1kxリサーチパートナーへのインタビュー:FHEは大規模な応用に「非常に近づいており」、分野の進展を注視
TechFlow厳選深潮セレクト
1kxリサーチパートナーへのインタビュー:FHEは大規模な応用に「非常に近づいており」、分野の進展を注視
1kxリサーチパートナーのWei Dai氏は、完全準同型暗号(FHE)の全体的な発展はゼロ知識証明(ZKP)より約3〜4年遅れているものの、その可能性は非常に大きいと考えている。
Web3業界の深掘り報道に専念し潮流を洞察取材・執筆:Wendy、Foresight News
インタビュー対象者:Wei Dai、1kx リサーチパートナー
「長年にわたり、完全準同型暗号(Fully Homomorphic Encryption, FHE)は暗号技術の王冠の一つと見なされてきた」。2020年7月20日に公開されたブログ記事の冒頭で、Vitalikはこう記している。今年5月5日には、Vitalikが再びX(旧Twitter)上で『完全準同型暗号を探る』というタイトルのこの記事をリツイートし、「多くの人が完全準同型暗号に興味を持っている」と述べた。
この「関心」は暗号系VC界でも既に表れている。今年3月、完全準同型暗号企業ZamaはMulticoin CapitalおよびProtocol Labsをリード投資家とする7300万ドル規模のシリーズA調達を発表し、市場の注目を集めた。
Foresight Newsが最近整理したところによると、暗号分野におけるFHEエコシステムはすでに形成されつつある。鋭い感覚を持ついくつかの暗号ファンドはすでにFHE分野への投資を始めているが、その中には1kxも含まれる。今年早々、1kxはZamaを基盤とする完全準同型暗号プロジェクトIncoのシリーズラウンドを主導した。同ファンドの研究パートナーであるWei Dai氏はForesight Newsに対し、彼らはこの分野の進展を「非常に近い将来」に大規模採用が現実的になると考え、注視していると語った。
Wei Dai氏はカリフォルニア大学サンディエゴ校にて暗号学の博士号を取得している。彼の見解では、完全準同型暗号(FHE)はゼロ知識証明(ZKP)に比べて約3〜4年の遅れがあるものの、特にブロックチェーン上のプライバシー課題解決において大きな潜在能力を有している。この技術がマルチパーティ計算(MPC)やゼロ知識証明(ZKP)といった関連技術と組み合わされば、さらに広大な応用可能性が開かれるだろう。
Foresight News:半準同型暗号などの従来の暗号技術と比較して、完全準同型暗号(FHE)の主な利点と革新点は何ですか?
Wei Dai:完全準同型暗号(FHE)という概念自体は1970年代から議論されており、すでに三四十年の歴史がありますが、実現は極めて困難でした。
基本的なアイデアは単純です。データを暗号化し、その後復号する——これが標準的な暗号化です。その後、人々はこの暗号化されたデータに対して加算のような簡単な操作(注:乗算も可能だが、両方同時にできるわけではない)ができることに気づき、これを部分準同型暗号と呼びました。そして次に、「任意の形での計算が可能かどうか?」という問いが生まれました。もし加算と乗算の両方が可能なら、事実上あらゆる汎用計算が実現できるからです。この構想は2009年にCraig Gentryの論文によって初めて実現されました。それ以来、Gentryの提案した完全準同型暗号スキームに基づく新しい研究分野が広く探求されてきました。現在までに、多くの進展が見られています。
したがって、完全準同型暗号の最大の利点は、暗号化された状態のまま「あらゆる種類の計算」が行えることです。
Foresight News:Vitalikは数年前の記事で、完全準同型暗号がブロックチェーンのスケーラビリティとプライバシー保護の鍵となる技術になると指摘しています。この二つの分野におけるFHEの応用可能性についてどのようにお考えですか?具体的にどのような改善が期待されますか?
Wei Dai:現在のブロックチェーンはデフォルトで完全に透明であり、すべてのトランザクションやスマートコントラクト内の変数が公開されており、誰でもそれらを閲覧できます。これは変えるべきです。
そのため、多くのプロジェクトが完全に透明なブロックチェーンを、一部は暗号化された形へと転換しようとしています。しかし、依然としてスマートコントラクトによって制御可能です。例えば、Zamaが構築するFHE仮想マシン(fhEVM)です。Zamaは40名の博士を抱える企業で、深層的なFHEプリミティブと、それを基盤とした製品を開発しています。基本的に、プログラマーは通常のSolidityコードを書くだけでFHEプリミティブを操作できます。これは非常に強力です。私はこれが今日のブロックチェーンにおけるプライバシー問題の解決に貢献すると考えています。例えば、スロットマシンやカジノの運営、暗号化された支払いなどが可能になります。Tornado Cashとは異なります。Tornado Cashはトランザクショングラフ全体を曖昧にしますが、FHEによる暗号化支払いではトランザクショングラフは維持され、金額のみが隠蔽されます。つまり、ある意味では追跡が若干容易であり、規制当局にとっても受け入れやすい可能性があります。
Vitalikが言及したもう一つのプライバシー面の利点として、ZcashやAztec、Tornado Cashのような既存のプライバシープロジェクトでは、スマホやブラウザ上で使用する際に残高を確認したり、支払いを受け取った後にチェーン上の状態と同期するのに非常に時間がかかるという問題があります。実は、FHEはこの問題を解決できます。これは現在Aztecが研究している「無知的メッセージ取得(oblivious message retrieval, OMR)」と呼ばれるものです。自分のアクセス内容を漏らさずにウォレットクライアントの状態を同期したい場合、FHEはそのようなニーズに対して何らかの解決策を提供できます。
一方、スケーラビリティに関しては、正直に言ってFHEが直接的に解決するものではないと考えます。Vitalikの記事でも、現在ZKを使用しているプライバシーコインにおいて「クライアントサイドのスケーラビリティ問題」があることが指摘されています。つまり、クライアントがチェーン上の状態と同期する必要がある点です。FHEはまさにこのプライバシーコインにおけるクライアント側のスケーラビリティ問題を解決します。
しかし、一般的なスケーラビリティの課題、例えばRollup型の拡張ソリューションと比較すると、FHE単体では真に解決しているとはいえません。むしろ、Vitalikが示唆しているように、FHEとZKが補完的に使われることで、これらの課題の解決に寄与する可能性があります。いわゆる「検証可能なFHE(verifiable FHE)」というものがあり、Rollup環境でチェーンに接続されたFHEを実装するには、実際にFHEの計算結果を検証可能にする必要があります。ZK Rollupのように、「特定の入力に対して実行された計算が正しい出力を生成すること」を保証できるのです。ただし、FHE自体はこの保証をデフォルトで提供しません。信頼できる計算(trusted computation)に留まります。しかし、特別な検証付きFHEスキームを設計することで、計算が正しく行われたことを保証できます。例えば、RISC Zeroや他のZKプロジェクトはZKVMにZamaのコードを組み込み、汎用的にこれを実現しようとしています。しかし、数学的にFHE演算を分析することで、より賢く効率的なカスタム方式で検証可能な計算を直接実装することも可能です。
Foresight News:ゼロ知識証明(ZKP)もまた、暗号分野で非常に注目されている技術ですが、完全準同型暗号(FHE)とゼロ知識証明(ZKP)の間にはどのような関係や違いがあるのでしょうか?両者は補完可能ですか?プライバシー保護の文脈で、これら二つの技術をどう使い分けたらよいでしょうか?
Wei Dai:非常に複雑なテーマですが、簡潔に説明しようと思います。
ゼロ知識証明(ZKP)は主に二つのことを可能にします。一つは「検証可能な計算(verifiable computation)」、もう一つは「ゼロ知識性(zero-knowledge property)」です。現在のZK L2の多くは前者、つまり計算を実行し、その正当性を再計算なしに検証できる点に焦点を当てています。一方、ZKPの「ゼロ知識性」は、データそのものを開示せずに、そのデータに関する命題を証明できる点にあります。これにより、ある種のプライバシーを実現できます。これはミキシングネットワーク(mixnets)、プライバシー報告(Zcashなど)、Tornado Cashなどで利用されています。また、AleoやMinaのように、より高度な計算にまで拡張することが可能で、ZKを使ってデータを非公開にしながら、オンチェーンではなくオフチェーンで処理を行うことができます。
しかし、プライバシーの観点から見ると、ZKPは共有状態(shared state)に対するプライバシーを提供できません。私的状態(private state)——つまり、ある個人またはグループにのみ知られる情報——に対しては有効ですが、それ以外には適用できません。
これはスマートコントラクトには不適切です。例えばUniswapの流動性は誰とでも許可なくやり取りできますが、このようなタイプのプライバシー——つまり共有状態における機密性——はZKPでは実現できません。ここにこそ、MPC(マルチパーティ計算)とFHEが必要となるのです。
FHEが本当に可能にすることは、計算とデータの分離です。データを暗号化した上で計算を行い、その過程でデータの中身を見ることはできません。また、暗号化を行う側は、その上でどのような計算が行われるのかを知る必要がありません。この特性はブロックチェーン環境で非常に有用です。暗号化されたスマートコントラクトや、暗号化された値を保持するスマートコントラクトを作成でき、それでもなお計算を継続できます。UniswapにFHEレイヤーを追加することで、ある種の暗号化された計算トレース(trace)を得ることができるのです。
つまり、FHEとZKの違いは非常に繊細ですが、要するに「スマートコントラクトを秘匿化したい」のであれば、MPCまたはFHEが必要です。一方、支払いのようなシンプルな用途であれば、ZKで十分です。
Foresight News:最近、ZK+FHEという組み合わせを謳うプロジェクトも増えていますが、これについてどのようにお考えですか?
Wei Dai:ZK+FHEというアイデアについては、確かに両者が補完的技術であることに同意します。しかし、現段階でこれらを実際に重ね合わせると、計算コストが倍増します。なぜなら、それぞれの計算コストが乗算的に増大するからです。例えば、ZKを使うと計算量が千倍になり、FHEでも千倍になると、合計で百万倍になります。実際には、それぞれが百万倍になると、合計で一兆倍にもなる可能性があります。
したがって、現時点ではほとんど実用不可能だと考えます。本当に必要不可欠なユースケースがない限り。
Foresight News:全同態暗号技術の現時点での発展フェーズはどこにあるとお考えですか?大規模な実用化まで、あとどのくらいの距離がありますか?
Wei Dai:この技術の発展段階を絶対的に評価するのは難しいですが、おそらく相対的な位置づけで説明するのが適切かもしれません。
ZamaやDualityといったFHE企業で働く人々に聞くと、FHEはZKに比べて数年遅れていると言います。具体的にはどのくらいか? 2〜3年という人もいれば、5〜6年、あるいは10年と見る人もいます。これは評価指標が異なるためで、例えば開発者の数、技術論文の数、新規アプリケーションの数などが挙げられます。
私は包括的な調査は行っていませんが、個人的にこれらのコミュニティと関わってきた経験から、これらの指標を平均化すると、FHEはZKに比べておよそ3〜4年程度遅れていると感じます。
ZKも常に高速化が進んでいますが、FHEも同様です。では、FHEの大規模実用化まであとどれくらいか? 実は、すでに非常に近いと考えています。第一世代のプロジェクトは現在テストネットを立ち上げたばかりで、今年後半にはメインネットが予定されています。つまり、まもなくその実現が見えるでしょう。現実のシステムにおける計算オーバーヘッドを測定すれば、FHEはまだZKPよりも大きいですが、一度本番環境に投入され、需要が生まれ、スケーリングが始まれば、急速に成長する可能性があります。指数関数的な成長が見られるのは、ZK Rollupの例を見れば明らかです。理論概念から短期間で実用化され、すでに数十億ドル規模の価値を守っています。
Foresight News:実用化の観点から、現在の完全準同型暗号(FHE)技術にはどのような課題がありますか? 計算効率や鍵管理など、具体的なボトルネックはありますか? アルゴリズム最適化やハードウェアアクセラレーションの面では、まだ克服すべき課題はありますか?
Wei Dai:まず、明らかに多くの難題があります。FHEの場合、最も大きな問題は「ブートストラップ(bootstrapping)」です。ブートストラップ自体が非常に計算負荷の高い処理ですが、アルゴリズムの改良や工学的最適化によって、そのコストは徐々に削減されています。
実は、ブートストラップを必要としない他のスキームもあり、特に機械学習(ML)用途ではより効率的かもしれません。特定の古典的計算タスクに特化して最適化を行うことで、大幅な効率向上が可能です。特にAI推論のような、長時間ではなく一回性の計算に向いています。しかし、特定の古典的計算に注力し、それを徹底的に最適化するという商用的努力は、まだあまり行われていません。Zamaが現在オンチェーン計算に向けて行っていることは非常に汎用的であり、つまり各ステップでブートストラップを行う必要があるため、効率は高くありません。
鍵管理に関しても課題があります。ZamaのfhEVMやInco、Phoenixなどは、しきい値鍵管理(threshold key management)を必要とします。つまり、一連の検証者が共同で復号能力を持つ必要があります。これはロードマップ上にあると考えますが、Zamaはまだ完全には実装していません。この障壁を乗り越えなければ、単一の検証者が復号できる単一障害点(single point of failure)のリスクが残ります。
Foresight News:1kxのリサーチパートナーとして、投資の視点から見て、完全準同型暗号(FHE)分野で注目すべき技術方向性や応用シナリオは何ですか?市場の将来性や、主要な機会と課題について教えてください。
Wei Dai:私が特に注目しているのは、完全準同型暗号(FHE)そのものだけではなく、「しきい値FHE(threshold FHE、TFHE)」です。つまり、FHE+MPC+ブロックチェーンという三者の融合です。この特殊な組み合わせは、全く新しいユースケースを多数開くことになります。これには非常に期待しています。
実際、ZamaがfhEVMを開発する前から、私はすでにブロックチェーン上でのTFHEの応用について議論していました。最近、我々はIncoの資金調達を主導しました。これはZamaの上に構築され、fhEVMのユースケースを展開しようとするプロジェクトです。彼らはスロットマシン、カジノ、ビジネス決済、ゲームといった小規模なユースケースをパートナーと共同で開発しています。最初のアプリケーションが市場に登場するのを見るのが楽しみです。
また、開発者にとっても親和性が高い点が重要です。Solidityでプログラミングできるため、非常に扱いやすいのです。カスタム言語を使わせる必要があると、アプリの普及が難しくなります。ZKの例を見れば明らかです。しかし、今回のような形でFHEがチェーンと統合されると、開発者はFHEの存在を意識する必要がなくなります。これは非常にシンプルな暗号化データ型であり、Solidity内でプログラミング的にすべてを復号できるのです。したがって、今後1〜2年で最も注目する分野です。
さらに、スマートコントラクト内で行われる計算は、非常に短く簡潔なものが多い点もFHEに適しています。なぜなら、イーサリアムのような限られた計算環境に合わせて設計されているからです。Uniswap自体が非常にライトウェイトな仕組みであるように、FHEの現在の低効率と好都合に一致します。
加えて、FHEの他の形態も将来的に広く使われる可能性があります。FHEが最初に話題になったとき、暗号学界を熱狂させたのは「計算の外部委託」でした。ユーザーまたは組織が所有するデータを、第三者に委託して計算を行うのです。例えば、MLのユースケースで、各ユーザーのデータはすべて暗号化されたままですが、トレーニングデータとして利用可能です。
これらはまだ先の話ですが、すでに優れたチームがこうした方向性を研究しています。将来的には、機械学習の推論だけでなく、訓練そのものもFHE内部で完結する可能性があります。
Foresight News:規制の観点では、国や地域によって暗号技術に対する姿勢に差があります。特にAIの発展に伴い、データプライバシーの重要性は高まっています。今後の規制環境はどのように変化していくと考えますか? それが完全準同型暗号技術の研究開発や実用化に与える影響について教えてください。
Wei Dai:プライバシーに関する規制については詳しくありませんが、プライバシーには主に二種類あると理解しています。一つはデータプライバシー、もう一つは金融資産のプライバシーです。これらは大きく異なりますが、しばしば混同されます。現実には、これら二つのプライバシーは別個に扱われるべきであり、社会的合意の形成が求められます。
現在、規制について語られる際にはデータプライバシーの重要性が強調されますが、金融プライバシーはグレーゾーンです。FHEはこの二つに対していずれも役立つ可能性がありますが、より直接的に関係するのはデータプライバシーの分野です。現在、大手テック企業はユーザーデータから利益を得ていますが、FHEを通じてユーザーはデータの所有権を保持しつつ、企業にデータを「販売」できる可能性があります。これにより、モデル訓練や、コントロールされた方法での広告配信といった社会的便益は維持されながら、ユーザー自身がデータの主権を持てるようになります。
Foresight News:今後3〜5年の展望として、完全準同型暗号技術の発展についてどのような予想をお持ちですか? どのような技術的ブレークスルーが潮流を変える可能性がありますか?
Wei Dai:画期的な変化を期待するよりも、段階的な改善が続くと考えます。理論、ソフトウェア、ハードウェア、アルゴリズムなど、関連するすべての要素が重なり合い、各レベルで少しずつ進歩していきます。時間とともに、計算コストや開発者体験が着実に改善され、技術はますます実用的になっていくでしょう。
現在のFHEは「ゼロから一」の段階にあると同時に、「一から十」への軌道に乗っています。改めて強調したいのは、FHEの発展にはハードウェア、ソフトウェア、理論、開発体験のすべての側面での進歩が必要であり、これらに取り組んでいる興味深い企業がすでにいくつか存在しているということです。
Foresight News:1kxはZK分野ではすでに多くの投資を行っていますが、FHE分野についてはいかがですか? 先ほど言及されたInco以外に注目しているプロジェクトはありますか? 将来、FHE分野にさらに注力する可能性はありますか?
Wei Dai:はい、ネットワーク系企業Incoにはすでに投資していますが、ハードウェア分野にも投資しています。詳細は現時点で明かせませんが、技術スタック全体を注視しています。非常にエキサイティングな時期にあり、3〜5年後にはこの分野がどこまで到達しているか、楽しみにしています。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Foresight News
