FHEはZKの次のステップである、と暗号技術は語っている
TechFlow厳選深潮セレクト
FHEはZKの次のステップである、と暗号技術は語っている
応用シナリオと実装は、FHEがブロックチェーンインフラの突破口となる鍵である。
Web3業界の深掘り報道に専念し潮流を洞察執筆:佐爺
暗号資産の発展の主軸は非常に明確だ。ビットコインが暗号通貨を創出し、イーサリアムがパブリックチェーンを創出し、テザー社がステーブルコインを創出し、BitMEXが永続的先物契約(パーペチュアル)を創出した。この4つの創造は、まるで暗号プリミティブが積み重なって数兆ドル規模の市場を築き上げたかのようであり、数え切れないほどの富裕神話や、人々の記憶に深く刻まれる「非中央集権化」という夢を生み出してきた。
一方、暗号技術そのものの発展軌跡はそれほど明瞭ではない。さまざまなコンセンサスアルゴリズムや精巧な設計も、ステーキングとマルチシグシステムには及ばず、後者が真に暗号システムを支える柱となっている。例えば、WBTCのような中心化ステーキングを取り除けば、多くのBTC L2は存在できなくなる。Babylonのネイティブステーキングはこうした方向性への挑戦であり、7000万ドル規模の価値を持つ試みである。
本稿では、暗号技術の歴史を描き出そうとするものであり、これはFHEやZK、MPCといった技術変遷とは異なる視点から切り込む。大まかな応用プロセスとして見れば、MPCが初期段階で使われ、FHEが中間の計算プロセスに適し、ZKが最終的な証明に利用される。応用時期の順序で言えば、ZKが最初に実用化され、その後AAウォレットの概念が注目を集め、MPCが技術選択肢として脚光を浴びて発展スピードを加速させた。一方、FHEは2020年にすでに「未来の技術」として称賛されていたが、2024年になってようやく火が付いた。
MPC/FHE/ZKP
ZKやMPCとは異なり、FHEは現存するすべての暗号アルゴリズムとも根本的に異なる。他の対称・非対称暗号技術が「解読困難または不可能な暗号システム」を構築することで絶対的安全性を目指すのに対し、FHEの目標は暗号化された暗号文自体に機能を持たせることにある。つまり、暗号化と復号は重要だが、それらの間にある「暗号化済みデータ」を無駄にしてはならないという考えに基づいている。
理論は整備済み、Web2がWeb3より先に実用化
FHEは基礎技術であり、学術的にはすでに理論的基盤が確立されている。マイクロソフト、インテル、IBM、DARPA支援のDualityなどが、ハードウェア・ソフトウェアの最適化や開発ツールの準備を進めている。
良い知らせは、Web2の大手企業たち自身もFHEの具体的な用途をまだ完全には把握していないため、Web3が今から参入しても遅くないことだ。悪い知らせは、Web3におけるFHEの互換性がほぼゼロに等しく、ビットコインやイーサリアムなどの主流チェーンはFHEアルゴリズムをネイティブでサポートできない点である。イーサリアムは「世界のコンピュータ」と呼ばれるが、FHEをハード計算しようとすれば、おそらく「世界の終焉まで」かかるだろう。
ここでは主にWeb3の取り組みに注目するが、Web2の大手企業がFHEに対して非常に熱心であり、すでに大量の基盤作業を終えていることは覚えておいてほしい。
なぜなら、Vitalikは2020年から2024年にかけて、重点をZKに置いてきたからだ。
ここで、私がZKの流行をどう捉えているか簡単に説明しよう。イーサリアムがRollupによるスケーリング路線を確立した後、ZKの状態圧縮機能により、L2からL1へのデータ送信量が大幅に削減できるようになった。これは経済的に極めて大きな価値を持つ。もちろん、これは理論上の話であり、L2の断片化やソーターの問題、あるいは一部のL2/Rollupがユーザーの手数料を搾取するといった新たな課題も存在するが、これらは発展の中でしか解決できない。
簡単にまとめると、イーサリアムはスケーリングが必要となり、Layer 2発展路線を確立。ZK/OP系Rollupが百花繚乱の様相を呈し、「短期間はOP、長期的にはZK」という業界共通認識が形成され、ARB/OP/zkSync/StarkNetの四大巨人が誕生した。
経済的合理性こそが、ZKが暗号世界、特にイーサリアムエコシステムに受け入れられた最大の理由、いや唯一の理由であった。したがって、以下ではFHEの技術的特徴を詳細に述べるのではなく、FHEがWeb3の運営効率をどこまで高められるか、あるいは運用コストをどこまで下げられるかに焦点を当てる。いずれにせよ、「コスト削減」か「効率向上」のどちらかに貢献しなければならない。
FHE発展小史と成果
まず、準同型暗号(Homomorphic Encryption)と完全準同型暗号(Fully Homomorphic Encryption, FHE)の違いについて整理する。厳密に言えば、FHEは前者の一種である。準同型暗号とは、「暗号文に対する加算または乗算が、平文に対する加算または乗算と等価になる」ことを意味する。すなわち:
このとき、cとE(c)、dとE(d)は同等の価値を持つと考えられる。ただし、以下の2つの難点があることに注意が必要だ:
-
平文と暗号文の等価性は、平文にノイズを加えた上で演算を行い暗号文を得ることに相当する。もし暗号文のノイズが大きすぎると計算が失敗するため、ノイズ制御のための各種アルゴリズムが鍵となる。
-
加算と乗算の計算負荷は非常に大きく、暗号文での計算は平文の1万倍から100万倍以上のコストがかかる。そして、無限回の加算と乗算が可能でなければ「完全準同型暗号」とは言えない。とはいえ、各段階の準同型暗号にも独自の価値があり、実現度合いによって以下のように分類できる:
-
部分準同型暗号(Partially homomorphic encryption):加算または乗算など、限定的な操作のみ許可される。
ある程度の準同型暗号(Somewhat homomorphic encryption):有限回の加算と乗算が可能。 -
完全準同型暗号(Fully homomorphic encryption):無限回の加算と乗算が可能であり、暗号化されたデータに対して任意の計算を実行できる。
FHEの歴史は2009年にさかのぼる。Craig Gentryが「理想格(ideal lattice)」に基づく初のFHEアルゴリズムを提案したのが始まりである。理想格とは、特定の線形関係を満たす多次元空間上の点集合という数学的構造である。
Gentryの方式では、秘密鍵と暗号化データを理想格で表現することで、プライバシーを維持しつつ、自己ブートストラップ(bootstrapping)によりノイズを低減できるようにした。自己ブートストラップとは、「自分で自分の靴ひもを引っ張って体を空中に持ち上げる」ようなもので、実際にはFHEで暗号化された暗号文を再び暗号化することで、ノイズを抑えつつ秘匿性を維持し、複雑な計算を可能にする。
(自己ブートストラップはFHE実用化において極めて重要な技術進歩だが、ここでは数学的詳細には触れない)
このアルゴリズムはFHEのマイルストーンであり、工学的にFHEの実現可能性を初めて示した。しかし、計算1ステップに30分もかかり、実用化は到底不可能だった。
「ゼロから一」の壁を越えた後は、大規模実用化の道だけが残された。言い換えれば、異なる数学的仮定に基づき、それぞれに対応するアルゴリズム設計が行われてきた。理想格以外にも、LWE(誤差付き学習問題)およびその派生形が安全性の根拠として広く使われており、現在最も一般的なアプローチとなっている。
2012年、Zvika Brakerski、Craig Gentry、Vinod VaikuntanathanらはBGV方式を提案した。これは第二世代FHEの一つであり、最大の貢献は「モジュラススイッチング技術」である。これにより、準同型演算に伴う暗号文ノイズの増加を効果的に抑制し、「Leveled FHE」を構築した。つまり、所定の計算深度を持つ準同型計算が可能になった。
これと同様のものにBFVやCKKSなどがある。特にCKKSは浮動小数点演算をサポートできるが、その分計算リソース消費がさらに増えるため、より良い方式が求められている。
最後にTFHEとFHEW方式があり、特にTFHEはZamaが採用する主要アルゴリズムである。簡単に言うと、Gentryが最初に導入した自己ブートストラップによってノイズを低減できるが、TFHEは「高速な自己ブートストラップ」を実現しており、精度も保たれているため、ブロックチェーン分野との親和性が高い。
各方式についての紹介はここまでとする。実際にはそれらの優劣ではなく、用途の違いが主である。しかし、どれも強力なソフトウェア・ハードウェアリソースを必要とする。TFHE方式でさえ、ハードウェアの課題を解決しない限り大規模適用は不可能であり、ZK分野のように「アルゴリズムとソフト先行、ハードウェアとモジュール化が後追いで対応」という手法は通用しない。少なくとも暗号分野において、FHEはハードウェアと並行して発展せざるを得ない。
Web2 OpenFHE vs Web3 Zama
前述の通り、Web2の大手企業は積極的に探索を進め、一定の実績を挙げている。ここではそれらをまとめて、Web3への応用シーンを考察する。
要点を絞ると、IBMがHelibライブラリを開発し、BGVとCKKSを主にサポートしている。マイクロソフトのSEALライブラリはCKKSとBFVをサポートしており、特にCKKSの著者であるSong YongsooがSEALの設計・開発に関与している。そしてOpenFHEはDARPA支援のDualityが開発した集大成的存在であり、BGV、BFV、CKKS、TFHE、FHEWなど主要アルゴリズムを網羅しており、現存するFHEライブラリの中では最も充実していると見られる。
また、OpenFHEはインテルのCPUアクセラレーションライブラリとの連携や、NVIDIAのCUDAインターフェース呼び出しによるGPUアクセラレーションも検討している。ただし、CUDAによるFHEサポートは2018年が最後で、最新の対応情報は見つかっていない。誤りがあればご指摘いただきたい。
OpenFHEはC++とPythonをサポートしており、Rust APIは開発中。シンプルで包括的なモジュール化とクロスプラットフォーム対応を目指しており、Web2開発者にとっては最も簡単な「すぐに使える」選択肢である。
しかし、Web3開発者の場合は難易度が上がる。
ほとんどのパブリックチェーンは計算能力が弱いため、FHEアルゴリズムの実行をサポートできない。さらに、ビットコインやイーサリアムエコシステムには現在、FHEに対する「経済的ニーズ」が不足している。繰り返すが、L2→L1のデータ伝送効率化というニーズがあったからこそZKが実用化されたのであり、FHEのためにFHEを使うのは「ハンマーを持っているから釘を探している」ようなもので、無理に合わせても導入コストばかり高くなる。
FHE+EVM 動作原理
以降では現在直面している課題と有望な実用化シナリオについて詳述するが、ここではWeb3開発者に少し希望を提供したい。
2024年、Zamaは暗号分野でFHE関連として最大規模の資金調達を達成し、Multicoin主導で7300万ドルを調達した。Zamaは現在、TFHEベースのアルゴリズムライブラリを提供しており、それに基づくfhEVMにより、FHE機能を備えたEVM互換チェーンの開発を可能にしている。
次に、効率の問題はソフトウェアとハードウェアの協働によってしか解決できない。EVMはFHEコントラクトを直接実行できないが、これはZamaのfhEVMと矛盾しない。Zamaは自らチェーンを構築し、FHE機能をネイティブに組み込んでいる。例えば、Shiba InuもZama方式に基づくLayer 3を構築しようとしている。新規チェーンがFHEをサポートするのは難しくない。難しいのは、イーサリアムEVM自体がFHEコントラクトをデプロイできるようになることだ。そのためにはイーサリアムのOpcode(操作コード)のサポートが必要となる。幸いなことに、Fair MathとOpenFHEが共同でFHERMAコンテストを開催し、EVMのOpcodeを書き換える開発者を奨励しており、統合の可能性を探っている。
もう一つはハードウェアアクセラレーションである。Solanaなどの高性能パブリックチェーンがFHEコントラクトをネイティブでサポートしても、ノードが停止してしまう可能性がある。FHE専用ハードウェアとしては、Chain Reactionの3PU™(プライバシー保護処理ユニット)が代表的で、これはASIC方式である。他にもZamaやIncoがハードウェアアクセラレーションの可能性を探っており、例えばZamaの現在のTPSは約5、Incoは10程度であるが、IncoはFPGAによるアクセラレーションでTPSを100~1000程度まで引き上げられると考えている。
ただし、速度面で過度に心配する必要はない。既存のZKハードウェアアクセラレーション技術は理論上、FHE向けに改造可能である。したがって、以降の議論では速度問題を過剰に設計せず、主にユースケースの探索とEVM互換性の解決に焦点を当てる。
闇取引所の挫折、FHE × Crypto の未来は明るい
MulticoinはZamaへの出資時に「ZKPは過去のもの、未来はFHEにある」と豪語した。果たしてそれが現実になるかは分からないが、現実は厳しい。Zamaに続いて、Inco NetworkとFhenixが「fhEVMエコシステムの見えない同盟」を形成し、方向性は異なるものの、基本路線は一致している。すなわち、FHEとEVMエコシステムの融合を目指している。
早いよりもタイミングが大事。まずは冷水を浴びせよう。
2024年はFHEにとっての正念場かもしれないが、2022年にスタートしたElusivはすでにサービスを停止している。Elusivは当初Solana上の「闇取引所(ダークプール)」プロトコルとして注目されたが、現在はコードベースとドキュメントがすべて削除されている。
結局のところ、FHEはあくまで技術的要素の一部に過ぎず、MPCやZKPなど他の技術と併用される必要がある。私たちが問うべきは、FHEがブロックチェーンの現行パラダイムをどこまで変えることができるかということだ。
まず認めなければならないのは、「FHEがプライバシーを強化するから経済的価値がある」と単純に考えるのは正確ではないということだ。過去の実例から見れば、Web3やオンチェーンユーザーはそれほどプライバシーを気にしているわけではない。プライバシーが経済的価値を生む場合にのみ、ユーザーはそのツールを使う。例えば、ハッカーが盗んだ資金を隠すためにTornado Cashを使うが、一般ユーザーはUniswapを使う。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@zuoyeweb3
