Gate Ventures Research: ハリー・ポッターの透明マントを身にまとうFHE

FHEとは何ですか

FHEプロセス、出典:Data Privacy Made Easy

FHE（Fully homomorphic encryption）は先進的な暗号化技術であり、暗号化されたデータ上で直接的な計算をサポートすることができます。これは、データを処理する際にプライバシーを保護しながら行うことができることを意味します。FHEには多くの実装可能なシーンがありますが、特にプライバシー保護されたデータ処理と分析の領域で、金融、医療、クラウドコンピューティング、機械学習、投票システム、モノのインターネット、ブロックチェーンプライバシー保護などが挙げられます。ただし、商業化にはまだ時間がかかる可能性があり、主な問題はそのアルゴリズムによって引き起こされる計算とメモリの膨大なコスト、および拡張性の低さです。次に、私たちはこのアルゴリズムの基本原理を簡単に説明し、この暗号アルゴリズムが直面する問題に焦点を当てていきます。

根拠

準同型暗号の図

まず、私たちは暗号化されたデータを計算し、同じ結果を得る必要があります。これは上の図に示されています。これが私たちの基本的な目標です。暗号学では、通常、多項式を使用して元の情報を隠します。なぜなら、多項式は線形代数の問題に変換でき、またベクトルの計算問題にも変換できるためです。これにより、ベクトルを高度に最適化された現代コンピュータで処理しやすくなります（たとえば、並列計算）。たとえば、3 x 2 + 2 x + 1 はベクトル [ 1, 2, 3 ] として表すことができます。

仮に2を暗号化する必要がある場合、簡単化されたHEシステム内では、おそらく以下のようになるでしょう：

• 秘密鍵多項式を選択します。たとえば、s(x) = 3 x 2 + 2 x + 1
• ランダムな多項式を生成します。たとえば、a(x) = 2 x 2 + 5 x + 3
• 小さな「エラー」多項式を生成します、例えばe(x) = -1 x + 2
• 暗号化 2 -> c(x) = 2 + a(x)*s(x) + e(x)

なぜこれを行う必要があるのか説明します。暗号文 c(x) が与えられたと仮定すると、平文 m を得るための式は c(x) - e(x) - a(x)*s(x) = 2 です。ここで、ランダムな多項式 a(x) は公開されていると仮定しますが、秘密鍵 s(x) が秘密に保たれている限り、私たちは s(x) を知っていれば、c(x) を非常に小さな誤差として無視することができるため、理論的には平文 m を得ることができます。

ここで最初の問題がありますが、多項式が多すぎるとどのようにして選択しますか？多項式の次数はどの程度が最適ですか？実際、多項式の次数はHEのアルゴリズムによって決定されます。通常、2の累乗であり、1024/2048などです。多項式の係数は、有限体qからランダムに選択されます。たとえば、mod 10000の場合、0〜9999からランダムに選択されます。係数をランダムに選択するための多くのアルゴリズムがあり、均等分布、離散ガウス分布などが従われます。さまざまなプランには、異なる係数選択要件がありますが、通常、そのプランでの高速解決原則を満たすためです。

第二の問題は、ノイズとは何ですか？ノイズは攻撃者を惑わすために使用されます。なぜなら、すべての数字が s(x) で採用され、ランダム多項式が領域にある場合、一定の規則が存在するからです。十分な回数の平文 m を入力すると、出力の c(x) に基づいてこれらの s(x) と c(x) の情報を判断できます。ノイズ e(x) を導入すると、単純な繰り返し列挙では s(x) と c(x) を得ることができないことが保証されます。なぜなら、完全にランダムな小さな誤差が存在するからです。このパラメータはノイズ予算とも呼ばれます。q = 2 ^ 32 を仮定すると、初期ノイズはおおよそ 2 ^ 3 です。いくつかの操作を経て、ノイズはおおよそ 2 ^ 20 に上昇する可能性があります。この時点でまだ十分な空間があるため復号化が可能です。なぜなら、2 ^ 20 << 2 ^ 32 だからです。

多項式を取得した後、c(x) * d(x)の操作を「回路」に変換する必要があります。これはZKPでも頻繁に使用されるもので、回路という抽象的な概念は任意の計算を表すための汎用の計算モデルを提供し、回路モデルは導入されるノイズの各操作を正確に追跡および管理することができ、またASIC、FPGAなどの専門ハードウェアに後続して導入することも容易で、SIMDモデルのような高速計算が可能です。すべての複雑な操作は、加算と乗算などの単純なモジュール化された回路要素にマッピングすることができます。

演算回路表現

加法と乗法によって減法や除法を表すことができるため、任意の計算を行うことができます。多項式の係数は2進数で表され、回路の入力と呼ばれます。各回路のノードは加法または乗法の実行を表します。(*)は乗算ゲートを、(+)は加算ゲートを表します。これがアルゴリズム回路です。

ここで、1つの問題が浮かび上がります。意味情報が漏れないようにするために、e(x)というノイズが導入されます。私たちの計算では、加算によって2つのe(x)多項式が同次の多項式になります。乗算では、2つのノイズ多項式の積によって、e(x)の次数とテキストのサイズが指数的に増加します。ノイズが大きすぎると、結果の計算中にノイズを無視できなくなり、元の文mを復元できなくなります。これはHEアルゴリズムで任意の計算を表現することの主な制約です。ノイズが指数関数的に上昇し、すぐに使用不能な閾値に達するからです。回路では、これは回路のデプスと呼ばれ、乗算の回数、つまり回路のデプスの値です。

同型暗号化 HE の基本原理は上図に示すように、同型暗号化のノイズ問題を解決するために、複数の解決策が提案されました：

ここでは、LHEはアルゴリズムに非常に適しているため、このアルゴリズムでは、デプスが確定されれば、デプス内で任意の関数を実行することができますが、PHEおよびSHEではチューリング完全を実現することはできません。そのため、暗号学者はこれを基に研究を行い、FHE完全同型暗号化を構築するための3つの技術を提案し、無限のデプスで任意の関数を実行するビジョンを実現しようとしています。

• キースイッチング（暗号文の切り替え）：乗算後、暗号文のサイズは指数関数的に増加し、後続の操作には大量のメモリと計算リソースが必要です。そのため、キースイッチングを実施することで暗号文を圧縮することができますが、少しのノイズが導入されます。
• モジュラス切り替え：乗算またはキースイッチングのいずれかによって、ノイズが指数関数的に増加するため、モジュロ q は Mod 10000 として前述したものであり、[0、9999] の間のパラメーターしか取得できません。qが大きいほど、ノイズが複数回の計算を経て最終的にまだq内にある場合、復号化できます。したがって、複数の操作後、ノイズ指数が閾値を超えて指数関数的に増加しないようにするには、モジュラス切り替えを使用してノイズ予算を減らす必要があります。これにより、ノイズを低減できます。ここで基本的な原則を得ることができます。計算が非常に複雑であり、回路の深さが大きい場合、より大きなモジュロqのノイズ予算が必要であり、指数関数的に上昇した後の利用可能性を収容する必要があります。
• Bootstrap: 無限のデプス計算を実現するには、Modulusは上昇ノイズを制限するしかなく、切り替えるたびにqの範囲が狭くなるため、縮小すると計算の複雑さが上昇することを意味します。ブートストラップは、ノイズを縮小するのではなく、ノイズを初期レベルにリセットするリフレッシュ技術であり、モジュラスを縮小する必要がないため、システムの計算能力を維持できます。ただし、大量のコンピューティングパワーを消費するという欠点があります。

一般に、有限ステップでの計算の場合、モジュラススイッチングを使用するとノイズを低減できますが、同時にモジュラス、つまりノイズバジェットも減少し、計算能力が圧縮されます。 したがって、これはステップ数が限られている計算の場合のみです。 Bootstrapの場合、ノイズリセットが実現できるので、LHEアルゴリズムの上に、本当の意味でのFHE、つまり任意の関数の無限計算を実現でき、これもFHEFullyの意味です。

しかし、欠点も明らかで、多大なコンピューティングパワーのリソースを消費する必要があるため、通常、これら2つのノイズ低減技術を組み合わせて使用します。Modulus switchingは日常的なノイズ管理に使用され、レイテンシーにはブートストラップ時間が必要です。Modulus switchingでノイズを効果的に制御できなくなった場合にのみ、より高い計算コストを必要とするbootstrapを使用します。

現在、FHEのソリューションには、以下の具体的な実装があり、すべてブートストラップのコア技術を使用しています。

ここでも、私たちがまだ話していない回路タイプが導入されます。上記では、主に算術回路について説明しました。しかし、別の回路タイプもあります - ブール回路です。算術回路は1+1のような抽象的なものですが、ノードも加算または除算です。一方、ブール回路ではすべての数字が01に変換され、すべてのノードがブール演算であり、NOT、OR、AND演算などが含まれます。これは私たちのコンピュータの回路実装に似ています。算術回路はさらに抽象的な回路です。

したがって、私たちはブール演算を非常に粗く、データがそれほど密集していない柔軟な処理と見なすことができ、算術演算はデータ密集型のアプリケーションに対するソリューションであると言えます。

FHEが抱える問題

私たちの計算は暗号化され回路に変換する必要があるため、単純な計算である 2+4 を行うだけではなく、暗号化後には多数の暗号技術による間接的な計算プロセス、Bootstrapのような最先端技術によるノイズ問題の解決が導入され、その結果、普通の計算と比較して計算コストがN倍に増加しています。

これらの追加の暗号化プロセスが計算リソースに与える影響を読者に感じさせるために、現実世界の例を使います。通常の計算では、3 GHzのプロセッサで200クロックサイクルが必要です。したがって、通常のAES-128の復号には約67ナノ秒かかります（200 / 3 GHz）。一方、FHEバージョンでは35秒かかります。つまり、通常のバージョンの約522,388,060倍です（35 / 67 e-9）。つまり、同じ計算リソースを使用して、通常のアルゴリズムとFHEアルゴリズムは約5億倍の計算リソースを必要とします。

DARPA dpriviveプログラム、写真:DARPA

アメリカの DARPA はデータセキュリティのために、2021 年に Dprive プログラムを専門に構築し、マイクロソフト、Intel などの複数の研究チームを招待しました。彼らの目標は、FHE アクセラレータおよびそれに付随するソフトウェアスタックを作成し、FHE 計算速度を非暗号化データの類似操作により適合させることで、FHE 計算速度を通常の計算の約 1/10 にすることです。DARPA プロジェクトマネージャーのトム・ロンドーは、「FHE の世界では、計算速度が純テキストの世界よりも約 1,000,000 倍遅いと推定されます。」と述べています。

そして、Dpriveは主に以下の点に着目しています。

• プロセッサのワードサイズを増やす：現代のコンピュータシステムは 64 ビットのワードサイズを使用しています。つまり、1 つの数字の最大ビット数は 64 ビットですが、実際の q はしばしば 1024 ビットです。したがって、より大きな q を実現するには、私たちの q を分割する必要があります。これによりメモリリソースと速度に損失が生じます。そのため、より大きな q を実現するには、1024 ビットまたはそれ以上のワードサイズのプロセッサを構築する必要があります。有限体 q は非常に重要です。前述のとおり、q が大きいほど、計算可能なステップが多くなります。ブートストラップの操作に対してできるだけ遅く実行することができるため、全体としての計算リソース消費が減少します。q は FHE において中心的な役割を果たし、ほぼすべての側面に影響を与えます。これにはセキュリティ、パフォーマンス、実行可能な計算量、および必要なメモリリソースが含まれます。
• ASICプロセッサの構築：前述のように、並列化が容易であり他の理由から、多項式を構築し、それによって回路を構築しました。これはZKと類似しています。現在のCPUやGPUには（コンピューティングパワーリソースやメモリリソースが）この回路を実行する能力がありませんので、専用のASICプロセッサを構築する必要があります。FHEアルゴリズムを実行するためです。
• SIMD が複数のデータに単一の命令を実行するのに対して、MIMD は異なる命令を使用してデータを分割して計算することができます。SIMD は主にデータ並列処理に使用され、これはほとんどのブロックチェーンプロジェクトがトランザクションの並列処理に使用している主要なアーキテクチャです。一方、MIMD はさまざまな種類の並列タスクを処理できます。MIMD は技術的により複雑であり、同期と通信の問題を重点的に扱う必要があります。

DARPAのDEPRIVEプロジェクトの期限まであと1ヶ月しかありません。 DEPRIVEは2021年から始まり、2024年9月までの3つの段階で計画されていましたが、進展が遅れているようで、通常の計算の効率の1/10に達する予定にまだ到達していません。

FHE技術を破ることは進展が遅いため、ZK技術と同様に、ハードウェアの着陸は技術の着陸の前提条件であり、これは厳しい問題です。しかし、私たちは長期的に見ると、FHE技術にはまだ独自の意義があると考えています。特に、私たちが最初にリストしたプライバシーに関する一部の安全データを保護するためです。 DARPA国防総省にとって、彼らは多くの機密データを保持しています。 AIの汎用性を軍事に解放するには、AIをデータの安全形式でトレーニングする必要があります。さらに、医療、金融などの重要な機密データにも同様に適用されます。実際、FHEはすべての一般的な計算には適用されず、より敏感なデータの計算ニーズに向けられています。このセキュリティは、量子時代の後に特に重要です。

このような先進技術については、投資サイクルとビジネス化の実現までの時間差を考慮する必要があります。そのため、FHEの実現時期には非常に注意が必要です。

ブロックチェーンの組み合わせ

ブロックチェーンでは、FHEはデータのプライバシーを保護するために主に使用され、オンチェーンプライバシー、AIトレーニングデータのプライバシー、オンチェーン投票のプライバシー、オンチェーンシールドトランザクション監査などのアプリケーション領域に使用されています。FHEはまた、オンチェーンMEVソリューションの潜在的な解決策の1つとしても言及されています。私たちのMEV記事「闇の森を照らす- MEVの神秘を暴く」によると、現在の多くのMEVソリューションは実際にはMEVアーキテクチャを再構築するだけであり、問題を解決する方法ではないことがわかります。実際には、サンドイッチ攻撃によるUXの問題はまだ解決されていません。最初に考えた解決策も、トランザクションを暗号化し、同時に状態を公開することでした。

MEV PBS プロセス

しかし、もう1つの問題は、取引を完全に暗号化すると、MEVボットがもたらす正の外部性も同時に失われることです。バリデータビルダーは、仮想マシン上でFHEを実行する必要があり、バリデータはトランザクションを検証して最終状態の正確性を確認する必要があります。そのため、ノードの実行要件が大幅に高くなり、ネットワーク全体のスループットが何百万倍も低下する可能性があります。

主要プロジェクト

FHE ランドスケープ

FHE は比較的新しい技術であり、現在のほとんどのプロジェクトで使用されている FHE 技術は、Zama によって構築されたものです。例えば、Fhenix、Privasea、Inco Network、Mind Network などです。Zama の FHE エンジニアリング能力は、これらのプロジェクトから認められています。これらのプロジェクトのほとんどは、Zama が提供するライブラリをベースに構築されており、主な違いはビジネスモデルにあります。Fhenix は、プライバシーを最優先とする Optimism レイヤー2 を構築したいと考えています。一方、Privasea は FHE の能力を活用して LLM のデータ処理を行いたいと考えていますが、これは非常に重要なデータ処理であり、FHE 技術とハードウェア要件が非常に高いです。そして、Zama が基づいている TFHE はおそらく最適な選択肢ではありません。Inco Network と Fhenix はどちらも fhEVM を使用していますが、一方は Layer 1 を構築し、もう一方はレイヤー2 を構築しています。Arcium は、FHE、MPC、および ZK を含むさまざまな暗号技術の融合を構築しています。Mind Network のビジネスモデルは比較的独創的であり、Restaking 軌道を選択し、FHE ベースのサブネット構造を提供することで、コンセンサスレイヤーの経済的セキュリティと投票信頼性の問題を解決しようとしています。

座間

Zama は TFHE に基づいたソリューションで、Bootstrap 技術を使用しており、ブール演算や低ビット整数演算に重点を置いています。私たちのFHEソリューションの実装においては比較的高速な技術実現ですが、通常の計算と比較すると大きな差があり、また任意の計算を実現することができません。データ密集型のタスクに対処する際に、これらの演算は回路の深度が大きすぎて処理できなくなります。これはデータ密集型のソリューションではなく、特定の重要なステップの暗号化処理にのみ適しています。

TFHEはすでに実装されており、Zamaの主な目標は、Rust言語を使用してTFHEを再実装すること、具体的にはrs-TFHE cratesです。また、Rustのハードルを下げるために、Pythonをrs-TFHEに変換するための変換ツールConcrateも開発されました。このツールを使用すると、Pythonベースの大規模モデルをTFHE-rsベースのRust言語に変換できます。これにより、同型暗号化を基にした大規模モデルを実行することができますが、データ集約型のタスクには適していません。Zamaの製品であるfhEVMは、完全同型暗号化（FHE）を使用してEVM上で機密スマートコントラクトを実現する技術であり、Solidity言語でコンパイルされたエンドツーエンドの暗号化スマートコントラクトをサポートします。

全体的に言えば、ZamaはTo Bの製品として、TFHEに基づいたブロックチェーン+AI開発スタックを比較的完全に構築しています。これにより、web3プロジェクトがFHEインフラストラクチャとアプリケーションを簡単に構築できます。

オクトラ

Octraの特別な点は、FHEを実現するために独自の技術を使用していることです。ブートストラップを実現するために、hypergraphsと呼ばれる技術を使用しています。それはブール回路に基づいていますが、Octraはhypergraphsに基づいた技術を使用することで、より効率的なFHEを実現できると考えています。これはOctraがFHEを実現するための独自の技術であり、チームは非常に強力なエンジニアリングおよび暗号能力を持っています。

Octraは新しいスマートコントラクト言語を構築しました。OCaml、AST、ReasonML（Octraブロックチェーンネットワークとのやり取りに特化したスマートコントラクトやアプリケーションのための言語）などのコードライブラリとC++を使用して開発されています。構築されたHyperghraph FHEライブラリは、任意のプロジェクトと互換性があります。

そのアーキテクチャは Mind Network、Bittensor、Alloraなどのプロジェクトに似ており、メインネットを構築し、その他のプロジェクトをサブネットとして構築し、相互に隔離された実行環境を構築しました。同様に、これらのプロジェクトと同様に、アーキテクチャに適した新興のコンセンサスプロトコルを構築しました。Octraは機械学習に基づくコンセンサスプロトコルML-consensusを構築しましたが、その本質はDAG（有向非巡回グラフ）に基づいています。

このコンセンサスの技術原理はまだ公開されていませんが、おおよその推測ができます。トランザクションはネットワークに送信され、SVM（サポートベクターマシン）アルゴリズムを使用して最適な処理ノードを決定することで、主に各ノードのネットワーク負荷状況に基づいて選択されます。システムは、過去のデータ（MLアルゴリズム学習）に基づいて、最適な親ノードコンセンサスのパスを判断します。ノードの1/2を満たすだけで、この持続的な上昇するデータベースのコンセンサスを達成することができます。

楽しみにしています

最先端の暗号技術の開発状況、出典:評決

FHE技術は未来に向けた技術であり、その発展状況はまだZK技術に及ばず、プライバシー保護による低効率と高コストが多くのビジネス機関にとって十分な動機を提供していないため、資本投入が不足しています。一方、ZK技術の発展は、Crypto VCの投資により加速されています。FHEはまだ非常に早い段階にあり、現在でもプロジェクトは少ないです。これは、高コスト、高度なエンジニアリング難度、そしてビジネスの展開に不透明な見通しがあるためです。しかし、2021年、DAPRAはIntel、Microsoftなどの多くの企業と協力して、42か月にわたるFHE攻略計画を開始し、一定の進展を遂げましたが、性能目標の達成にはまだ遠い道のりが残っています。Crypto VCの注目がこの分野に集まると、この業界にさらに多くの資金が流入することが予想され、FHEプロジェクトがさらに増えることになるでしょう。また、ZamaやOctraなど、高度なエンジニアリングと研究能力を備えたチームがステージに立ち、FHE技術はブロックチェーンのビジネス化と発展状況の結合に向けて引き続き探求されるべきであり、現在のところ、匿名化されたノード投票の検証には適用範囲が狭いです。

ZKと同様に、FHEチップの実用化は、FHE商業化の実現の前提条件の1つであり、現在、Intel、Chain Reaction、Optalysysなどの多くのメーカーがこの分野を探索しています。 FHEは多くの技術的な抵抗に直面していますが、FHEチップが実用化されるにつれて、完全同型暗号化は極めて有望で確実な需要のある技術として、国防、金融、医療などの業界に深刻な変革をもたらし、これらのプライバシーデータを未来の量子アルゴリズムなどの技術と組み合わせた可能性も解き放ち、その爆発的な時期を迎えることになります。

私たちはこの先鋭技術の早期探索を歓迎します。本当にビジネスに落とし込めるFHE製品を開発しているか、またはより先端の技術革新を持っている場合、お気軽にお問い合わせください！