2026 年的全同态加密:什么能交付,什么还是炒作
全同态加密在应用密码学里的名声最古怪:既是“圣杯”,又“永远还差十年”。这两个名声现在都错了。FHE 今天跑在数亿部 iPhone 上,在 Microsoft Edge 里检查密码,在以太坊上结算加密交易。但它同时仍比明文慢三到四个数量级,这排除了人们想象中它的大部分用途。这篇文章把线画得清清楚楚:FHE 在 2026 年的生产环境里做什么、诚实的数字是什么,以及哪些说法该打折扣。配套的务实指南讲的是 FHE 到底什么时候才是对的工具。
这是工程视角,不是供应商推销。凡是数字来自供应商、或者是路线图预测而非已交付结果,我们都会标注。参考点来自 Wavect 在前沿技术与 AI 上的工作。
在为产品权衡 FHE 还是 TEE?
预约免费咨询FHE 是什么,为什么突然变得有意思了?
FHE 让服务器在从不解密的前提下对加密数据做计算。客户端加密输入,服务器蒙着眼跑计算,只有客户端能解密结果。服务器什么都学不到,连答案都学不到。这是一个比静态加密强得多的类别性承诺,也比可信执行环境更强,因为信任模型里没有硬件厂商。
它变得有意思,原因有二。第一是性能:一次 TFHE bootstrapping(自举)操作,也就是无限深度加密计算的基本单元,从 CPU 上的数十毫秒降到了 NVIDIA H100 上的不足 1 毫秒。第二是可信度:Apple 把它以消费级规模交付了,而 Zama 在 2025 年 6 月以超过 10 亿美元的估值完成 5,700 万美元 B 轮,成为该领域第一家独角兽 (Zama)。钱和生产部署改变了这场对话。
哪种方案干哪种活?
“FHE”是一个家族,选错成员是常见的第一个错误:
| 方案 | 数据模型 | 强项 | 典型用途 |
|---|---|---|---|
| TFHE (CGGI) | 比特与小整数 | 快速可编程 bootstrapping,经查找表实现任意逻辑 | 比较、分支逻辑、加密智能合约 |
| CKKS | 近似实数,SIMD 打包 | 数值负载下最佳的摊销吞吐 | 机器学习推理、统计、分析 |
| BGV / BFV | 精确整数,SIMD 打包 | 规模化的精确算术 | 私有查询(PIR)、精确分析、计数 |
经验法则:逻辑和比较用 TFHE,ML 用 CKKS,精确查询用 BFV。想入门这些方案,2025 年的“Beginner's Textbook for Fully Homomorphic Encryption”是个好起点 (arXiv 2503.05136)。现代技术栈越来越多地在计算中途切换方案,Google 的 HEIR 这类编译器项目干的正是这个。
生产环境里到底交付了什么?
生产清单很短、很真实,也很有教益:
- Apple Live Caller ID Lookup(iOS 18+)。你的 iPhone 用基于 BFV 的私有信息检索,在不向服务器透露电话号码的前提下,把陌生来电与来电识别服务商的数据库比对。Apple 把这套栈开源为 swift-homomorphic-encryption (Swift.org, 2024)。加上下面的 Enhanced Visual Search,这很可能是现存最大的消费级 FHE 部署面。
- Apple Enhanced Visual Search。照片应用用 FHE 加差分隐私,把你照片里的地标和服务器索引比对。密码学上无可挑剔,却依然是一堂用户同意课:Apple 默认开启、没有询问,2025 年 1 月吃了一场理所应当的公开反弹 (The Register)。隐私技术不是跳过 opt-in 的借口。
- Microsoft Edge Password Monitor。用同态方式把你的凭证与泄露库比对,Microsoft 永远看不到密码。与 Apple 的部署同一个架构形状:一次私有集合查询。
- 以太坊上的 Zama Protocol。2025 年 12 月上主网,通过 TFHE 在公链上实现加密代币余额和机密转账 (Zama docs)。目前吞吐是每秒几十笔交易;已公布的经 FPGA 和 ASIC 通往数千笔的路线图是预测,不是已交付的结果。
- 企业数据协作。Duality Technologies 与包括 Dana-Farber 在内的医疗伙伴运行同态与联邦分析,通常是把 HE 与联邦学习结合,而不是把一切都放在 FHE 下跑。
注意每个消费级部署的共同点:都是针对服务器数据集的私有查询,文献里叫私有信息检索(PIR)。小查询、有界的计算、能容忍异步的延迟。这就是能交付的模式。没有人把后端跑在 FHE 下,包括地球上最有钱的那几家公司。

"每一个真正交付了的 FHE 部署都是一次窄小的私有查询。失败的团队,都是想把整个后端加密的那些。"
FHE 到底有多慢?
截至 2026 年年中的诚实数字:
- 总体开销:约 1,000 倍到 10,000 倍,相对同一计算的明文版本,视方案和负载而定。加法便宜,乘法和比较昂贵。
- TFHE bootstrapping:现代 CPU 单核上个位数毫秒,H100 级 GPU 上不足 1 毫秒,有报告称一台 8 GPU 节点上每秒约 189,000 次 bootstrap(供应商数字)。
- 小模型 ML 推理:逻辑回归、决策树和小型神经网络在 CKKS 下或经 Zama 的 Concrete ML 数秒内跑完;后者转换量化模型,4 比特量化下精度与明文相差不过几个点 (Hugging Face / Zama)。
- 规模化 PIR:今天就实用。Apple 以可接受的延迟和服务器成本,为全球相当大一部分 iPhone 回答加密查询。
用 1,000 倍规则来规划:明文计算要 1 微秒,加密版本要 1 毫秒,大概率可行。明文版本要 1 秒,加密版本就要 15 分钟往上,那不是产品。
能在 FHE 下跑 LLM 吗?
不能,至少不能交互式地跑。这一节之所以存在,是因为最常被引来证明相反结论的数字,错得很有教育意义。广为流传的“GPT-2 每 token 8.2 分钟、25.3 GB 通信量”出自安全两方计算研究,不是 FHE (arXiv 2410.13060)。数 GB 网络流量就是那个破绽:MPC 在参与方之间烧带宽,FHE 烧的是本地算力、几乎没有通信。把这两者混为一谈,是关于私有 AI 的内容里最常见的技术错误。
FHE 的真实画面:GPU 加速的研究把 GPT-2 级前向计算跑得比 CPU 基线快约 200 倍(ICML 2025),但离交互式聊天仍然很远。混合方案(注意力层明文跑、敏感层加密跑)拿隐私换速度,仍属研究。以生产标准衡量真正可行的,是在真正敏感数据上的小模型推理:信用评分、医疗预筛、欺诈信号,这些场景里有界模型上几秒的延迟可以接受。如果你今天就需要私有的前沿模型推理,务实答案是机密 GPU(NVIDIA H100 级 TEE),这些信任模型的对比在决策框架那篇里。
硬件会修好这个开销吗?
会修好一部分,时间表还算可信:
- 今天就能买到的:GPU。上面不足 1 毫秒的 bootstrap 数字今天真实且可复现,而 Zama 的主网 coprocessor 仍跑在 CPU 上、每秒几十笔交易,GPU 迁移在 2026 年路线图上。GPU 加速带来一到两个数量级,而且是你现在唯一买得到的加速。
- 2027 年及以后:ASIC 与更奇特的东西。DARPA 的 DPRIVE 项目播下了一波专用 FHE 芯片的种子(Niobium、Duality 的 TREBUCHET 一脉、Intel 的 HERACLES 工作),初创公司融资凶猛:Fabric Cryptography 为密码学 VPU 拿了 3,300 万美元 A 轮,Optalysys 在 2026 年初为光子 FHE 融了约 3,000 万美元,Cornami 在做众核 FHE 加速器。经常被引用的这一代 5,000 倍到 17,000 倍加速,是仿真结果和预测,不是已出货的芯片。现在按 GPU 做架构;把 ASIC 时间表当上行空间,别当计划。
该从哪个库开始?
| 库 | 方案侧重 | 语言 | 什么时候选它 |
|---|---|---|---|
| TFHE-rs / Concrete (Zama) | TFHE | Rust、Python | 加密逻辑与整数;事实上的 TFHE 标准,社区最大 |
| Concrete ML (Zama) | TFHE | Python,类 scikit-learn API | 不需要密码学专长的小模型私有 ML 推理 |
| OpenFHE(Duality 与学术联盟) | 所有主流方案 | C++ | CKKS/BGV 负载、研究级灵活性、企业分析 |
| swift-homomorphic-encryption (Apple) | BFV | Swift | PIR 式私有查询,尤其在 Apple 生态内 |
| Lattigo (Tune Insight) | CKKS、BGV、多方 | Go | Go 团队与多方 HE 场景 |
| Microsoft SEAL | BFV、CKKS | C++ | 已有集成;沉寂一段后 2026 年恢复维护,但生态动能在 TFHE-rs 和 OpenFHE 那边 |
| HEIR (Google) | 跨方案编译器 | 基于 MLIR | 把高层代码编译到 FHE 后端;最可能的长期抽象层 (heir.dev) |
默认选择:逻辑用 TFHE-rs,小型私有 ML 用 Concrete ML,CKKS 分析用 OpenFHE,PIR 用 Apple 的库。全部开源;成本在参数选择、噪声预算和性能工程上,这也正是一个有经验的合作伙伴赚到自己费用的地方。
常见问题
2026 年全同态加密实用吗?
FHE 和 Intel TDX 或机密 GPU 这类 TEE 的区别是什么?
FHE 能私密地跑 ChatGPT 式的模型吗?
TFHE 和 CKKS 是什么关系?
主要的 FHE 厂商和库有哪些?
最终思考
2026 年的 FHE 既不是圣杯,也不是雾件。它是一个有着已验证生产模式的专用工具:客户端加密一个小查询,服务器蒙眼计算,除了用户本人没有任何人看到数据。Apple、Microsoft 和 Zama 交付的都正是这个形状,而构建它的工具(TFHE-rs、Concrete ML、OpenFHE、Apple 的 Swift 库)已经开源,今天就能被强工程团队用起来。
纪律体现在你拒绝构建什么上:任何交互式的东西、任何前沿模型尺寸的东西、任何一个数据库加访问控制就已满足信任模型的东西。把 FHE 的范围收窄到那一个必须蒙眼进行的计算,跑在 GPU 上,把 ASIC 路线图当上行空间,让 TEE 去扛 FHE 扛不动的负载。这样,你才能把密码学里最强的隐私保证装进产品,而产品不至于死于延迟。
想为你的技术栈做一次诚实的 FHE 可行性核查?
预约免费咨询