Доказательства с нулевым разглашением (ZKP) явно полезны для улучшения масштабируемости и конфиденциальности в web3, но им мешает зависимость от третьих сторон для обработки незашифрованных данных.

Полностью гомоморфное шифрование (FHE) обеспечивает прорыв, который позволяет одновременно обмениваться данными и разделять частное состояние без требований доверия третьих сторон.

FHE может выполнять вычисления непосредственно на зашифрованных данных, что позволяет использовать такие приложения, как AMM темного пула и пулы частного кредитования, где глобальная информация о состоянии никогда не просачивается.

Преимущества включают в себя не требующие доверия операции и несанкционированные переходы состояний в цепочке зашифрованных данных, а проблемы связаны с задержкой вычислений и целостностью.

Основные игроки развивающегося криптовалютного пространства FHE сосредоточены на разработке частных смарт-контрактов и специализированного аппаратного ускорения для масштабирования.

Будущая криптоархитектура FHE включает в себя потенциал для интеграции накопительных пакетов FHE непосредственно в Ethereum.

«Одной из самых больших остающихся проблем в экосистеме Ethereum является конфиденциальность (…) Использование всего набора приложений Ethereum предполагает обнародование значительной части вашей жизни, чтобы каждый мог ее увидеть и проанализировать», — Виталик

Доказательства с нулевым разглашением (ZKP) были любимцем криптографического сообщества, по крайней мере, в прошлом году, но у них есть свои ограничения. Они ценны с точки зрения конфиденциальности, подтверждения знания информации без ее утечки и масштабируемости, особенно в zk-rollups, однако в настоящее время они сталкиваются, по крайней мере, с некоторыми серьезными ограничениями:

(1) Скрытая информация часто хранится и вычисляется вне цепочки доверенной третьей стороной, что ограничивает возможность компоновки без разрешения других приложений, которым необходим доступ к этим данным вне цепочки. Этот вид доказательства на стороне сервера аналогичен таким системам, как облачные вычисления Web2.

(2) Переходы между состояниями должны выполняться в виде открытого текста, а это означает, что пользователи должны доверять сторонним средствам проверки незашифрованные данные.

(3) ZKP не подходит для приложений, которым требуется знание общего частного состояния для создания доказательств локального частного состояния.

Однако любой вариант использования с участием нескольких человек (например, темный пул AMM, частный кредитный пул) требует общего частного состояния в цепочке, а это означает, что для использования ZK требуется какой-то централизованный / офчейн-координатор для реализации общего частного состояния, что делает его громоздким. и ввести предположения о доверии.

Введите полностью гомоморфное шифрование

Полностью гомоморфное шифрование (FHE) — это схема шифрования, которая позволяет выполнять вычисления с данными без предварительного расшифрования. Он позволяет пользователям шифровать открытый текст в зашифрованный текст и отправлять его третьей стороне для обработки без расшифровки.

Что это значит? Сквозное шифрование. FHE позволяет совместно использовать частное состояние.

Например, в AMM децентрализованная учетная запись маркет-мейкера взаимодействует с каждой сделкой, но не принадлежит какому-либо отдельному пользователю. Когда кто-то обменивает токен A на токен B, он должен знать существующие суммы обоих токенов на общей учетной записи маркет-мейкера, чтобы получить действительное подтверждение деталей обмена. Однако если глобальное состояние скрыто с помощью схемы ZKP, создание этого доказательства становится невозможным. Напротив, если глобальная информация о состоянии общедоступна, другие пользователи могут получить подробную информацию об отдельных обменах.

Используя FHE, теоретически возможно скрыть общее состояние и личное состояние, поскольку это можно доказать вычислительно путем шифрования данных.

Помимо FHE, еще одной ключевой технологией для достижения Святого Грааля конфиденциальности являются многосторонние вычисления (MPC), которые решают проблему выполнения вычислений на частных входных данных и раскрывают только результаты этих вычислений, сохраняя при этом конфиденциальность входных данных. Однако мы оставим это для другого обсуждения. Наше внимание здесь сосредоточено на FHE – его плюсах и минусах, текущем рынке и вариантах использования.

Стоит отметить, что FHE все еще находится на ранних стадиях разработки, и это не вопрос трайбализма FHE против ZKP или FHE против MPC, а скорее о дополнительных возможностях, которые открываются в сочетании с доступными в настоящее время технологиями. Например, блокчейн, ориентированный на конфиденциальность, может использовать FHE для включения конфиденциальных смарт-контрактов, использовать MPC для распределения фрагментов ключей дешифрования между валидаторами и использовать ZKP для проверки целостности вычислений FHE.

Стоит отметить, что FHE все еще находится на ранних стадиях разработки, и это не вопрос трайбализма FHE против ZKP или FHE против MPC, а скорее о дополнительных возможностях, которые открываются в сочетании с доступными в настоящее время технологиями. Например, блокчейн, ориентированный на конфиденциальность, может использовать FHE для включения конфиденциальных смарт-контрактов, использовать MPC для распределения фрагментов ключей дешифрования между валидаторами и использовать ZKP для проверки целостности вычислений FHE.

за и против

На данный момент: Преимущества FHE включают в себя:

1. Никаких требований к доверию третьих сторон. Данные могут оставаться безопасными и конфиденциальными в ненадежной среде.

2. Компонуемость через общее частное состояние.

3. Доступность данных при сохранении конфиденциальности данных.

4. Квантовое сопротивление (кольцевого) ЛВЭ.

5. Возможность выполнять переходы между состояниями цепочки зашифрованных данных без разрешения.

6. Нет необходимости в оборудовании и централизованных цепочках поставок, уязвимых для атак по побочным каналам, таких как Intel SGX.

7. В контексте полностью гомоморфной EVM (fhEVM) нет необходимости учиться выполнять повторяющиеся математические умножения (например, мультискалярное умножение) или использовать незнакомые инструменты ZK.

К недостаткам относятся:

Скрывается. Интенсивность вычислений означает, что большинство схем в настоящее время коммерчески нежизнеспособны для приложений с интенсивными вычислениями. Стоит отметить, что это краткосрочное узкое место, учитывая, что аппаратное ускорение находится в стадии активной разработки, и в настоящее время fhEVM от Zama уже может достигать ~ 2 TPS на оборудовании стоимостью ~ 2000 долларов в месяц.

Проблемы с точностью. Схемы FHE требуют управления шумом для предотвращения недействительных или поврежденных зашифрованных текстов. Однако TFHE более точен, так как не требует аппроксимации (в отличие от CKKS для некоторых операций).

Рано. В пространстве web3 запущено очень мало готовых к производству проектов FHE, а это означает, что требуется много боевых испытаний.

обзор рынка

Текущий ландшафт FHE x криптовалют

подчеркивать

Zama предоставляет ряд инструментов FHE с открытым исходным кодом для криптографических и некриптографических сценариев использования. Его библиотека fhEVM поддерживает частные смарт-контракты, обеспечивая конфиденциальность и возможность компоновки в цепочке.

Fhenix использует библиотеку fhEVM от Zama для реализации сквозного агрегирования шифрования. Их цель — упростить процесс интеграции FHE в любой смарт-контракт EVM с минимальными изменениями в существующих контрактах. Команда основателей состоит из основателя Secret Network и бывшего руководителя подразделения FHE bizdev в Intel. Fhenix недавно привлек 7 миллионов долларов стартового финансирования.

Inco Network — это сеть L1, управляемая FHE и совместимая с EVM. Благодаря интеграции технологии шифрования fhEVM от Zama расчет зашифрованных данных вводится в смарт-контракт. Основатель Реми Гай был одним из основателей Parallel Finance и работал с несколькими инженерами Cosmos, чтобы реализовать эту концепцию.

аппаратное обеспечение. Некоторые организации создают аппаратное ускорение для решения проблем с задержкой. В частности, Intel, Cornami, Fabric, Optaanaанализ, KU Leuven, Niobium, Chain Reaction и некоторые команды ZK ASIC/FPGA. Этот всплеск развития был вызван получением DARPA гранта на ускорение FHE на базе ASIC около трех лет назад. Тем не менее, это специализированное аппаратное ускорение может не потребоваться для некоторых приложений блокчейна, где графические процессоры могут достигать 20+ TPS. FHE ASIC может повысить производительность до 100+ TPS, значительно снижая при этом эксплуатационные расходы валидатора.

Примечательное упоминание. Google, Intel и OpenFHE внесли значительный вклад в общее развитие FHE, лишь в меньшей степени в области шифрования.

Пример

Ключевым преимуществом является реализация общего частного состояния и индивидуального частного государства. Что это значит?

Частные смарт-контракты: традиционная архитектура блокчейна предоставляет пользовательские данные приложениям web3. Активы и транзакции каждого пользователя видны всем остальным пользователям. Это отлично подходит для доверия и возможности аудита, но также является серьезным препятствием для внедрения на предприятии. Многие компании не желают или просто отказываются обнародовать эту информацию. FHE меняет это.

Помимо сквозных зашифрованных транзакций, FHE также поддерживает зашифрованные пулы памяти, зашифрованные блоки и конфиденциальные переходы между состояниями.

Это открывает множество новых вариантов использования:

DeFi: темные пулы, устраняющие вредоносный MEV с помощью зашифрованных пулов памяти, неотслеживаемых кошельков и конфиденциальных платежей (например, зарплат сотрудников сетевых организаций).

Игра: многопользовательская стратегическая игра с крипто-государством, поддерживающая множество новых игровых механик, таких как секретные союзы, сокрытие ресурсов, разрушение, шпионаж, блеф и т. д.

ДАО: частное голосование.

СДЕЛАЛ: Шифрование кредитных рейтингов и других идентификаторов в цепочке.

Данные: Соответствующее управление данными в сети.

Так как же выглядит будущее архитектуры шифрования FHE?

Есть три основных компонента, на которых нам следует остановиться:

Уровень 1. Этот уровень является основой для разработчиков: (а) запускать приложения в сети или (б) взаимодействовать с существующей экосистемой Ethereum (модель ввода-вывода), включая основную сеть Ethereum и ее L2/сайдчейны.

Ключевым моментом здесь является гибкость L1, поскольку он обслуживает новые проекты, которым нужна собственная платформа с возможностями FHE, а также поддерживает существующие приложения, которые предпочитают оставаться в текущей цепочке.

Агрегация/цепочка приложений. Приложения могут запускать собственную агрегацию или цепочку приложений поверх этих L1 с поддержкой FHE. С этой целью Zama работает над оптимистичным стеком fhEVM L1 и накопительным стеком ZK FHE для масштабирования решений, ориентированных на конфиденциальность.

Накопительный пакет FHE на Ethereum. Запуск накопительного пакета FHE на Ethereum сам по себе может значительно повысить конфиденциальность в Ethereum, но сталкивается с некоторыми техническими проблемами:

Стоимость хранения данных: хотя записи открытого текста небольшие, данные зашифрованного текста FHE довольно велики (8+ КБ каждая). Хранение такого большого объема данных в Ethereum для целей доступности данных (DA) было бы очень дорогим с точки зрения платы за газ.

Централизация секвенсора. Централизованный секвенсор, упорядочивающий транзакции и контролирующий глобальные ключи FHE, является серьезной проблемой конфиденциальности и безопасности и в первую очередь противоречит цели fhEVM. Хотя MPC является потенциальным решением для децентрализованного управления глобальными ключами FHE, поддержка многосторонней сети для выполнения вычислений увеличивает эксплуатационные расходы и приводит к потенциальной неэффективности.

Централизация секвенсора. Централизованный секвенсор, упорядочивающий транзакции и контролирующий глобальные ключи FHE, является серьезной проблемой конфиденциальности и безопасности и в первую очередь противоречит цели fhEVM. Хотя MPC является потенциальным решением для децентрализованного управления глобальными ключами FHE, поддержка многосторонней сети для выполнения вычислений увеличивает эксплуатационные расходы и приводит к потенциальной неэффективности.

Создание действующего ZKP: Создание ZKP для операций FHE — сложная задача, которая все еще находится в стадии разработки. Хотя такие компании, как Sunscreen, добиваются прогресса, может пройти несколько лет, прежде чем эта технология станет широко доступной для коммерческого использования.

Интеграция EVM: операции FHE должны быть включены в EVM в качестве предварительной компиляции, что требует консенсусного голосования по обновлению всей сети, включающему множество проблем, связанных с вычислительными издержками и проблемами безопасности.

Требования к оборудованию валидатора. Валидаторам Ethereum требуется обновленное оборудование для запуска библиотеки FHE, что вызывает опасения по поводу централизации и стоимости.

Мы ожидаем, что FHE первоначально найдет свою нишу в менее мобильных средах и в определенных областях, где конфиденциальность имеет решающее значение. В конце концов, по мере увеличения пропускной способности на FHE L1 может стать доступной более глубокая ликвидность. В долгосрочной перспективе, как только вышеупомянутые проблемы будут решены, мы можем увидеть объединение FHE на Ethereum, которое сможет более плавно использовать ликвидность основной сети и пользователей. Задача сейчас состоит в том, чтобы найти убийственный вариант использования FHE, обеспечить соблюдение требований и вывести на рынок готовую к производству технологию.

Тем временем, любой разработчик, который хочет испачкать руки или заработать деньги с помощью охоты за головами, может попробовать испытания FHERMA от Fherma и заработать несколько четырехзначных вознаграждений.