tl;博士

1. ゼロ知識証明(ZKP)は、Web3のスケーラビリティとプライバシーを高めるのに有用であることは明らかですが、暗号化されていないデータのサードパーティによる処理への依存によって妨げられています。
2. 完全準同型暗号化 (FHE) は画期的なものであり、サードパーティの信頼を必要とせずに、共有状態と個々のプライベート状態の両方を同時に行うことができます。
3. FHEは、暗号化されたデータ上で直接計算を可能にし、ダークプールAMMやプライベートレンディングプールなど、グローバルな状態情報が決して公開されないアプリケーションを可能にします。
4. 利点としては、暗号化されたデータに対するトラストレスな操作とパーミッションレスなオンチェーン状態遷移があり、計算のレイテンシーと整合性を中心とした課題があります。
5. 新興のFHE暗号分野の主要プレーヤーは、プライベートスマートコントラクトとスケーリングのための特殊なハードウェアアクセラレーションの開発に注力しています。
6. 将来のFHE暗号アーキテクチャには、FHEロールアップをイーサリアムに直接統合する可能性が含まれています。

「イーサリアムのエコシステムに残された最大の課題の1つは、プライバシーです(...)イーサリアムのアプリケーションスイート全体を使用することは、あなたの人生のかなりの部分を公開して、誰もが見て分析できるようにすることです。 - ヴィタリック

ゼロ知識証明(ZKP)は、少なくとも過去1年間、暗号空間における暗号の寵児でしたが、それには限界があります。 これらは、プライバシー、情報の知識を明かさずに証明すること、および特にzk-rollups内のスケーラビリティにとって価値がありますが、現在、少なくともいくつかの大きな制限に直面しています。

(1) 隠し情報は通常、信頼できる第三者によってオフチェーンで保存および計算されるため、他のアプリがそれらのオフチェーンデータにアクセスする必要がある場合、パーミッションレスなコンポーザビリティが制限されます。 このサーバーサイドの証明は、web2クラウドコンピューティングのようなシステムに似ています。

(2) 状態遷移は平文で行わなければならないため、ユーザーは暗号化されていないデータについてサードパーティの証明者を信頼する必要があります。

(3) ZKPは、ローカルのプライベート状態に関する証明を生成するために、共有プライベート状態を知る必要があるアプリケーションには適していません。

ただし、マルチプレイヤーのユースケース(例: ダークプールAMM(プライベートレンディングプール)は、オンチェーンの共有プライベート状態を必要とするため、ZKを使用すると、 共有プライベート状態を実現するために、ある種の集中型/オフチェーンコーディネーターが必要になり、煩雑になり、信頼の前提が生じます。

完全準同型暗号化の入力

完全準同型暗号化 (FHE) は、事前の復号化を必要とせずにデータに対して計算を実行できるようにする暗号化方式です。 これにより、ユーザーが平文を暗号化して暗号文に変換し、復号化せずに処理する第三者に送信することができます。

これはどういう意味ですか? エンドツーエンドの暗号化。 FHE では、共有プライベート状態を使用できます。

例えば、AMMでは、分散型マーケットメーカー口座は各取引とやり取りしますが、1人のユーザーが所有しているわけではありません。 誰かがトークンAをトークンBに交換する場合、スワップの詳細の有効な証明を生成するために、共有マーケットメーカーアカウント内の両方のトークンの既存の量に注意する必要があります。 ただし、グローバル状態がZKPスキームで隠されている場合、その証明を生成することはもはや不可能です。 逆に、グローバル状態情報がパブリックにアクセスできる場合は、他のユーザーが個人のスワップの詳細を推測できます。

FHEでは、暗号化されたデータに対して証明を計算できるため、理論的には共有状態と個人状態の両方を隠すことができます。

FHEに加えて、プライバシーの聖杯を達成するためのもう一つの重要な技術は、 プライベート入力に対する計算の問題を解決し、入力の機密性を維持しながらこれらの計算の結果のみを開示するマルチパーティ計算(MPC)です。 しかし、それは別の議論のために取っておきます。 ここでは、FHEの長所と短所、現在の市場、ユースケースに焦点を当てています。

FHEはまだ開発の初期段階にあり、これはFHE対ZKP、またはFHE対MPCの部族主義的な問題ではなく、現在利用可能なテクノロジーと組み合わせることでロックが解除される追加機能であることに注意することが重要です。 例えば、プライバシーを重視するブロックチェーンでは、FHEを使用して機密のスマートコントラクトを有効にし、MPCを使用して復号化キーのシャードをバリデーターに配布し、ZKPを使用してFHE計算の 整合性 を検証することができます。

利点と欠点

この時点では、次のようになります。

FHEの利点は次のとおりです。

1. サードパーティの信頼要件はありません。 データは、信頼できない環境でも安全性とプライバシーを維持できます。
2. 共有プライベート状態によるコンポーザビリティ。
3. データのプライバシーを維持しながら、データの使いやすさを確保します。
4. (リング)LWEによる量子抵抗。
5. 暗号化されたデータの上にオンチェーンの状態遷移をパーミッションレスで実行する機能。
6. サイドチャネル攻撃を受けやすい Intel SGX のようなハードウェアや、中央集権的なサプライチェーンは必要ありません。
7. 完全準同型EVM(fhEVM)のコンテキストでは、反復的な数学的乗算(マルチスカラー乗算など)の実行を学習したり、 なじみのないZKツールを使用したりする必要はありません。

欠点は次のとおりです。

1. 潜在。 計算負荷が高いということは、ほとんどのスキームが現在、計算負荷の高いアプリケーションに対して商業的に実行不可能であることを意味します。 ハードウェア アクセラレーション が活発に開発されており、現時点でZamaのfhEVMは月額~$2kのハードウェアで~2TPSを実行できることを考えると、これは短期的なボトルネックであることに注意する価値があります。
2. 精度の問題。 FHE方式では、暗号文が無効になったり破損したりするのを防ぐために、ノイズ管理が必要です。 ただし、TFHEは近似を必要としないため、より正確です(特定の演算のCKKSとは対照的です)。
3. 早い。 web3の分野でローンチされた本番環境に対応したFHEプロジェクトは非常に少なく、多くのバトルテストを行う必要があります。

市場概況

現在のFHEx暗号資産の状況

ハイライト

Zama は、暗号と非暗号の両方のユースケースに対応するさまざまなオープンソースのFHEツールを提供しています。 そのfhEVMライブラリは、プライベートなスマートコントラクトを可能にし、オンチェーンの機密性とコンポーザビリティの両方を保証します。

Fhenix は、ZamaのfhEVMライブラリを活用して、エンドツーエンドの暗号化ロールアップを可能にします。 これらは、FHEをEVMスマートコントラクトに統合するプロセスを合理化し、既存のコントラクトへの最小限の変更で済むようにすることを目的としています。 創設チームは、Secret Networkの創設者とIntelの以前のFHEビズデブリードで構成されています。 Fhenixは最近、シード資金で700万ドルを調達しました。

Inco Network は、FHEを搭載したEVM互換のL1で、ZamaのfhEVM暗号を統合することで、暗号化されたデータの計算をスマートコントラクトにもたらします。 創業者のレミ・ガイはパラレル・ファイナンスの創設メンバーであり、このビジョンを実現するために数人のコスモスのエンジニアが参加しています。

ハードウェア。 いくつかのエンティティは、レイテンシーの問題を解決するためにハードウェアアクセラレーションを構築しています。 特に、Intel、Cornami、Fabric、Optalysis、KU Leuven、Niobium、 Chain Reaction、および一部のZK ASIC/FPGAチームです。 この開発の急増は、約3年前にASICベースのFHEアクセラレーションに対して授与された DARPAの助成金 によって推進されました。 とはいえ、GPUが20+ TPSに達する可能性のある一部のブロックチェーンアプリケーションでは、このような特殊なハードウェアアクセラレーションは必要ないかもしれません。 FHE ASICは、バリデータの運用コストを大幅に削減しながら、パフォーマンスを100+ TPSに向上させる可能性があります。

特筆すべき点。 Google、Intel、OpenFHEはすべて、FHEの一般的な進歩に大きく貢献していますが、暗号の文脈ではそれほど具体的ではありません。

ユースケース

主な利点は、共有プライベート状態と個人用プライベート状態を有効にすることです。 これはどういう意味ですか?

プライベートスマートコントラクト:従来のブロックチェーンアーキテクチャでは、ユーザーデータはWeb3アプリで公開されています。 各ユーザーの資産とトランザクションは、他のすべてのユーザーに表示されます。 これは、信頼性と監査可能性には役立ちますが、企業での導入の大きな障壁にもなります。 多くの企業は、この情報の公開に消極的であるか、単に拒否しています。 FHEはこれを変更します。

FHEは、エンドツーエンドの暗号化されたトランザクションだけでなく、暗号化されたメモリプール、暗号化されたブロック、および機密の状態遷移を可能にします。

これにより、さまざまな新しいユースケースが開かれます。

• DeFi:ダークプール、暗号化されたmempool、追跡不可能な ウォレット、機密 性の高い支払い(例: オンチェーン組織の従業員の給与)。
• ゲーム:秘密の同盟、資源の隠蔽、破壊工作、スパイ、ブラフなど、さまざまな新しいゲームメカニクスを可能にする暗号化された状態のマルチプレイヤー戦略ゲーム。
• DAO:私的投票。
• DID:チェーンクレジットスコアやその他の識別子で暗号化されています。
• データ:コンプライアンスに準拠したオンチェーンデータ管理。

では、FHE-CRYPTOアーキテクチャの未来はどのようなものになるのでしょうか?

詳しく説明する必要がある 3 つのコア コンポーネントがあります。

レイヤー1:このレイヤーは、開発者が(a)ネットワーク上でアプリケーションをネイティブに起動したり、(b)イーサリアムメインネットとそのL2/サイドチェーンの両方を含む既存のイーサリアムエコシステム(入出力モデル)とインターフェースしたりするための基盤として機能します。

L1の柔軟性は、FHE機能を備えたネイティブプラットフォームを求める新しいプロジェクトに対応すると同時に、現在のチェーンにとどまることを好む既存のアプリケーションにも対応できるため、ここで重要です。

ロールアップ/アプリケーションチェーン: アプリケーションは、これらの FHE 対応 L1 の上に独自のロールアップまたはアプリケーションチェーンを起動できます。 この目的のために、Zamaは、プライバシーに重点を置いたソリューションをスケーリングするために、fhEVM L1の楽観的スタックとZK FHEロールアップスタックの両方 に取り組んでいます 。

イーサリアムでのFHEロールアップ:イーサリアム自体でFHEロールアップを開始すると、イーサリアムのネイティブプライバシーが大幅に向上する可能性がありますが、いくつかの技術的な課題に直面しています。

1. データストレージコスト:平文のエントリが小さい場合でも、FHE暗号文データは非常に大きくなります(各8 kb +)。 データ可用性(DA)の目的でこのような大量のデータをイーサリアムに保存すると、ガス代の面で非常にコストがかかります。
2. シーケンサーの集中化:トランザクションを注文し、グローバルFHEキーを制御する中央集権的なシーケンサーは、そもそもfhEVMの目的に反するプライバシーとセキュリティの大きな問題です。 MPCは、グローバルFHEキーの制御を分散化するための潜在的なソリューションですが、計算を実行するために複数の関係者のネットワークを維持すると、運用コストが増加し、潜在的な非効率性が生じます。
3. 有効な ZKP の生成: FHE 操作の ZKP の生成は、まだ開発中の複雑なタスクです。 日焼け止めのような企業は進歩していますが、そのような技術が広く商業的に使用される準備が整うまでには数年かかる可能性があります。
4. EVMの統合:FHEの操作は プリコンパイル時にEVMに組み込む必要があるため、ネットワーク全体のアップグレードには、計算オーバーヘッドやセキュリティ上の懸念に関するいくつかの質問が含まれます。
5. バリデータのハードウェア要件:イーサリアムのバリデーターは、 FHEライブラリを実行するためにハードウェアをアップグレードする必要があり、集中化とコストに関する懸念が生じます。

FHEは当初、流動性の低い環境やプライバシーが最優先される特定の分野にニッチを見つけると予想しています。 最終的には、スループットが増加するにつれて、FHE L1でより深い流動性が見られる可能性があります。 長期的には、上記の問題が解決されれば、メインネットから流動性とユーザーをより摩擦なく利用できるイーサリアムのFHEロールアップが見られるかもしれません。 現在の課題は、FHEのキラーユースケースを見つけ、コンプライアンスを維持し、生産可能なテクノロジーを市場に投入することです。

それまでの間、手を汚したり、賞金稼ぎをしたりしようとしている開発者は、4桁のバウンティがいくつか付いていて、 FhermaのFHEチャレンジに挑戦することができます。

謝辞: Gurgen Arakelov 氏 (Yasha Labs/Fherma の創設者)、<a href="https://medium.com/ @randhindi ">Rand Hindi 氏 (Zama の創設者)、<a href="https://medium.com/@remi.gai">Remi に感謝します 。Gai 氏 (Inco Network 創設者)、 小田部 弘樹 氏 (Inception Capital リサーチプリンシパル) この記事へのご協力に対して。

関連読書:

Paillier、パスカル。 「FHEがブロックチェーンのプライバシー問題を解決できる5つの方法」 Help Net Security、2023 年 9 月 4 日、 https://www.helpnetsecurity.com/2023/09/04/fully-homomorphic-encryption-fhe/

Inco Network ドキュメント、 https://docs.inco.network/

サマニ、カイル。 「オンチェーンFHEの夜明け」Multicoin Capital, 2023年9月26日, https://multicoin.capital/2023/09/26/the-dawn-of-on-chain-fhe/

ヒンディー語、ランド。 「準同型暗号を用いたプライベートスマートコントラクト」 座間, 2023年5月23日 https://www.zama.ai/post/private-smart-contracts-using-homomorphic-encryption

ラマスワミ、アニタ。 「このニッチな暗号技術は、Web3のプライバシーを変革する可能性があります。」 TechCrunch、2022年7月18日。 https://techcrunch.com/2022/07/18/crypto-blockchain-web3-privacy-cryptography-fully-homomorphic-encryption-startup-sunscreen/

2023 年の DeCompute Conference での Michael De Vega の講演。 https://twitter.com/nillionnetwork/status/1710372206423756887?s=20

FHEのWei Daiのスレッド。 https://twitter.com/_weidai/status/1707474764783354340?s=20

Fisher, Evan et al. "完全準同型暗号化 (FHE)". ポータルベンチャーズ。 2023年7月10日。 https://portal.vc/fhe

ソロモン、ラヴィタル。 「SNARKsがFHEに欠ける理由」日焼け止め。 2023年8月24日。 https://blog.sunscreen.tech/snarks-shortcomings/

フーダ、モハメド。 「ZKP、FHE、MPC:ブロックチェーンにおけるプライベートステートの管理」 同盟。 2023年12月22日。 https://medium.com/alliancedao/zkps-fhe-mpc-managing-private-state-in-blockchains-17cc3661007d

免責事項：

1. この記事は[medium]からの転載です。 すべての著作権は原作者[Mads Pedersen]に帰属します。 この転載に異議がある場合は、 Gate Learn チームに連絡していただければ、迅速に対応いたします。
2. 免責事項:この記事で表明された見解や意見は、著者のものであり、投資アドバイスを構成するものではありません。
3. 記事の他言語への翻訳は、Gate Learnチームによって行われます。 特に明記されていない限り、翻訳された記事を複製、配布、盗用することは禁止されています。