Інститут досліджень Gate Ventures: FHE, який одягнув плащ-невидимку Гаррі Поттера

Що таке FHE

FHE процес, джерело графіки: Data Privacy Made Easy

FHE (Fully homomorphic encryption) є передовою технікою шифрування, яка дозволяє безпосередньо обчислювати дані, зашифровані даними. Це означає, що дані можуть оброблятися зберігаючи конфіденційність. FHE має кілька можливих сценаріїв впровадження, особливо в обробці та аналізі даних в умовах конфіденційності, таких як фінанси, медицина, хмарні обчислення, машинне навчання, системи голосування, інтернет речей, захист конфіденційності блокчейн тощо. Однак комерціалізація все ще потребує певного часу, основна проблема полягає в тому, що обчислювальні та пам’яті витрати, які вносить цей Алгоритм, є дуже великими, та має обмежену масштабованість. Наступним кроком буде короткий огляд основних принципів цього Алгоритму та особливої уваги приділиться проблемам, з якими стикається ця криптографічна Алгоритм.

Основні принципи

Гомоморфне шифрування图示

Спочатку ми хочемо обчислити зашифровані дані та отримати той самий результат, як показано на зображенні вище. Це наша основна мета. У криптографії зазвичай використовуються поліноми для приховування інформації відкритого тексту, оскільки поліноми можуть бути перетворені на проблеми лінійної алгебри, а також на обчислювальні проблеми векторів. Це полегшує оптимізоване обчислення векторів на сучасних комп’ютерах (наприклад, паралельне обчислення). Наприклад, 3 x 2 + 2 x + 1 можна представити у вигляді вектора [1, 2, 3].

Припустимо, що ми хочемо зашифрувати 2, в простій системі HE, ми можемо:

• Виберіть поліном Секретного ключа, наприклад s(x) = 3 x 2 + 2 x + 1
• Створіть випадковий поліном, наприклад, a(x) = 2 x 2 + 5 x + 3
• Створити невеликий поліном помилок, наприклад, e(x) = -1 x + 2
• Шифрування 2 -> c(x) = 2 + a(x)*s(x) + e(x)

Давайте розберемося, чому потрібно так робити. Припустимо, що у нас є шифротекст c(x). Якщо ми хочемо отримати відкритий текст m, тоді формула буде наступною: c(x) - e(x) - a(x)*s(x) = 2. Тут ми припускаємо, що випадковий поліном a(x) є відкритим. Тому ми повинні лише забезпечити, що наш секретний ключ s(x) залишається секретним. Якщо ми знаємо s(x) і додаємо до c(x) невелику помилку, яку теоретично можна ігнорувати, ми зможемо отримати відкритий текст m.

Тут є перше питання, як обрати поліноми з такою багатою поліноміальною функцією? Яку степінь полінома слід вибрати? Фактично, степінь полінома визначається алгоритмом реалізації Алгоритму HE. Зазвичай це степінь степені 2, наприклад, 1024/2048 тощо. Коефіцієнти полінома вибираються випадково з обмеженого поля q, наприклад, модулю 10000, тоді вибираються випадковим чином з 0-9999. Існує багато алгоритмів вибору коефіцієнтів випадковим чином, таких як рівномірний розподіл, розподіл дискретної гауссової тощо. Різні схеми також мають різні вимоги до вибору коефіцієнтів, зазвичай для задоволення принципу швидкого розв’язування в цій схемі.

Друге питання: що таке шум? Шум використовується для заплутування зловмисника, оскільки, припустимо, що всі наші цифри використовують s(x), а випадковий поліном знаходиться в полі, то існує певний порядок, і якщо ввести достатню кількість відкритого тексту m, на основі виведеного c (x), можна визначити ці два s(x) і c(x). Якщо ввести шум e(x), то неможливо одержати s(x) і c(x) шляхом простого перерахування, оскільки існує невелика випадкова похибка. Цей параметр також називається бюджетом шуму (Noise Budget). Припустимо, q = 2 ^ 32, початковий шум може бути близько 2 ^ 3. Після деяких операцій шум може зрости до 2 ^ 20. На цьому етапі все ще є достатньо місця для розшифровки, оскільки 2 ^ 20 << 2 ^ 32.

Отримавши поліноми, ми тепер повинні перетворити операцію c(x) * d(x) в «електричну схему», яка часто зустрічається в ZKP, головним чином тому, що абстрактна концепція електричної схеми забезпечує універсальну модель обчислення для будь-якого обчислення, а також модель електричної схеми дозволяє точно відстежувати та керувати шумом, введеним кожною операцією, а також легко вводити його у професійне обладнання, як ASIC, FPGA для прискореного обчислення, таке як модель SIMD. Будь-яка складна операція може бути відображена на прості елементи модульної електричної схеми, такі як додавання та множення.

Представлення арифметичного ланцюга

Додавання та множення можуть виразити віднімання та ділення, тому можуть виразити будь-який обчислення. Коефіцієнти полінома представлені у двійковій формі і є входами для схеми. Кожна Нода схеми представляє одне додавання або множення. (*) представляє множення, а (+) - додавання. Це Алгоритм схеми.

Тут виникає питання про те, що ми вводимо е (x), як шум, щоб не розголошувати семантичну інформацію. У наших обчисленнях, додавання змушує два многочлени e (x) стати однаковими ступенями. У множенні два многочлени шуму помножені один на одного, ступінь e (x) та розмір тексту збільшуються експоненційно, якщо шум є надто великим, результати обчислення стають непридатними, оскільки шум не можна ігнорувати, і це призводить до того, що оригінальний текст m не може бути відновлений. Це є основною причиною обмеження HE Алгоритму в виразі довільних обчислень, оскільки шум зростає експоненційно і швидко досягає непридатного порогу. У схемі це називається Глибиною схеми, кількість операцій множення - значення Глибини схеми.

Основний принцип гомоморфного шифрування HE, як зображено на діаграмі вище, є те, що для вирішення проблеми шуму, яка обмежує гомоморфне шифрування, було запропоновано кілька рішень:

У цій системі LHE є дуже підходящим алгоритмом, оскільки в рамках цього алгоритму можна виконувати будь-яку функцію в заданій глибині, але PHE та SHE не можуть забезпечити повноту за Тюрінгом. Тому на цій основі криптографи провели дослідження та запропонували три технології для побудови FHE - повної гомоморфності шифрування, щоб реалізувати бажану ідею виконання будь-якої функції в нескінченній глибині.

• Перемикання ключа（密钥切换）: після множення розмір Шифротексту зростає експоненційно зростання, що ставить величезні вимоги до пам’яті та обчислювальних ресурсів для подальших операцій, тому після кожного множення виконується перемикання ключа, щоб стиснути Шифротекст, але це може внести трохи шуму.
• Модульне перемикання: Незалежно від того, чи множення, чи перемикання ключів, шум росте в експоненціальній формі, модуль q є Mod 10000, який може бути вибраний з параметрів [0, 9999], чим більше q, тим більше шуму після кількох обчислень, шум все ще перебуває в межах q, тоді можна декодувати. Тому, після декількох операцій, щоб уникнути зростання шуму в експоненціальній формі понад поріг, потрібно використовувати модульне перемикання, щоб зменшити бюджет шуму, тоді можна знизити шум. Отже, ми можемо отримати основний принцип: якщо наші обчислення дуже складні, глибина схеми дуже велика, тоді потрібен більший модуль q бюджет шуму, щоб забезпечити доступність після кількох експоненціальних зростань.
• Bootstrap: Але для досягнення Глибина безкінечних обчислень, Модуль може тільки обмежити зростання шуму, але кожен раз, коли ви переключаєтеся, діапазон q стає меншим, ми знаємо, що зменшення означає зниження обчислювальної складності. Bootstrap - це технологія оновлення, яка скидає шум до початкового рівня, а не зменшує його, bootstrap не потребує зменшення модуля, тому він може підтримувати обчислювальну потужність системи. Але його недолік полягає в тому, що він вимагає значних ресурсів Обчислювальна потужність.

Загалом, для обчислень з обмеженою кількістю кроків використання Modulus Switching може зменшити шум, але також зменшить модуль, тобто бюджет шуму, що призведе до обмеження обчислювальних можливостей. Тому це стосується лише обчислень з обмеженою кількістю кроків. Bootstrap може здійснити скидання шуму, тому на основі LHE Алгоритм здатний здійснити справжній FHE, тобто нескінченні обчислення будь-якої функції, що також є повністю в FHE.

Але недоліки також очевидні - потрібні великі ресурси Обчислювальна потужність, тому зазвичай ці два методи шумозаглушення поєднуються. Modulus switching використовується для щоденного управління шумом, затримка потребує часу для запуску. Коли modulus switching не може далі ефективно контролювати шум, використовується більш витратне обчислення bootstrap.

Наразі реалізація FHE має наступні конкретні варіанти, всі вони використовують основну технологію Bootstrap:

Тут також згадується тип схеми, про який ми не говорили - арифметична схема. Але є ще один тип схеми - булева схема. Арифметичні схеми це щось абстрактне, як додавання чи ділення, а булеві схеми перетворюють всі числа в двійкову систему (01) та використовують булеві операції, такі як NOT, OR, AND, схожі на реалізацію електричних схем наших комп’ютерів. Арифметичні схеми - це ще більш абстрактна схема.

Отже, ми можемо грубо розглядати булеві операції як гнучку обробку з меншим обсягом даних, тоді як арифметичні операції є рішенням для застосунків з високою густотою даних.

Проблеми, з якими стикається FHE

Через те, що наші обчислення потребують шифрування, а потім перетворення в ‘електричну схему’, і через те, що прості обчислення лише обчислюють 2+4, але після шифрування вводяться обчислювальні процеси криптографії та деякі передові технології, такі як Bootstrap, для вирішення проблем шуму, що призводить до того, що обчислювальні витрати становлять N порядок звичайних обчислень.

Ми використовуємо реальний світ, щоб читачі відчули витрати обчислювальних ресурсів на ці додаткові криптографічні процеси. Нехай звичайні обчислення на процесорі з тактовою частотою 3 ГГц потребують 200 тактів, тоді одне звичайне розшифрування AES-128 займе близько 67 наносекунд (200/3 ГГц). Версія FHE займе 35 секунд, що приблизно в 522,388,060 разів більше, ніж звичайна версія (35/67 e-9). Іншими словами, використовуючи ті ж самі обчислювальні ресурси, вимоги до обчислювальних ресурсів для одного й того ж звичайного Алгоритму та обчислення FHE Алгоритму становлять приблизно 5 мільярдів разів більше.

Програма DARPA dprive, джерело: DARPA

Американська DARPA спеціально створила програму Dprive в 2021 році для забезпечення безпеки даних. В рамках цієї програми було запрошено кілька дослідницьких груп, включаючи Microsoft, Intel тощо, з метою створення прискорювача FHE та відповідного програмного стеку. Метою є забезпечення швидкості обчислень FHE, що близька до операцій з незашифрованими даними, з досягненням цілі в 1/10 від звичайних обчислень. Проектний менеджер DARPA Том Рондо повідомив: “У світі FHE наша швидкість обчислень оцінюється приблизно в мільйони разів повільніше, ніж у світі чистого тексту.”

Основні напрями розробки Dprive включають наступне:

• Розширення довжини слова процесора: сучасні комп’ютерні системи використовують 64-бітну довжину слова, тобто число може містити до 64 біт, але фактично q часто має 1024 біти. Якщо ми хочемо це реалізувати, потрібно розбити наш q, це призведе до втрати ресурсів пам’яті та швидкості. Тому для досягнення більшого q потрібно побудувати процесор з довжиною слова 1024 біти або більше. Кінцеве поле q є дуже важливим, як ми вже згадували, чим більше, тим більше можливих обчислень, це дозволяє якнайбільше відкласти операції bootstrap, що призведе до зменшення загального витрат ресурсів на обчислення. q відіграє ключову роль в FHE, він впливає на майже всі аспекти схеми, включаючи безпеку, продуктивність, можливу кількість обчислень та потрібні ресурси пам’яті.
• Створення процесора ASIC: Ми раніше говорили про те, що ми створюємо поліном, будуючи схему на його основі з багатьох причин, в тому числі через його зручність для паралелізації. Це схоже на ZK. Наразі CPU та GPU не мають достатньої Обчислювальна потужність та ресурсів пам’яті для виконання схеми, тому потрібно створити спеціальний процесор ASIC, щоб дозволити виконання FHE Алгоритму.
• Побудова паралельної архітектури MIMD, на відміну від паралельної архітектури SIMD, SIMD може виконувати лише одну інструкцію на кількох даних, тобто розбиття даних та їх паралельна обробка, але MIMD може розбивати дані та обчислювати їх за допомогою різних інструкцій. SIMD використовується головним чином для паралельної обробки даних, це також основна архітектура паралельної обробки у більшості проектів Блокчейн. Тоді як MIMD може обробляти різні типи паралельних завдань. MIMD технічно складніший і потребує особливої уваги до проблем синхронізації та зв’язку.

До завершення програми DEPRIVE в рамках DARPA залишилося всього один місяць. Початково планувалося, що програма Dprvie розпочнеться у 2021 році і завершиться у вересні 2024 року, пройшовши три етапи, але, схоже, розвиток йде повільно, і наразі не досягнуто очікуваного 10-кратного покращення ефективності порівняно з звичайними обчисленнями.

Хоча прогрес у розвитку FHE-технології повільний, схоже на технологію ZK, вона стикається зі складним завданням впровадження апаратного забезпечення, що є передумовою для її впровадження. Однак ми все ще вважаємо, що в довгостроковій перспективі FHE-технологія має своє унікальне значення, особливо щодо захисту конфіденційних даних, перерахованих у першій частині. Для Міністерства оборони США, яке має значну кількість конфіденційних даних, якщо вони хочуть використовувати загальноприйняті здатності ШІ військової галузі, потрібно навчити ШІ в конфіденційному форматі даних. Крім того, це також застосовується до ключових конфіденційних даних, таких як медичні та фінансові, насправді FHE не застосовується до всіх типів звичайних обчислень, а виходить за межі вимог обчислень для конфіденційних даних. Ця безпека є особливо важливою для епохи постантумової квантової ери.

Для таких передових технологій важливо враховувати різницю в часі між інвестиційним циклом та часом комерціалізації. Тому нам потрібно дуже обережно ставитися до часу реалізації FHE.

Поєднання блокчейну

У Блокчейні, FHE також використовується в основному для захисту приватності даних, області застосування включають приватність у блокчейні, приватні дані для навчання штучного інтелекту, приватне голосування у блокчейні, екранована транзакція у блокчейні та інші напрямки. Сам FHE також вважається одним з потенційних напрямків у Блокчейні MEV. Згідно з нашою статтею про MEV “Освітлюючи темний ліс - розкриття таємниць MEV”, багато поточних схем MEV фактично є лише способом перебудови архітектури MEV, а не шляхом вирішення проблеми, фактично проблеми користувацького досвіду, що виникають внаслідок атак типу “сендвіч”, так і залишаються невирішеними. Початкове наше рішення також полягає в тому, щоб прямо шифрувати транзакції, одночасно зберігаючи відкритий стан.

Процес MEV PBS

Але є одна проблема: якщо ми повністю зашифруємо угоди, то зникне позитивна зовнішня економічна ефективність, яку створюють MEV-боти. Валідатори Builder повинні працювати на основі Віртуальної машини з шифруванням на частково доменних шифрах (FHE), а також перевіряти угоди для визначення правильності остаточного стану, що значно підвищить вимоги до вузлів та сповільнить пропускну здатність всієї мережі.

Основні проекти

Ландшафт FHE

FHE є досить новою технологією, і наразі більшість проектів, які використовують технологію FHE, будуються на основі Zama, таких як Fhenix, Privasea, Inco Network, Mind Network. Здатність до реалізації FHE-проектів у Zama отримала визнання цих проектів. Більшість з цих проектів будуються з використанням бібліотек, які надає Zama. Основна відмінність між ними полягає у комерційній моделі. Fhenix хоче будувати оптимізований Рівень 2 з пріоритетом конфіденційності, Privasea хоче використовувати можливості FHE для операцій з даними LLM, але це дуже важка операція з даними, тому до технології FHE висуваються особливі вимоги щодо техніки та обладнання, і TFHE, на якому базується Zama, можливо, не є найкращим вибором. Inco Network та Fhenix використовують fhEVM, але один будує Рівень 1, а інший - Рівень 2. Arcium - це поєднання різних криптографічних технологій, включаючи FHE, MPC та ZK. Комерційна модель Mind Network досить неординарна, вона вибрала галузь Restaking, щоб вирішити проблеми економічної безпеки та довіри до голосів, пов’язаних з консенсусом, шляхом забезпечення рухомості безпеки та підмережевої архітектури, заснованої на FHE.

Зама

Zama - це схема, заснована на TFHE, її особливістю є використання технології Bootstrap, яка акцентується на обробці булевих операцій та операцій з низькими довжинами цілих чисел. Хоча це є досить швидким технологічним рішенням в нашій реалізації схеми ФВЧ, проте в порівнянні зі звичайними обчисленнями все ще існує значна відмінність, і, крім того, вона не може вирішувати довільні обчислення. У разі операцій з великою кількістю даних ці операції призводять до надто великої Глибина кола і неможливості їх обробки. Це не є схемою з великою кількістю даних, вона підходить тільки для обробки деяких ключових етапів шифрування.

TFHE наразі має готовий реалізаційний код, головна робота Zama полягає в переписуванні TFHE з використанням мови Rust, а саме його rs-TFHE crates. Окрім того, для полегшення користування Rust, він також створив інструмент Concrate для трансляції, який може перетворити Python на еквівалентний rs-TFHE. З використанням цього інструменту можна транслювати мову великих моделей, що базуються на Python, в мову rust, яка базується на TFHE-rs. Таким чином, можна запускати великі моделі, що базуються на Гомоморфне шифрування, але це не дуже підходить для завдань з обробки данних. Продукт Zama fhEVM - це технологія, що використовує повне Гомоморфне шифрування (FHE) для реалізації конфіденційних Смарт-контрактів на EVM, яка підтримує компіляцію Смарт-контрактів з використанням мови Solidity з одного кінця на інший в шифрованому вигляді.

Загалом, як продукт To B, Zama побудувала досить повну стек розробки блокчейну + штучного інтелекту на основі TFHE. Це допомагає проектам web3 просто будувати інфраструктуру та застосунки з FHE.

Octra

Octra є дещо особливим тим, що використовує альтернативну техніку для досягнення FHE. Вона використовує техніку, що називається гіперграфами, для реалізації bootstrap. Це також базується на булевих ланцюгах, але Octra вважає, що техніка на основі гіперграфів може забезпечити більш ефективний FHE. Це є оригінальною технікою реалізації FHE від Octra, команда має дуже сильні інженерні та криптографічні здібності.

Octra створила нову мову смарт-контрактів, яка використовує бібліотеки коду OCaml, AST, ReasonML (мови, які спеціально підходять для взаємодії з мережею блокчейн Octra для смарт-контрактів та додатків) та C++. Її створена бібліотека Hyperghraph FHE сумісна з будь-яким проектом.

Його архітектура також схожа на проекти типу Mind Network, Bittensor, Allora тощо, які будують Основна мережа, а потім інші проекти стають підмережами, створюючи взаємно ізольоване робоче середовище. Одночасно, схоже з цими проектами, всі вони створили нові протоколи, більш підходящі для самої архітектури, Octra створив протокол Консенсусу на основі машинного навчання ML-consensus, який суттєво базується на DAG (орієнтований ациклічний граф).

Технічний принцип цього Консенсусу наразі не розголошений, але ми можемо уявити приблизно. Приблизно так: транзакції надсилаються в мережу, а потім використовується Алгоритм опорних векторів (SVM) для вибору найкращої обробки Нода, переважно на основі поточного навантаження мережі кожного Нода. Система буде вирішувати найкращий шлях, досягнутий шляхом Консенсусу, на основі історичних даних (навчання Алгоритму машинного навчання). Достатньо мати 1/2 Ноди, щоб досягнути Консенсусу цієї зростаючої бази даних.

Очікування

Стан розвитку передових технологій криптографії, джерело: Verdict

FHE технологія є майбутньою технологією, розвиток якої все ще не нарівні з технологією ZK, через недостатній капіталовкладення, недостатню ефективність та високі витрати, що пов’язані з захистом приватності, для більшості комерційних установ. Розвиток технології ZK став швидшим завдяки інвестиціям Crypto VC. FHE все ще перебуває на дуже ранньому етапі, навіть зараз на ринку немає багато проектів через високу вартість, складність інженерії та невияснені перспективи комерціалізації. У 2021 році DAPRA почала 42-місячну програму розробки FHE, спільно з такими компаніями, як Intel, Microsoft та інші. Хоча були певні досягнення, але досягнення цілей щодо продуктивності все ще далеко. З приходом уваги Crypto VC до цієї сфери, у галузь буде надходити більше коштів, і очікується поява більшої кількості проектів FHE, а також команд зі сильними інженерними та дослідницькими здібностями, такими як Zama, Octra і т.д. Поєднання FHE технології з комерціалізацією та розвитком стану справ в галузі блокчейну все ще потребує дослідження. Наразі є досить добре застосовуване анонімізоване голосування за вузли, але область застосування все ще обмежена.

Подібно ZK, впровадження чіпів FHE є однією з передумов комерціалізації FHE, наразі кілька виробників, таких як Intel, Chain Reaction, Optalysys тощо, досліджують цей напрямок. Навіть з урахуванням багатьох технічнихспротив, разом з впровадженням чіпів FHE, повністю гомоморфне шифрування, як технологія з великим потенціалом та реальною потребою, принесе глибокі зміни для таких галузей, як оборона, фінанси, медицина та інші, звільняючи потенціал поєднання цих приватних даних з майбутнім Квантовий алгоритмом, також прийде його вибуховий момент.

Ми готові досліджувати цю ранню фронтову технологію. Якщо ви будуєте справжній комерційний FHE-продукт або маєте технологічну інновацію з передовим поглядом, будь ласка, зв’яжіться з нами!