ゼロ知識証明 (ZKP) は、Web3 のスケーラビリティとプライバシーを向上させるのに明らかに役立ちますが、暗号化されていないデータの処理をサードパーティに依存することで妨げられます。

完全準同型暗号化 (FHE) は、サードパーティの信頼要件なしで同時共有と個別のプライベート状態を可能にする画期的な技術をもたらします。

FHE は暗号化されたデータに対して直接計算を実行できるため、グローバルな状態情報が決して漏洩しない、ダーク プール AMM やプライベート レンディング プールなどのアプリケーションが可能になります。

利点には、暗号化されたデータでのトラストレスな操作と許可のないオンチェーン状態遷移が含まれますが、課題は計算遅延と整合性を中心としています。

新興の FHE 暗号通貨分野の主要プレーヤーは、プライベート スマート コントラクトとスケーリングのための専用ハードウェア アクセラレーションの開発に重点を置いています。

将来の FHE 暗号アーキテクチャには、FHE ロールアップをイーサリアムに直接統合する可能性が含まれています。

「イーサリアムのエコシステムに残された最大の課題の 1 つはプライバシーです (…) イーサリアム アプリケーションのスイート全体を使用するには、あなたの生活の大部分を誰でも見て分析できるように公開する必要があります。」 — Vitalik

ゼロ知識証明 (ZKP) は、少なくとも過去 1 年間、暗号化コミュニティの人気を集めてきましたが、限界があります。これらは、プライバシー、漏洩することなく情報の知識を証明すること、および特に zk-rollup におけるスケーラビリティにとって価値がありますが、現在、少なくともいくつかの大きな制限に直面しています。

(1) 隠された情報は多くの場合、信頼できるサードパーティによってオフチェーンで保存および計算され、これらのオフチェーン データにアクセスする必要がある他のアプリケーションの許可のない構成が制限されます。この種のサーバー側の証明は、Web2 クラウド コンピューティングのようなシステムに似ています。

(2) 状態遷移はクリア テキストで実行する必要があります。つまり、ユーザーは暗号化されていないデータを持つサードパーティの証明者を信頼する必要があります。

(3) ZKP は、ローカルのプライベート状態に関する証明を生成するために共有プライベート状態の知識を必要とするアプリケーションには適していません。

ただし、複数人のユースケース (ダーク プール AMM、プライベート レンディング プールなど) では、オンチェーンでプライベート状態を共有する必要があります。つまり、ZK を使用するには、共有プライベート状態を実装するためにある種の集中/オフチェーン コーディネーターが必要となり、煩雑になります。そして信頼の仮定を導入します。

完全準同型暗号化を入力してください

完全準同型暗号化 (FHE) は、事前に復号化せずにデータに対して計算を実行できるようにする暗号化スキームです。これにより、ユーザーは平文を暗号文に暗号化し、それを復号化せずに処理するためにサードパーティに送信できます。

それはどういう意味ですか？エンドツーエンドの暗号化。 FHE を使用すると、プライベート状態を共有できます。

たとえば、AMM では、分散型マーケット メーカー アカウントはあらゆる取引とやり取りしますが、個々のユーザーが所有するものではありません。誰かがトークン A をトークン B に交換するとき、交換の詳細の有効な証拠を生成するには、共有マーケット メーカー アカウント内の両方のトークンの既存の金額を知っている必要があります。ただし、グローバル状態が ZKP スキームによって隠蔽されている場合、この証明を生成することは不可能になります。対照的に、グローバルな状態情報が公的にアクセス可能である場合、他のユーザーは個々の交換に関する詳細を推測できます。

FHE を使用すると、データを暗号化することで計算的に証明できるため、共有状態と個人状態を隠すことが理論的には可能です。

FHE に加えて、プライバシーの聖杯を達成するためのもう 1 つの重要なテクノロジは、マルチパーティ計算 (MPC) です。これは、プライベート入力に対して計算を実行し、入力の機密性を維持しながらこれらの計算の結果のみを公開するという問題を解決します。ただし、それは別の議論に譲ります。ここでの焦点は FHE、つまりその長所と短所、現在の市場と使用例にあります。

FHE はまだ開発の初期段階にあり、これは FHE 対 ZKP、または FHE 対 MPC の種族主義の問題ではなく、現在利用可能なテクノロジーと組み合わせることで解放される追加機能の問題であることは注目に値します。たとえば、プライバシーを重視したブロックチェーンでは、FHE を使用して機密スマート コントラクトを有効にし、MPC を使用して復号キーのシャードをバリデータ間で配布し、ZKP を使用して FHE 計算の整合性を検証できます。

FHE はまだ開発の初期段階にあり、これは FHE 対 ZKP、または FHE 対 MPC の種族主義の問題ではなく、現在利用可能なテクノロジーと組み合わせることで解放される追加機能の問題であることは注目に値します。たとえば、プライバシーを重視したブロックチェーンでは、FHE を使用して機密スマート コントラクトを有効にし、MPC を使用して復号キーのシャードをバリデータ間で配布し、ZKP を使用して FHE 計算の整合性を検証できます。

長所と短所

現時点で: FHE の利点は次のとおりです。

1. 第三者の信頼要件はありません。信頼できない環境でもデータの安全性とプライバシーを維持できます。

2. プライベート状態の共有による構成可能性。

3. データのプライバシーを維持しながらのデータの可用性。

4. (リング) LWE の量子抵抗。

5. 許可なく暗号化されたデータに対してオンチェーン状態遷移を実行する機能。

6. Intel SGX のようなサイドチャネル攻撃に対して脆弱なハードウェアや集中サプライ チェーンは必要ありません。

7. 完全準同型 EVM (fhEVM) のコンテキストでは、数学的乗算 (マルチスカラー乗算など) を繰り返し実行したり、不慣れな ZK ツールを使用したりすることを学ぶ必要はありません。

欠点としては次のようなものがあります。

潜んでいる。計算集約的であるということは、ほとんどのスキームが現在、計算集約的アプリケーションとして商業的に実行可能ではないことを意味します。ハードウェア アクセラレーションが活発に開発されており、現時点で座間市の fhEVM は月額約 2000 ドルのハードウェアで既に約 2 TPS を達成できることを考えると、これが短期的なボトルネックであることは注目に値します。

精度の問題。 FHE スキームでは、無効または破損した暗号文を防ぐためにノイズ管理が必要です。ただし、TFHE は近似を必要としないため、より正確です (一部の演算の CKKS とは異なります)。

早い。 Web3 領域で開始された実稼働準備が整った FHE プロジェクトはほとんどないため、多くの戦闘テストが必要になります。

市場概況

現在の FHE x 暗号通貨の状況

強調する

Zama は、暗号化および非暗号化のユースケース向けに、さまざまなオープンソース FHE ツールを提供しています。その fhEVM ライブラリはプライベート スマート コントラクトをサポートし、オンチェーンの機密性と構成可能性を保証します。

Fhenix は、Zama の fhEVM ライブラリを活用して、エンドツーエンドの暗号化集約を実装します。彼らの目標は、既存のコントラクトへの変更を最小限に抑えて、FHE を EVM スマート コントラクトに統合するプロセスを簡素化することです。創設チームは、Secret Network の創設者と Intel の FHE bizdev の元責任者で構成されています。 Fhenix は最近、シード資金として 700 万ドルを調達しました。

Inco NetworkはEVMに対応したFHE駆動のL1で、座間のfhEVM暗号化技術を統合することで、暗号化データの計算をスマートコントラクトに導入しています。創設者の Remi Gai は、Parallel Finance の創設メンバーの 1 人であり、数人の Cosmos エンジニアと協力してこのビジョンを実現しました。

ハードウェア。一部の企業は、遅延の問題に対処するためにハードウェア アクセラレーションを構築しています。特に、インテル、コルナミ、ファブリック、オプタアナリシス、ルーヴェン大学、ニオブ、チェーン・リアクション、および一部の ZK ASIC/FPGA チームです。この開発の急増は、約 3 年前に DARPA が ASIC ベースの FHE 加速補助金を獲得したことによって促進されました。ただし、この特殊なハードウェア アクセラレーションは、GPU が 20 TPS 以上に達する可能性がある一部のブロックチェーン アプリケーションでは必要ない場合があります。 FHE ASIC は、バリデーターの運用コストを大幅に削減しながら、パフォーマンスを 100+ TPS に向上させることができます。

注目すべき言及。 Google、Intel、OpenFHE はいずれも、暗号化分野ではそれほど具体的ではありませんが、FHE の全体的な進歩に多大な貢献をしてきました。

例

主な利点は、共有プライベート状態と個別プライベート状態の実現です。それはどういう意味ですか？

プライベート スマート コントラクト: 従来のブロックチェーン アーキテクチャでは、ユーザー データが Web3 アプリケーションに公開されます。各ユーザーの資産とトランザクションは、他のすべてのユーザーに表示されます。これは信頼性と監査可能性の観点からは優れていますが、企業の導入に対する大きな障壁でもあります。多くの企業は、この情報を公開することに消極的であるか、単純に拒否しています。 FHE はそれを変えます。

エンドツーエンドの暗号化トランザクションに加えて、FHE は暗号化メモリ プール、暗号化ブロック、機密状態遷移もサポートします。

これにより、さまざまな新しいユースケースが可能になります。

DeFi: ダーク プール、暗号化されたメモリ プール、追跡不可能なウォレット、機密支払い (オンチェーン組織の従業員の給与など) を通じて悪意のある MEV を排除します。

ゲーム: 秘密同盟、資源隠蔽、破壊、スパイ活動、ブラフなど、さまざまな新しいゲーム メカニクスをサポートする暗号状態マルチプレイヤー戦略ゲーム。

DAO: プライベート投票。

DID: クレジット スコアとその他の識別子をチェーン上で暗号化します。

データ: 準拠したオンチェーンデータ管理。

では、FHE 暗号化アーキテクチャの将来はどのようなものになるのでしょうか?

詳細について説明する必要がある 3 つのコア コンポーネントがあります。

レイヤー 1: このレイヤーは、開発者が (a) ネットワーク上でアプリケーションをネイティブに起動する、または (b) イーサリアム メインネットとその L2/サイドチェーンを含む既存のイーサリアム エコシステム (入出力モデル) とインターフェイスするための基盤です。

ここでは L1 の柔軟性が鍵となります。L1 は、FHE 機能を備えたネイティブ プラットフォームを求める新しいプロジェクトに対応しながら、現在のチェーンに留まりたい既存のアプリケーションにも対応できるからです。

アグリゲーション/アプリケーション チェーン: アプリケーションは、これらの FHE 対応 L1 上で独自のアグリゲーションまたはアプリケーション チェーンを開始できます。この目的を達成するために、ザマ社は、プライバシー重視のソリューションを拡張するために、fhEVM L1 のオプティミスティック スタックと ZK FHE ロールアップ スタックに取り組んでいます。

イーサリアム上の FHE ロールアップ: イーサリアム自体で FHE ロールアップを開始すると、イーサリアム上のネイティブ プライバシーを大幅に強化できますが、いくつかの技術的な課題に直面します。

データ ストレージ コスト: 平文エントリが小さい場合でも、FHE 暗号文データは非常に大きくなります (それぞれ 8+ kb)。データ可用性 (DA) の目的でこのような大量のデータをイーサリアムに保存すると、ガス料金の点で非常に高価になります。

シーケンサの集中化: 集中化されたシーケンサによるトランザクションの順序付けとグローバル FHE キーの制御は、プライバシーとセキュリティの大きな問題であり、そもそも fhEVM の目的を無効にします。 MPC はグローバル FHE キーを分散制御するための潜在的なソリューションですが、計算を実行するためにマルチパーティ ネットワークを維持すると運用コストが増加し、潜在的な非効率につながります。

シーケンサの集中化: 集中化されたシーケンサによるトランザクションの順序付けとグローバル FHE キーの制御は、プライバシーとセキュリティの大きな問題であり、そもそも fhEVM の目的を無効にします。 MPC はグローバル FHE キーを分散制御するための潜在的なソリューションですが、計算を実行するためにマルチパーティ ネットワークを維持すると運用コストが増加し、潜在的な非効率につながります。

有効な ZKP の生成: FHE 操作用の ZKP の生成は、まだ開発中の複雑なタスクです。サンスクリーンのような企業は進歩を続けていますが、この技術が商業的に広く利用可能になるまでには数年かかる可能性があります。

EVM の統合: FHE 操作はプリコンパイルとして EVM に組み込む必要があるため、計算オーバーヘッドやセキュリティ上の懸念を含む複数の問題を伴うネットワーク全体のアップグレードについてのコンセンサス投票が必要になります。

バリデーターのハードウェア要件: Ethereum バリデーターでは、FHE ライブラリを実行するためにアップグレードされたハードウェアが必要であり、集中化とコストに関する懸念が生じます。

FHE は、最初はモバイル性の低い環境や、プライバシーが重要な特定の領域でそのニッチを見つけることになると予想しています。最終的には、スループットが増加するにつれて、FHE L1 でより深い流動性が利用可能になる可能性があります。長期的には、上記の問題が解決されれば、メインネットの流動性とユーザーをよりスムーズに活用できるイーサリアム上での FHE ロールアップが実現するかもしれません。現在の課題は、FHE のキラー ユースケースを見つけて、コンプライアンスを維持し、本番環境に対応したテクノロジーを市場に投入することです。

それまでの間、自分の手を汚したい、または賞金稼ぎでお金を稼ぎたい開発者は、Fherma の FHE チャレンジに挑戦して、4 桁の賞金をいくつか獲得することができます。