Исследовательский институт Gate Ventures: FHE, надевает плащ-невидимку Гарри Поттера

Что такое FHE

FHE процесс, источник изображения: Data Privacy Made Easy

FHE (Fully homomorphic encryption) - это передовая технология шифрования, которая позволяет выполнять прямые вычисления над зашифрованными данными. Это означает, что данные могут быть обработаны при защите конфиденциальности. FHE имеет несколько практических применений, особенно в области обработки и анализа данных с учетом конфиденциальности, таких как финансы, медицина, облачные вычисления, машинное обучение, системы голосования, интернет вещей, защита конфиденциальности в блокчейне и т. д. Однако коммерциализация все еще требует определенного времени, основная проблема заключается в огромных вычислительных и памятных затратах, обусловленных данным алгоритмом, и его низкой масштабируемости. Далее мы кратко рассмотрим основные принципы данного алгоритма и подробно расскажем о проблемах, с которыми он сталкивается.

Основные принципы

Графическое изображение гомоморфного шифрования

Сначала мы должны провести вычисления для зашифрованных данных, чтобы получить тот же результат, как показано на рисунке. Это наша основная цель. В криптографии обычно используются полиномы для скрытия информации оригинального текста, поскольку полиномы могут быть преобразованы в проблемы линейной алгебры и проблемы вычисления векторов, что упрощает вычисления для векторов на современных высокооптимизированных компьютерах (например, параллельные вычисления), например, 3 x 2 + 2 x + 1 может быть представлено в виде вектора [ 1, 2, 3 ].

Предположим, мы хотим зашифровать 2 в упрощенной системе HE, мы можем:

• Выберите многочлен секретного ключа, например, s(x) = 3 x 2 + 2 x + 1
• Сгенерируйте случайный многочлен, например, a(x) = 2x^2 + 5x + 3
• Создать небольшой «ошибочный» многочлен, например e(x) = -1 x + 2
• Шифрование 2 -> c(x) = 2 + a(x)*s(x) + e(x)

Давайте рассмотрим, почему это необходимо. Предположим, у нас есть шифротекст c(x). Если мы хотим получить открытый текст m, то формула будет выглядеть следующим образом: c(x) - e(x) - a(x)*s(x) = 2. Здесь предполагается, что многочлен a(x) является открытым. Таким образом, достаточно обеспечить конфиденциальность нашего секретного ключа s(x). Если мы знаем s(x) и добавим к нему шифротекст c(x) с небольшой ошибкой, которую мы можем теоретически игнорировать, то мы сможем получить открытый текст m.

Здесь есть первый вопрос, столько многочленов, как выбрать многочлен? Какая степень многочлена лучше? На самом деле степень многочлена определяется Алгоритмом реализации HE. Обычно это степени двойки, как 1024 / 2048 и т. д. Коэффициенты многочлена выбираются случайным образом из конечного поля q, например, по модулю 10000, затем случайным образом выбираются из 0-9999, существует много Алгоритмов для случайного выбора коэффициентов, таких как равномерное распределение, дискретное гауссовское распределение и т. д. Разные схемы также имеют различные требования к выбору коэффициентов, обычно чтобы удовлетворить принцип быстрого решения в этой схеме.

Второй вопрос, что такое шум? Шум используется для запутывания злоумышленников, потому что если предположить, что все наши числа используют s(x), а случайный многочлен находится в поле, то существует определенный порядок. Достаточно ввести открытый текст m достаточное количество раз, и на основе вывода c(x) можно определить информацию об этих двух s(x) и c(x). Введение шума e(x) позволяет обеспечить невозможность получения s(x) и c(x) простым перечислением, потому что имеется небольшая случайная ошибка. Этот параметр также называется бюджетом шума (Noise Budget). Предположим, что q = 2 ^ 32, начальный шум может быть около 2 ^ 3. После некоторых действий шум может увеличиться до роста 2 ^ 20. В этом случае все еще есть достаточно места для расшифровки, потому что 2 ^ 20 << 2 ^ 32.

После получения полинома мы теперь хотим преобразовать операцию c(x) * d(x) в ‘схему’, что часто встречается в ZKP, главным образом, потому что абстрактная концепция схемы предоставляет универсальную модель вычислений для представления любых вычислений, и модель схемы позволяет точно отслеживать и управлять шумом, внесенным каждой операцией, а также удобно внедрять его в специализированные аппаратные средства, такие как ASIC, FPGA, для ускоренных вычислений, например, в SIMD-модели. Любую сложную операцию можно отобразить на простые модульные элементы схемы, такие как сложение и умножение.

Схема арифметического устройства

Сложение и умножение могут выразить вычитание и деление, таким образом, можно выразить любой расчет. Коэффициенты многочлена представлены в двоичной форме и называются входами схемы. Каждый узел схемы представляет собой выполнение операции сложения или умножения. (*) представляет умножительный блок, а (+) - блок сложения. Это Алгоритм-схема.

Таким образом, возникает вопрос о том, как сохранить секретность семантической информации, поэтому мы вводим e(x), что называется шумом. В наших вычислениях сложение превращает два полинома e(x) в полиномы одинаковой степени. В умножении умножение двух шумовых полиномов приводит к экспоненциальному росту степени e(x) и размера текста, если шум слишком велик, то это приводит к тому, что шум нельзя игнорировать в процессе вычисления результата, а затем невозможно восстановить исходный текст m. Это основная причина ограничения алгоритма HE в выражении произвольных вычислений, поскольку шум экспоненциально растет, достигая недоступного порога. В электрической схеме это называется глубиной схемы, количество умножений - это значение глубины схемы.

Основные принципы гомоморфного шифрования HE, как показано на рисунке выше, были предложены несколько решений для решения проблемы шума, ограничивающей гомоморфное шифрование.

Внутри этого LHE является очень подходящим алгоритмом, потому что в рамках этого алгоритма, как только глубина определена, можно выполнять любые функции в пределах этой глубины, но PHE и SHE не могут быть завершены по Тьюрингу. Поэтому на основе этого ученые-криптографы проводят исследования и предлагают три техники для создания FHE - полностью гомоморфного шифрования, в надежде реализовать видение выполнения любых функций в бесконечной глубине.

• Key switching (смена ключа) : после умножения размер Шифротекста растет экспоненциально, что требует больших объемов памяти и вычислительных ресурсов для последующих операций. Поэтому после каждого умножения реализуется смена ключа, которая сжимает Шифротекст, но при этом добавляет некоторый шум.
• Модульное переключение（模数切换）：независимо от того, умножение это или переключение ключа, шум будет экспоненциально увеличиваться, модуль q - это Mod 10000, о котором мы говорили ранее, он может принимать параметры только из диапазона [ 0, 9999 ], чем больше q, тем шум после нескольких вычислений все еще остается в пределах q, и его можно расшифровать. Таким образом, после нескольких операций, чтобы избежать экспоненциального увеличения шума сверх предельного значения, необходимо использовать модульное переключение, чтобы уменьшить бюджет шума, таким образом можно снизить шум. Здесь мы можем получить основной принцип: если наши вычисления очень сложные, глубина схемы Глубина очень большая, тогда нам нужен более большой модуль q для бюджета шума, чтобы вместить доступность после многократного экспоненциального роста.
• Bootstrap: Однако, если вы хотите реализовать вычисления с бесконечной Глубиной, Modulus может только ограничивать рост шума, но каждый раз, когда происходит переключение, диапазон q становится меньше, и мы знаем, что уменьшение означает Падение сложности вычислений. Bootstrap - это технология обновления, которая сбрасывает шум до исходного уровня, а не уменьшает его, поэтому для Bootstrap не требуется уменьшение модуля, что позволяет поддерживать вычислительную мощность системы. Однако его недостатком является необходимость больших ресурсов Вычислительная мощность.

В целом, для вычислений с ограниченным количеством шагов использование модульного переключения может Падение шума, но в то же время также может Падение модуля, то есть бюджет шума, что приводит к сокращению вычислительных возможностей. Поэтому это применимо только для вычислений с ограниченным количеством шагов. Bootstrap может обеспечить сброс шума, поэтому на основе LHE Алгоритма можно добиться истинного FHE, то есть бесконечных вычислений любой функции, именно это и означает Fully в FHE.

Но недостаток также очевиден - требуется большое количество ресурсов вычислительной мощности, поэтому в общем случае эти два метода совместно используются. Модульное переключение используется для управления шумом в повседневной жизни, а задержка требует время для инициализации. Когда модульное переключение не может более эффективно контролировать шум, применяется более затратная операция инициализации.

На данный момент для FHE существуют следующие конкретные реализации, все они используют основную технологию Bootstrap:

Здесь также возникает тип цепи, о котором мы еще не говорили, в основном мы рассматривали арифметические цепи. Но есть еще один тип цепи - булева цепь. Арифметические цепи - это более абстрактные цепи, такие как 1+1 или Узел, которые являются операциями сложения или деления, а все числа в булевой цепи преобразовываются в двоичную систему счисления 01, и все Узлы являются логическими операциями, такими как NOT, OR, AND, подобно тому, как реализованы цепи нашего компьютера. Арифметические цепи - это более абстрактные цепи.

Поэтому мы можем рассматривать булевые операции как более гибкую обработку с меньшей плотностью данных, в то время как арифметические операции предназначены для приложений с высокой плотностью данных.

Проблемы, с которыми сталкивается FHE

Из-за того, что наши вычисления требуют шифрования и преобразования в ‘электрическую схему’, и из-за того, что простые вычисления, такие как 2 + 4, требуют большого количества криптографических косвенных вычислений после шифрования, а также применения передовых технологий, таких как Bootstrap, для решения проблемы шума, это приводит к тому, что стоимость вычислений на несколько порядков выше, чем у обычных вычислений.

Мы приведем пример реального мира, чтобы читатели могли почувствовать затраты вычислительных ресурсов на дополнительные криптографические процессы. Предположим, что обычные вычисления на процессоре 3 ГГц требуют 200 тактов, то обычное расшифрование AES-128 занимает около 67 наносекунд (200/3 ГГц). FHE версия занимает 35 секунд, что примерно в 522,388,060 раз больше, чем обычная версия (35/67 e-9). Отношение требований к вычислительным ресурсам для одного и того же обычного алгоритма и FHE-алгоритма составляет примерно 5 миллиардов раз при использовании тех же вычислительных ресурсов.

Программа DARPA dprive, источник изображения: DARPA

Американская DARPA построила в 2021 году специальную программу Dprive для обеспечения безопасности данных, пригласив несколько исследовательских групп, включая Microsoft, Intel и другие, чтобы создать ускоритель FHE и соответствующий стек программного обеспечения, чтобы скорость вычислений с FHE соответствовала операциям с незашифрованными данными и достигала целевой скорости вычислений FHE примерно в 1/10 обычной скорости вычислений. Руководитель проекта DARPA Том Рондо отмечает: «Ожидается, что наша скорость вычислений в мире FHE будет медленнее, чем в мире простого текста, примерно в миллион раз».

Проект Dprive в основном затрагивает следующие аспекты:

• Увеличение длины слова процессора: современные компьютерные системы используют длину слова 64 бита, то есть каждое число может содержать не более 64 бит, но на самом деле q обычно составляет 1024 бита. Если мы хотим реализовать это, нам нужно разделить наше q, что приведет к потере памяти и скорости. Поэтому, чтобы получить большее значение q, необходимо создать процессор с длиной слова 1024 бита или больше. Конечное поле q очень важно, как мы уже упоминали, чем больше оно, тем больше шагов мы можем вычислить, и тем больше операций bootstrap мы можем отложить, что приведет к снижению общего расхода вычислительных ресурсов. q играет ключевую роль в гомоморфной схеме шифрования, она влияет на почти все аспекты схемы, включая безопасность, производительность, объем вычислений и требуемые ресурсы памяти.
• Создание процессора ASIC: Как мы уже упоминали ранее, мы создали многочлен для удобства параллелизации и по другим причинам, и на основе многочлена создали схему, которая аналогична ZK. В настоящее время CPU и GPU не обладают достаточной (вычислительной мощности и ресурсами памяти) для выполнения этой схемы, поэтому необходимо создать специальный процессор ASIC для поддержки алгоритма FHE.
• Строим параллельную архитектуру MIMD. В отличие от SIMD, которая может выполнять только одну инструкцию на нескольких данных, т.е. разделение и параллельная обработка данных, MIMD может разделять данные и использовать разные инструкции для вычислений. SIMD используется в основном для параллельной обработки данных, что является основной архитектурой обработки транзакций для большинства Блокчейн проектов. А MIMD способен обрабатывать различные типы параллельных задач. MIMD технически более сложна и требует уделять особое внимание проблемам синхронизации и связи.

До окончания программы DEPRIVE от DARPA остался всего один месяц. Изначально планировалось, что программа Dprvie будет проводиться с 2021 года и завершится в сентябре 2024 года в трех этапах, но, кажется, она продвигается медленно и до сих пор не достигла целей, по сравнению с обычными вычислениями, эффективность которых составляет 1/10 от заданной.

Хотя прогресс в области технологии FHE медленный, как и в случае технологии ZK, столкнувшись с проблемой аппаратной реализации, мы по-прежнему считаем, что в долгосрочной перспективе технология FHE по-прежнему имеет свой уникальный смысл, особенно в отношении защиты конфиденциальных данных, перечисленных в нашем первом разделе. Для Министерства обороны DARPA, которое владеет большим объемом чувствительных данных, если оно хочет применить обобщенные способности искусственного интеллекта в военных целях, то оно должно обучать искусственный интеллект в безопасной форме. Более того, это также применимо к ключевым чувствительным данным, таким как медицинские и финансовые данные, и на самом деле FHE не подходит для всех обычных вычислений, а скорее ориентирована на потребности вычислений в чувствительных данных, что делает эту безопасность особенно важной для эпохи послеквантового компьютера.

При рассмотрении такой передовой технологии необходимо учитывать временной промежуток между инвестиционным циклом и коммерциализацией. Поэтому мы должны очень осторожно относиться к времени реализации FHE.

Сочетание блокчейна

В блокчейне FHE также в основном используется для защиты конфиденциальности данных, применяемых в области конфиденциальности, данных обучения ИИ, конфиденциальности голосования, экранированных транзакций и т. д. FHE также называется потенциальным направлением развития MEV в блокчейне. Согласно нашей статье о MEV “Освещение темного леса - раскрытие тайны MEV”, многие существующие MEV схемы фактически только перестраивают архитектуру MEV, но не решают проблему, и, фактически, проблемы UX, вызванные атакой сэндвичей, до сих пор не были решены. Наше первоначальное предложение также заключается в прямом шифровании транзакций, при этом сохраняется открытый статус.

MEV PBS процесс

Но также есть одна проблема: если мы полностью зашифруем транзакции, это также устранит положительную внешнюю сторону, которую приносят боты MEV, валидаторы Builder должны работать на основе Виртуальная машина для выполнения FHE, также валидаторы должны проверить транзакции, чтобы убедиться в правильности окончательного состояния, что значительно повысит требования к Узел, замедляя пропускную способность всей сети на миллионы раз.

Основные проекты

Ландшафт FHE

FHE - это относительно новая технология, и в настоящее время большинство проектов, использующих технологию FHE, основаны на разработках Zama, таких как Fhenix, Privasea, Inco Network, Mind Network. Способность реализации проекта FHE от Zama получила признание от этих проектов. Большинство этих проектов основаны на библиотеках, предоставленных Zama, основное различие заключается в бизнес-модели. Fhenix надеется построить сеть, придающую приоритет конфиденциальности, на Уровне 2 Optimism, Privasea намерена использовать возможности FHE для обработки данных LLM, но это очень ресурсоемкая операция, требующая высокой технологичности и аппаратных ресурсов FHE, а основанная на TFHE, возможно, не является наилучшим выбором. Inco Network и Fhenix оба используют fhEVM, но один строится на Уровне 1, а другой на Уровне 2. Arcium объединяет несколько криптографических технологий, включая FHE, MPC и ZK. Бизнес-модель Mind Network довольно оригинальна, они выбрали трассу Restaking, решая проблемы экономической безопасности и доверия к голосованию на уровне консенсуса путем обеспечения безопасности движения и архитектуры подсети на основе FHE.

Зама

Zama - это решение, основанное на TFHE, отличительной чертой которого является использование технологии Bootstrap, которая акцентируется на обработке булевых операций и операций с низким разрядом целых чисел. Хотя в нашем решении FHE это более быстрая технология реализации, по сравнению с обычными вычислениями все еще существует значительное расхождение, и она также не способна реализовать произвольные вычисления. При выполнении задач с интенсивным использованием данных эти операции могут привести к слишком большой Глубине схемы и невозможности ее обработки. Это не решение для интенсивного использования данных, оно применимо только для шифрования некоторых ключевых этапов.

TFHE в настоящее время уже имеет готовый реализационный код, основная работа Zama заключается в переписывании TFHE на языке Rust, то есть его rs-TFHE крейты. В то же время, чтобы уменьшить порог для пользователей, использующих Rust, он также создал инструмент транскомпиляции Concrate, который может преобразовывать Python в эквивалентный rs-TFHE. С помощью этого инструмента можно транслировать языки больших моделей, основанные на Python, в язык Rust на основе TFHE-rs. Таким образом, можно выполнять большие модели, основанные на шифровании данных, но на самом деле такие задачи, интенсивные по данным, не очень подходят для сценариев TFHE. Продукт Zama fhEVM - это технология, которая использует полностью Гомоморфное шифрование (FHE) для реализации конфиденциальных смарт-контрактов на EVM, которая может поддерживать конфиденциальные смарт-контракты, скомпилированные на языке Solidity.

В целом, Zama, как продукт To B, построил сравнительно совершенный стек разработки блокчейна+ИИ на основе TFHE. Он может помочь проектам web3 просто создавать инфраструктуру и приложения для FHE.

Октра

Одним из особых моментов Octra является использование альтернативной техники для реализации FHE. Она использует технику, называемую гиперграфами, для реализации bootstrap. Основанная также на булевых схемах, но Octra считает, что техника на основе гиперграфов может обеспечить более эффективную FHE. Это оригинальная технология реализации FHE в Octra, в команде которой есть высокая инженерная и криптографическая компетенция.

Octra разработала новый язык смарт-контрактов, который использует библиотеки кода OCaml, AST, ReasonML (язык для взаимодействия с сетью блокчейна Octra и создания смарт-контрактов и приложений) и C++. Разработанная ими библиотека Hyperghraph FHE совместима с любым проектом.

Его архитектура также подобна проектам Mind Network, Bittensor, Allora и т. д., которые построили основную сеть, а затем другие проекты стали подсетями, создавая изолированную среду выполнения. В то же время, подобно этим проектам, все они создали новое развивающееся СоглашениеПротокол, более подходящее для самой архитектуры. Octra построил СоглашениеПротокол ML-consensus на основе машинного обучения, суть которого заключается в DAG (ориентированный ациклический граф).

Технические принципы этого Соглашение в настоящее время не разглашаются, но мы можем сделать приблизительное предположение. Возможно, сделка передается в сеть, а затем используется Алгоритм опорных векторов (SVM) для определения лучшего Узел обработки, в основном выбирается на основе текущей загрузки сети каждого Узел. Система будет определять путь, достигнутый Соглашение на основе исторических данных (обучение ML Алгоритм). Достаточно, чтобы половина Узел достигла Соглашение по этой постоянно растущей базе данных.

Ожидание

Состояние развития передовых технологий криптографии, источник: Verdict

Технология FHE является технологией будущего, ее развитие все еще не дотягивает до технологии ZK из-за недостатка капиталовложений, низкой эффективности и высоких затрат, связанных с защитой конфиденциальности, что недостаточно мотивирует большинство коммерческих организаций. Развитие технологии ZK стало более быстрым благодаря инвестициям Crypto VC. FHE все еще находится на очень ранней стадии, и даже сейчас на рынке существует немного проектов из-за высоких затрат, высокой сложности и неопределенности перспектив коммерциализации. В 2021 году DAPRA запустила 42-месячный план по преодолению технологии FHE совместно с такими компаниями, как Intel, Microsoft, и добились определенных успехов, однако до достижения целевых характеристик производительности еще далеко. С появлением внимания Crypto VC к этому направлению в эту отрасль будет вложено больше денег, и ожидается, что появится больше проектов FHE в отрасли. Также появятся команды сильных инженерных и исследовательских способностей, такие как Zama, Octra, и другие, которые будут занимать центральное место на сцене. Технология FHE остается интересной для исследования комбинации с коммерциализацией и развитием блокчейна. В настоящее время лучшим применением является анонимизация узлового голосования, но область применения все еще ограничена.

Как и ZK, внедрение FHE-чипов является одним из предпосылок коммерциализации FHE, в настоящее время несколько производителей, таких как Intel, Chain Reaction, Optalysys и др., исследуют эту область. Несмотря на многочисленные технические сопротивления, внедрение FHE-чипов как технологии с огромными перспективами и четкой потребностью приведет к глубоким изменениям в таких отраслях, как оборона, финансы, медицина и др., освобождая потенциал комбинации этих конфиденциальных данных с будущей квантовой алгоритмом и другими технологиями, они также станут моментом взрыва.

Мы готовы исследовать эту раннюю передовую технологию, если вы создаете по-настоящему коммерчески успешный продукт FHE, или у вас есть более передовые технологические инновации, добро пожаловать к нам!