返回
Kevin Riedl

11 分钟 阅读 · 5 Jul 2026

下一篇

在 2026 年用零知识证明与 FHE 构建真实应用:一份务实指南

零知识证明与全同态加密在过去两年跨过了一条线。Apple 在数亿部 iPhone 上跑 FHE。Google Wallet 用一个零知识证明来证明你的年龄。证明一整个以太坊区块如今只需几秒,而不是几分钟。可即便如此,大多数以“我们用 ZK 吧”或“我们用 FHE 吧”开局的项目仍然会失败,因为技术从来就不是那个该先问的问题。这篇指南就是我们在写下第一行电路代码之前使用的决策框架:这些工具什么时候有意义、2026 年它们的成本是多少,以及团队在它们身上烧掉预算的五种方式。

这是工程视角,不是供应商推销。下面每个数字都有出处;凡是供应商的预测而非已交付的结果,我们会明说。参考点来自 Wavect 在零知识前沿技术上的工作。

在为产品评估 ZK 或 FHE?

 预约免费咨询

ZK 和 FHE 能给你什么,普通加密给不了?

标准加密保护的是静态存储和传输中的数据。而你想对数据点什么的那一刻,就得先解密,于是执行计算的一方看得一清二楚。隐私增强技术堵的就是这个缺口,各有各的路子:

  • 零知识证明(ZK)让一方证明某个陈述为真,却不透露为什么为真。“我年满 18 岁”,但不出示出生日期。“这次计算跑对了”,但不用重跑一遍。ZK 的本质是可验证性加上选择性披露
  • 全同态加密(FHE)让服务器在自己读不了的数据上做计算。输入加密着进来,计算加密着跑,结果加密着回去。FHE 的本质是把计算外包给一个永远不许看到数据的运营方。基础概念见我们的术语表条目
  • 安全多方计算(MPC)让多方在谁都不交出自己输入的前提下共同完成一次计算,代价是参与方之间沉重的网络流量。
  • 可信执行环境(TEE)在硬件隔离的 enclave 里运行代码。速度接近原生,但你得信任芯片厂商,还得指望侧信道攻击不存在。

把它想象成一架信任阶梯。ZK 只要求你信任证明系统的数学。FHE 要求你信任密码学。MPC 要求你信任多数参与方保持诚实。TEE 要求你信任 Intel、AMD 或 NVIDIA。一个普通数据库则要求你信任运营者。阶梯每往下一级,就更快也更便宜。工程上的问题从来不是“哪个最安全”,而是“你的威胁模型允许你走到阶梯的哪一级”。四者的深度对比见 ZK vs FHE vs MPC vs TEE

你真的需要这些吗?先跑一遍决策树。

这个领域最昂贵的错误是密码学杀鸡用牛刀。在任何一项技术进入你的架构之前,诚实地回答四个问题:

  1. 用户信任你看到他们的数据吗?如果信任,且法律允许,那就用数据库、访问控制、TLS 和静态加密。这不是妥协,这是绝大多数产品的正确架构。PET 解决的是信任问题。没有信任问题,它们什么都解决不了,还花掉不少钱。
  2. 是否有第三方需要在看不到底层数据的情况下验证某件事?年龄检查、偿付能力证明、凭证核验、“这段代码跑对了”。这是 ZK 的地盘,也是几个选项里最成熟的。我们的深潜文章:ZK 里什么真正达到了生产就绪
  3. 是否必须让一个不受信的一方在它永远不许看到的数据上做计算?处理健康记录的云服务、一次不能让服务器得知任何查询信息的数据库检索。这是 FHE 或 MPC 的地盘,而且只有在工作负载小而明确时才行得通。现实核查:FHE 里什么能交付、什么还是炒作
  4. “我们看不到你的数据”是核心产品承诺或监管要求,还是一个锦上添花?如果只是锦上添花,一个 TEE 用接近原生的速度就能给你大部分故事。如果它就是产品本身,那就为真正的密码学以及随之而来的工程投入做预算。

注意这个规律:技术选择是从信任模型里推出来的,而不是反过来。那些从“我们想用 FHE”出发、事后再找问题的团队,最后都出现在下面的失败清单里。

Kevin Riedl

"如果用户信任你看到他们的数据,一个数据库就胜过一套密码系统。有意思的项目,是那些这种信任在结构上不可能存在的项目。"

2026 年到底有什么真正跑在生产环境里?

这已经不再是一个研究领域。一份你可以拿给董事会看的部署清单,每一条都附带一个教训:

部署技术规模教训
Apple Live Caller ID Lookup(iOS 18+)FHE(BFV)私有查询消费级规模,数亿台设备当工作负载是一次小而明确的查询而非通用计算时,FHE 就能交付
Google Wallet 年龄验证基于数字身份的 ZK 证明2025 年起上线,Bumble 是首批合作应用之一ZK 身份是真的;Google 把底层库开源了
Microsoft Edge Password Monitor同态加密每一位 Edge 用户与 Apple 同一模式:私有集合查询,范围收窄
World IDZK(Semaphore)数百万已验证用户ZK 唯一性证明在人口级规模上可行
以太坊 L2 有效性证明ZK(基于 STARK 的 zkVM)数十亿美元的受保护价值证明任意计算如今是工程问题,不是研究问题
Zama Protocol 主网以太坊上的 FHE(TFHE)2025 年 12 月起上线加密的智能合约状态是可能的,目前吞吐是每秒几十笔交易

两件事很扎眼。第一,每一个成功的 FHE 部署都是一次私有查询或一段收窄的计算,从来不是“把我们整个后端加密着跑”。第二,成功的 ZK 部署都是把单个敏感事实藏在一个证明后面,而不是试图让整个应用零知识化。范围纪律是它们的共同点。

它要花多少钱?2026 年的数字。

我们在架构评审里用的经验法则。这些是用于规划的数量级数字,每篇深潜文章里有精确、有出处的数据:

技术相对明文的开销延迟特征2026 年成本信号
TEE(Intel TDX、AMD SEV-SNP、NVIDIA 机密 GPU)计算密集型工作约 1% 到 10%,I/O 密集型更高接近原生市面上最便宜的隐私升级,前提是硬件信任根可以接受
ZK 证明(zkVM)证明者一侧很高,验证者一侧近乎为零大型计算在 GPU 集群上需要数秒据 ethproofs 跟踪器,2025 年间证明一整个以太坊区块的平均成本降到了约 4 美分
FHE(TFHE、CKKS、BFV)每次运算约 1,000 倍到 10,000 倍每个加密门电路毫秒级,小型 ML 模型分钟级对小而高价值的计算可行;一次 bootstrapping(自举)操作在 NVIDIA H100 上如今已低于 1 毫秒
MPC算力便宜,通信不便宜由网络往返主导,常常是数 GB 的流量数据中心内没问题,跨公网很痛苦

比绝对数字更重要的是不对称性。ZK 对证明者贵一次,之后对每个验证者几乎免费,所以它适合“证明一次、到处验证”的产品。FHE 每一次运算都贵,所以它目前只适合小而高风险的计算,别的都不行。如果有人给你报的 FHE 基准好得离谱,查一下他们是不是在引用一篇 MPC 论文。把这两者混为一谈,是这个领域内容里最常见的单一错误,我们在 FHE 深潜里把它拆开讲了。

这些项目失败的五种方式是什么?

每一种我们都见过或评审过。它们以可预测的方式失败:

  • 1. 一个登录就够的地方用了密码学。团队在同属一家公司的服务之间传 ZK 证明。威胁模型里根本没有对手。结果是一个更慢、更贵、但架构图很唬人的系统。如果你信任运营者,就用访问控制。
  • 2. 约束不足的电路。ZK 漏洞的主流类别是电路因为缺少某条约束,接受了本该拒绝的证明。zkFuzz 这类研究工具在 2025 年找到了数十个这样的 Bug,其中包括 zkEmail 广泛使用的 zk-regex 组件里的十一个 (zkFuzz, arXiv 2025)。一个没有电路审计和模糊测试的 ZK 系统不是安全产品,是一项负债。
  • 3. Trusted Setup 上抄近路。现实世界里最早的 ZK 攻击不是什么高深数学,而是被搞砸的 Groth16 trusted setup (zkSecurity)。2026 年你已经很少需要按应用做一次 trusted setup:透明证明系统(STARK 家族)彻底绕开了这个仪式。默认选它们。
  • 4. 隐私技术到位,用户同意缺席。Apple 发布的 Enhanced Visual Search 用了货真价实的强密码学(FHE 加差分隐私),却默认开启、不问用户,结果在 2025 年 1 月吃了一场公开反弹 (The Register)。完美的数学替代不了一个 opt-in 对话框。监管者和用户评判的是同意流程,不是格密码参数。
  • 5. 用 FHE 扛交互式负载。1,000 倍以上的开销意味着任何用户实时等待的东西都不在范围内,加密的 LLM 聊天离实用还有数年。在融资 PPT 里承诺它的团队,后来都悄悄换成了 TEE。把 FHE 的范围限定在查询、匹配、打分和小模型推理上,那里它是真的能用。

怎样界定一个能扛住现实的首个项目?

从上面那些部署里提炼出来的、行得通的模式:

  1. 先把那一个真正要紧的秘密隔离出来。不是“把应用做成隐私的”,而是“服务器永远不许得知被查询的电话号码”,或者“场馆永远不许得知出生日期”。一句话,一个秘密,一个验证者。
  2. 只让它走昂贵路径。Apple 模式:系统的 99% 是一个普通应用,那次私有查询是唯一的 FHE 调用。Google 模式:钱包就是个普通钱包,年龄检查是唯一的 ZK 证明。
  3. 选无聊、有人维护的工具。2026 年做 ZK,这意味着一个 Rust zkVM(SP1、RISC Zero)或 Noir,而不是手写电路。做 FHE,这意味着 Zama 的 TFHE-rs 和 Concrete ML、OpenFHE,或 Apple 的 Swift 库。完整的工具表在 ZK 那篇FHE 那篇里。
  4. 为审计做预算,别只为构建做预算。电路审计加模糊测试是发布 ZK 的固定成本。跳过它,就是别人写漏洞赏金报告时拿你当主角的方式。RISC Zero 为一个在先前多轮审计之后才被发现的 Bug 付了 5 万美元赏金,这说明即便对最顶尖的团队,这件事也有多难。
  5. 尽早谈好退路。如果延迟或成本的数字算不拢,TEE 是诚实的退路,而且对很多欧盟合规场景它已经足够。第二周做这个决定很便宜。第八个月做,就是一次重写。

还有一个值得点名的驱动力:监管把这个领域往前拉的速度比产品需求更快。按 eIDAS 2.0,每个欧盟成员国必须在 2026 年底前提供数字身份钱包,而该框架明确鼓励零知识风格的选择性披露。European Health Data Space 在健康数据的二次使用上指向隐私增强技术。如果你面向欧盟销售,问题正从“我们为什么要用这个”变成“监管者预期哪些部分要用”。决策框架那篇把监管条目映射到了具体的技术选择。

常见问题

2026 年 FHE 实用吗?
对窄而明确的工作负载,实用。Apple 在 iPhone 上以消费级规模运行基于 FHE 的私有查询,Microsoft Edge 用同态方式检查密码。对通用计算或实时应用,不实用:相对明文的开销仍是三到四个数量级。范围就是一切。
零知识只对区块链有用吗?
不。2025 和 2026 年最高调的部署是身份,不是加密货币:Google Wallet 用 ZK 证明年龄,欧盟数字身份钱包正在采纳选择性披露,zkTLS 让用户能证明来自任何网站的事实。区块链出钱养大了工具链;身份才是它落地的地方。参见我们关于加密之外 ZK 用例的文章。
初创公司今天该用 ZK 或 FHE 来构建吗?
只有当信任问题是产品的结构性问题时才该用,也就是用户或监管者要求你必须看不到数据。若是如此,把范围收窄到一个秘密、一个证明或一次加密计算,并使用 SP1、Noir 或 TFHE-rs 这类有人维护的工具。如果隐私承诺只是锦上添花,一个 TEE 或普通加密能让你早几个月上市。
一个 ZK 或 FHE 项目比普通项目贵多少?
算上电路或参数设计、审计和性能工程之后,按可比常规项目的约 1.5 到 3 倍来规划。密码学核心很少是最大的开支项;审计和评估基础设施才是。把密码学面收窄,成本会大幅下降。

最终思考

ZK 和 FHE 不再是研究玩具。Apple、Google 和 Microsoft 在生产环境里跑它们,以太坊几秒钟就能证明整个区块,欧盟监管也开始默认它们存在。但所有赢下来的部署都有一个共同点:一个微小的密码学核心,装在一个其余部分都很无聊的系统里。一个秘密,一个证明,一次加密查询。

所以,先做信任模型测试,再做技术测试。如果用户信任你,就发布一个数据库,靠产品取胜。如果他们在结构上不可能信任你,就选尽可能窄的密码学范围,用有人维护的工具,为审计留预算,并在口袋里备好一个 TEE 退路。这就是这些项目得以交付、而不是卡死在第八个月的方式。

想给你的隐私架构做一次理性核查?

 预约免费咨询
返回
Kevin Riedl

11 分钟 阅读 · 5 Jul 2026

下一篇