FHE全同態暗号レースの深層解析:FHEは理想的なプライバシー保護技術である
TechFlow厳選深潮セレクト
FHE全同態暗号レースの深層解析:FHEは理想的なプライバシー保護技術である
大部分のFHEプロジェクトは今年から来年の第1四半期にかけて本番ネットワークへ移行する予定だ。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Maggie @ Foresight Ventures
TLDR:
-
FHE(完全準同型暗号)は、次世代のプライバシー保護技術として台頭しつつあり、注目に値する。FHEは理想的なプライバシー保護能力を備えているが、性能面ではまだ課題がある。しかし、Crypto資本の流入により、ZKがここ数年で急速に発展したように、FHEの技術的進歩と成熟も大きく加速されると我々は信じている。
-
Web3におけるFHEの用途には、取引のプライバシー保護、AIのプライバシー保護、プライバシー保護コプロセッサがある。特に「プライバシー保護EVM」に注目しており、既存のリング署名やミキシング技術、ZKよりも柔軟でEVMとの親和性が高いと考える。
-
我々は現在傑出したいくつかのFHEプロジェクトを調査した。大半のFHEプロジェクトは今年から来年の第1四半期にメインネットをリリース予定である。その中でZAMAが最も技術的に優れているが、現時点でトークン発行計画はない。他方、FhenixはZAMAに次ぐ最も優れたFHEプロジェクトだと評価している。
一、FHEは理想的なプライバシー保護技術
1.1 FHEの役割
完全準同型暗号(FHE)とは暗号化方式の一つであり、暗号文に対して任意回数の加算および乗算演算を行い、その結果も暗号文のまま得ることができる。これを復号すると、平文に対して同じ演算を行った結果と一致する。つまり、「計算可能だが可視ではない」というデータの取り扱いを実現する。
FHEは特に外部への計算委託に適している。データを外部の計算リソースに委託しても、情報漏洩を心配する必要がない。
たとえば、貴社が非常に価値あるデータを持つ企業で、クラウドサービスを使ってそのデータを処理したいが、クラウド上での情報漏洩が懸念される場合、以下のようにすればよい:
-
まず、データをFHEで暗号化し、暗号文にしてクラウドサーバーにアップロードする。例えば図中の数字「5」と「10」は「X」「YZ」という暗号文になる。
-
次に、これらの数値を足す(5+10)といった演算を行う際には、クラウド上で暗号文「X」と「YZ」に対応する特定の演算操作を行い、結果として新たな暗号文「PDQ」を得る。
-
この暗号文「PDQ」をダウンロードし、復号すると、その結果は「15」、つまり5+10の答えとなる。
平文はユーザー側でのみ扱われ、クラウド上ではすべて暗号文のまま処理されるため、情報漏洩のリスクがなくなる。このようなプライバシー保護方法は非常に理想形だと言える。
-
部分準同型暗号:実装が容易でより実用的。ただし、加算または乗算のいずれか一方のみが可能な準同型性を持つ(例:加法準同型/乗法準同型)。
-
近似準同型暗号:暗号文上で加算と乗算を同時に可能にするが、サポートできる回数に限りがある。
-
限定レベル完全準同型暗号:加算・乗算の組み合わせを自由に行えるが、関数の複雑さに上限がある。
-
完全準同型暗号(FHE):加算・乗算を無制限に繰り返せ、複雑度や回数の制限がない。
FHEはこれらの中でも最も困難かつ理想的な技術であり、「暗号学の聖杯」と呼ばれる。
1.2 歴史
FHEの歴史は長い。
-
1978年:FHEの概念が提唱された。
-
2009年(第一世代):初のFHEスキームが登場。
-
2011年(第二世代):整数に基づくFHEスキームが提案。前案よりシンプルだが、効率は向上していない。
-
2013年(第三世代):GSWと呼ばれる新しいFHE構築技術が登場。効率と安全性が向上。これによりFHEWやTFHEが開発され、さらなる性能改善が進んだ。
-
2016年(第四世代):近似準同型暗号CKKSが提案。多項式近似の評価に最も効果的で、特にプライバシー保護機械学習に適している。
現在主流の準同型暗号ライブラリは主に第三代と第四代のアルゴリズムを採用している。今後、アルゴリズム革新、工学的最適化、ブロックチェーン向け改良、ハードウェアアクセラレーションなどが、資本の流入とともに進むだろう。
1.3 現在の性能と実用性
代表的な準同型暗号ライブラリ:
ZAMA TFHEの性能:
例えば、ZAMAのTFHEでは256ビットの加減算に約200msかかる。一方、平文計算は数十〜数百ナノ秒程度なので、FHEはおよそ10^6倍遅い。一部最適化された操作では約1000倍程度の差。もちろん、暗号文計算と平文計算を単純に比較するのは公平ではない。しかし、完全準同型という理想のプライバシー保護にはそれなりのコストが伴う。
ZAMAはFHE専用ハードウェアの開発を通じて、さらなる性能向上を目指している。
1.4 FHE+Web3における研究テーマ
Web3は分散型であるため、FHEとの統合には多くの技術的研究課題がある。
-
革新的なFHEスキーム、コンパイラ、ライブラリ:FHEをより使いやすく、高速化し、ブロックチェーンに適した形にする。
-
FHEハードウェア:計算性能の向上。
-
FHE+ZKP:FHEによるプライバシー計算と並行して、ZKで入出力が条件を満たしていること、あるいはFHEが正しく実行されたことを証明。
-
計算ノードの悪意防止:EigenLayerのrestakingなどを活用。
-
MPCによる復号スキーム:共有状態が暗号化されている場合、鍵は通常MPCで分割管理されるため、安全かつ高性能な閾値復号プロトコルが必要。
-
データストレージDA層:より高スループットのDA層が必要。現行のCelestiaでは要件を満たせない。
まとめると、FHEは次世代のプライバシー保護技術として台頭するだろう。理想的なプライバシー保護能力を持つが、性能面でのギャップはある。しかし、Crypto資本の流入により、ZKの飛躍的発展のように技術の進化と成熟が促進されると我々は確信している。FHEは今後注目すべき分野である。
二、FHEはWeb3におけるさまざまなプライバシー保護用途に使えるが、個人的にはプライバシーEVMが最も有望
FHEは「取引のプライバシー保護」「AIのプライバシー保護」「プライバシー保護コプロセッサ」という3つの領域に分けられる。
-
取引のプライバシー保護には、Defi、投票、入札、MEV防止なども含まれる。
-
AIのプライバシー保護には、分散型IDや他のAIモデル・データのプライバシー保護も含まれる。
-
プライバシー保護コプロセッサは、FHE演算をオフチェーンで行い、結果をオンチェーンに戻す仕組み。Trustlessゲームなどに応用可能。
当然ながら、プライバシー保護技術には複数の選択肢がある。以下を比較すれば、FHEの特異性がわかる。
-
TEEは高速だが、信頼できるハードウェア内ではデータが平文で扱われる。そのため速度は速いが、製造元のハードウェアに依存するという点で中央集権的な信頼モデルになり、ブロックチェーンのオンチェーン検証に不向き。オンチェーン検証は外部機関に依存せず、ブロックチェーンの履歴だけで完結すべきだからだ。
-
MPC(安全なマルチパーティ計算)はプライバシー保護のための多人数計算技術だが、参加者が同時オンラインで頻繁にやり取りする必要があり、非同期なブロックチェーン環境には不適。MPCは主に分散型秘密鍵管理に使われ、MPCウォレットでは鍵がどこにも完全形で保存されず、署名時のみ複数の断片が協働して署名を生成する。
-
ZK(ゼーローナレッジプロトコル)は計算の正当性証明に使われ、プライバシー保護自体にはあまり使われない。ただし、ZKと準同型技術は密接に関連しており、ZKのプライバシー部分には準同型技術が使われている。
-
FHEは暗号文の処理中にデータ交換を必要とせず、サーバーやノード上で完結する。MPCのような同時接続の必要がなく、ブロックチェーンに適している。また、TEEとは異なり信頼不要(trustless)である。唯一の欠点は性能の低さ。
したがって、FHEの性能が徐々に改善されれば、Web3におけるプライバシー保護として最も適している。
さらに、取引のプライバシー保護において、FHEはEVMとの親和性が高い。理由は以下の通り:
-
リング署名やミキシング技術は、スマートコントラクトをサポートできない。
-
AleoなどのZKベースのプライバシー項目はUTXOモデルに近く、EVMのアカウントモデルとは相性が悪い。
-
FHEはコントラクトとアカウントモデルの両方をサポートでき、EVMに簡単に統合できる。
比較すると、FHEベースのプライバシーEVMは非常に魅力的である。
AIの計算自体がすでに高負荷であり、そこにFHEのような高度な暗号化を追加すると、現時点では性能不足・コスト過高の問題がある。AIのプライバシー保護は最終的に、TEE/MPC/ZK/部分準同型を組み合わせたハイブリッド方式になるだろう。
総括すると、FHEはWeb3で取引のプライバシー保護、AIのプライバシー保護、プライバシー保護コプロセッサに応用できる。特にプライバシー保護EVMに注目しており、既存のリング署名、ミキシング技術、ZKよりも柔軟でEVMとの親和性が高い。
三、FHEプロジェクトの大半は今年から来年第1四半期にメインネットをリリース。ZAMAに次ぐ最優秀プロジェクトはFhenixだと考える
我々は現在市場で注目されるFHEプロジェクトを調査した。概要は以下の通り。
3.1 ZAMA(ツール)
-
ストーリー:ブロックチェーンとAI向けのFHE提供
-
ツール:TFHE-rs(TFHEのRust実装)
-
ツール:Concrete(TFHEのコンパイラ)
-
製品:Concrete ML(プライバシー保護機械学習)
-
製品:fhEVM(プライバシー保護スマートコントラクト)
-
チーム:CTO Pascal Paillier氏、著名な暗号学者
-
CTO兼共同設立者:Pascal Paillier。1999年にTelecom ParisTechでPh.D.取得。同年にPaillier暗号方式を発明。2013年からFHE関連論文を発表し、完全準同型分野のトップランナーの一人。
-
CEO兼共同設立者:Rand Hindi。UCLでバイオインフォマティクスPh.D.(2011年)。データサイエンス系プロジェクト経験あり。ZAMA運営と並行して複数プロジェクトのアドバイザーも務める。
-
資金調達:4年間で累計8200万ドル以上調達。最近のシリーズAで7300万ドル(Multicoin CapitalとProtocol Labsが主導)。
-
2023年9月26日:シードラウンドで700万ドル(Multicoin Capital主導、Node Capital、Bankless Ventures、Robot Ventures、Tane Labs、HackVC、Metaplanetなど参画)。
3.2 Fhenix(EVM+AI)
-
ストーリー:FHEコプロセッサ/L2 FHE Rollup(EVM互換プライバシーL2)
-
製品:FHE対応Rollup。EVM互換の秘匿スマートコントラクト。SolidityでDappを開発しながらデータプライバシーを確保。
-
製品:FHEコプロセッサ。ホストチェーン(イーサリアム、L2、L3を問わず)から計算タスクをオフチェーンにオフロード。FHE操作の効率を大幅に向上。
-
提携:ZAMAと協業。ZAMAのfhEVMを使用(GitHubでZAMAのライブラリをフォーク)。
-
提携:EigenLayerと協業。RollupノードはEigenLayer上で再ステーキングを行う必要がある。
-
チーム:Guy Itzhaki氏。Intelで7年以上勤務し、同社の準同型暗号とブロックチェーン事業開発ディレクターを務めた。
-
設立者:Guy Zyskind。MIT Ph.D. Candidate。2016年にMIT修士号取得。MIT Enigmaプライバシープロトコルの開発に参加し、強力な研究開発能力を持つ。
-
CEO:Guy Itzhaki。Intelで7年間の経験を持ち、準同型暗号とブロックチェーンの事業開発ディレクターを務めた。
-
Prof. Chris Peikert:完全準同型暗号の権威。Algorandの暗号技術リーダー。
-
資金調達:1年間。直近のシリーズAで1500万ドル調達(Hack VC主導、Foresight Venturesほか参画)。
-
2024年5月:シリーズAで1500万ドル(Hack VC主導、Foresight Venturesほか参画)。
-
2023年9月26日:シードラウンドで700万ドル(Multicoin Capital主導、Node Capital、Bankless Ventures、Robot Ventures、Tane Labs、HackVC、Metaplanetなど参画)。
-
ロードマップ:2024年第2四半期にテストネット、2025年第1四半期にメインネット。
-
2024年第2四半期:閾値ネットワークをリリース。
-
2024年第3四半期:FHEコプロセッサV0。
-
2025年第1四半期:メインネット。
-
2025年第3四半期:FHEコプロセッサV1。
3.3 Inco(EVM)
-
ストーリー:モジュール型プライバシー計算レイヤー/EVMチェーン対応
-
製品:FHE対応Rollup。EVM互換の秘匿スマートコントラクト。SolidityでDappを開発しながらデータプライバシーを確保。
-
提携:ZAMAと協業。ZAMAのfhEVMを使用。
-
設立者:Remi Ga。マイクロソフトとグーグルで短期間のソフトウェアエンジニア経験。その後Parallel FinanceのDeFiプロジェクトに従事。
-
設立者:Remi Gai。2022年以前にマイクロソフトとグーグルでそれぞれ6〜9ヶ月のソフトウェアエンジニア経験。その後Parallel FinanceのDeFiプロジェクトに従事。
-
テックリード:Amaury A。Cosmosのコア開発者。
-
資金調達:最新のシードラウンドで450万ドル(1kx主導)。
-
2024年2月:Inco Networkが450万ドルのシード資金調達(1kx主導、Circle Ventures、Robot Ventures、Portal VC、Alliance DAO、Big Brain Holdings、Symbolic、GSR、Polygon Ventures、Daedalus、Matter Labs、Fenbushiなど参画)。
-
進捗:2024年3月にテストネット、2024年第4四半期にメインネット予定。
-
2024年3月:fhEVMを含むテストネットをリリース。現在はプライバシーERC-20、プライバシー投票、ブラインドオークション、プライバシーDIDのデモを提供。
-
2024年第2〜3四半期:fhEVMを含むテストネットを展開。
-
2024年第4四半期:メインネットリリース。
-
2025年:FPGAハードウェアアクセラレーションを計画。TPSを100〜1000まで向上させる予定。
3.4 Mind Network(AI&DePIN)
-
ストーリー:データのプライバシー保護とプライバシー計算。AIおよびDePINのデータとモデル。
-
製品:2023年はプライバシー・データレイク(プライバシー保護されたデータの保管と計算)を主眼に。2024年からはAIおよびDePINのデータ・モデルのプライバシー保護に焦点を移した。
-
提携:ZAMAと協業。ZAMAのFHEライブラリを使用。
-
提携:Fhenix、Incoと協業。fhEVMを使用してRollupを構築。
-
提携:Arweaveと協業。暗号化データの保管に利用。
-
提携:EigenLayer、Babylonなどと協業。サービスノードのrestakingを実施(参考:https://mindnetwork.medium.com/fhe-secured-restaking-layer-scaling-security-for-ai-depin-networks-73d5c6e5dda3)。
-
チーム:CTO George氏。ケンブリッジ大学研究員出身。
-
共同設立者兼CTO:George。ケンブリッジ大学研究員出身。国際銀行の技術責任者経験もあり、フィンテック分野で長年活躍。
-
資金調達:2年間。シードで250万ドル調達。Binance Labsが育成。
-
2023年6月20日:シードラウンドで250万ドル(Binance Labs主導、HashKey、SevenXなど参画)。
-
ロードマップ:テストネットは既にリリース済み。Restake機能あり。その他のロードマップは未公開。
3.5 Privasea(AI&DePIN)
-
ストーリー:AIおよびDePINのプライバシー計算。
-
製品:FHEを用いたMLモデルの訓練。TFHEのブールゲートを最適化。
-
製品:FaceID。プライバシー保護型顔認証。シビル攻撃防止やKYCに使用。
-
提携:BNB Greenfieldに統合し、暗号化データを保管。
-
チーム:CTO Zhuan Cheng氏。シカゴ大学数学Ph.D。暗号技術開発に豊富な経験。
-
CEO:David Jiao。AIプロジェクトで2000万ドル、ブロックチェーンプロジェクトで400万ドルを調達経験。
-
CTO Zhuan Cheng。シカゴ大学数学Ph.D。暗号技術開発に豊富な経験。以前はNuLinkのZKプライバシー保護プロジェクトに従事。
-
資金調達:1年間。シードで500万ドル調達。Binance Labsが育成。
-
2024年3月:シードラウンドで500万ドル(Binance Labs育成、MH Ventures、K300、Gate Labs、1NVSTなど参画)。
-
ロードマップ:2024年4月にテストネットV2、2024年第3四半期にメインネット。
-
2024年1月:Testnet V1。
-
2024年4月:Testnet V2。
-
2024年第3四半期:TGE。
3.6 Optalysys(ツール)
ストーリー:準同型暗号ハードウェア。
上記情報から、ZAMAはFHEの主要なオープンソースライブラリを提供しており、現時点で技術的に圧倒的に先行している。しかし、現時点でトークン発行の計画はない。そのため、我々はFhenixに注目している。
Fhenixはプライバシー保護EVMを実現し、プライバシー保護スマートコントラクトを可能にする。Fhenix L2を構築する予定であり、これは完全準同型暗号を用いたEVMで、プライバシー保護取引やDeFiなどを提供する。このL2は、復号操作用の閾値ネットワークを備え、さらにFHEコプロセッサも構築。これは完全準同型計算ネットワークであり、Fhenix以外のEVMチェーンにも計算サービスを提供できる。
Fhenixのチームは技術力が高く、Intelでプライバシー計算を担当した専門家、MIT Enigmaプロジェクトに参加したPh.D.、Algorandの暗号技術リーダーらが在籍している。
総じて、ZAMAやFhenixといった完全準同型暗号プロジェクトが、ブロックチェーンに理想的なプライバシー保護ツールをもたらすと我々は信じている。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Foresight Ventures
