиною. Inco може використовувати розчин Zama для L1, а Fhenix може використовувати розчин Zama для EVM L2. В даний час вони все ще розвиваються, з безліччю потенційних напрямків. Незрозуміло, на який продукт вони врешті-решт потраплять. Це може бути L2, орієнтований на можливості PHE.

Крім того, існує конкурс FHERMA, про який згадувалося раніше. Ethereum підковані розробники в аудиторії можуть спробувати, допомагаючи FHE приземлитися, заробляючи бонуси.

Є також інтригуючі проекти, такі як Sunscreen і Mind Network. Sunscreen, яким в основному керує Ravital, має на меті розробити відповідний компілятор FHE з використанням алгоритму BFV, але залишається на стадії тестування та експериментів, далеких від практичного застосування.

Нарешті, Mind Network зосереджується на поєднанні FHE з існуючими сценаріями, такими як рестейкінг, але як це буде досягнуто, ще належить з'ясувати.

Підсумовуючи, Elusiv тепер був перейменований на Arcium і отримав нові фінансування, перетворені на «паралельне рішення FHE» для підвищення ефективності виконання FHE.

Висновок

У цій статті, здається, обговорюється теорія та практика FHE, але основна тема полягає в тому, щоб прояснити історію розвитку криптографічних технологій. Це не зовсім те саме, що технологія, яка використовується в криптовалютах. ZKP і FHE мають багато спільного, одна з яких полягає в тому, що вони намагаються підтримувати прозорість блокчейну, зберігаючи при цьому конфіденційність. ZKP прагне знизити економічні витрати при взаємодії L2 <> L1, в той час як FHE все ще шукає найкращий сценарій застосування.

Класифікація рішень:

Шлях попереду лонг і складний. FHE продовжує свою розвідку. Виходячи з його спорідненості з Ethereum, його можна розділити на три види:

1. Тип 1: Незалежні королівства, що спілкуються з Ethereum. Представлені Zama/Fhenix/Inco Network, вони в основному надають компоненти розробки та заохочують створення FHE L1/L2 для конкретних галузей.
2. Тип 2: Плагіни, що інтегруються з Ethereum. Представлені Fair Math/Mind Network, вони зберігають певну незалежність, але загалом прагнуть до глибшої інтеграції з Ethereum.
3. Тип 3: Спільна подорож, що трансформує Ethereum. Якщо Ethereum не можемо підтримка FHE, необхідно провести дослідження на контрактному рівні для розподілу функцій FHE між EVM-сумісними ланцюгами. В даний час жодне рішення не відповідає цьому стандарту.

На відміну від ZK, який бачив практичний запуск ланцюга та апаратне прискорення лише на пізніх стадіях, FHE стоїть на плечах гігантів ZK. Створення ланцюжка FHE зараз є найпростішим завданням, але інтеграція його з Ethereum залишається найскладнішою.

Щодня розмірковуйте про майбутнє становище FHE у світі блокчейну:

1. У яких сценаріях має використовуватися шифрування замість відкритого тексту?
2. Які сценарії вимагають FHE шифрування перед іншими методами?
3. У яких сценаріях користувачі почуваються добре після використання FHE шифрування і готові платити вищі комісії?

Відмова від відповідальності:

1. Ця стаття передрукована з Офіційний обліковий запис WeChat: Zuoye Waibo Shan, оригінальна назва "FHE is the Next Step for ZK, Says Криптографія", авторські права належать оригінальному автору [Zuoye]. Якщо у вас є будь-які заперечення проти передруку, будь ласка, зв'яжіться з командою Gate Learn, , і команда швидко впорається з цим відповідно до відповідних процесів.
2. Погляди та думки, висловлені в цій статті, належать виключно автору і не є жодною інвестиційною порадою.
3. Інші мовні версії статті перекладаються командою Gate Learn і не повинні копіюватися, поширюватися або плагіатити без згадки Gate.io.