返回
Kevin Riedl

11 分钟 阅读 · 5 Jul 2026

下一篇

2026 年的全同态加密:什么能交付,什么还是炒作

全同态加密在应用密码学里的名声最古怪:既是“圣杯”,又“永远还差十年”。这两个名声现在都错了。FHE 今天跑在数亿部 iPhone 上,在 Microsoft Edge 里检查密码,在以太坊上结算加密交易。但它同时仍比明文慢三到四个数量级,这排除了人们想象中它的大部分用途。这篇文章把线画得清清楚楚:FHE 在 2026 年的生产环境里做什么、诚实的数字是什么,以及哪些说法该打折扣。配套的务实指南讲的是 FHE 到底什么时候才是对的工具。

这是工程视角,不是供应商推销。凡是数字来自供应商、或者是路线图预测而非已交付结果,我们都会标注。参考点来自 Wavect 在前沿技术AI 上的工作。

在为产品权衡 FHE 还是 TEE?

 预约免费咨询

FHE 是什么,为什么突然变得有意思了?

FHE 让服务器在从不解密的前提下对加密数据做计算。客户端加密输入,服务器蒙着眼跑计算,只有客户端能解密结果。服务器什么都学不到,连答案都学不到。这是一个比静态加密强得多的类别性承诺,也比可信执行环境更强,因为信任模型里没有硬件厂商。

它变得有意思,原因有二。第一是性能:一次 TFHE bootstrapping(自举)操作,也就是无限深度加密计算的基本单元,从 CPU 上的数十毫秒降到了 NVIDIA H100 上的不足 1 毫秒。第二是可信度:Apple 把它以消费级规模交付了,而 Zama 在 2025 年 6 月以超过 10 亿美元的估值完成 5,700 万美元 B 轮,成为该领域第一家独角兽 (Zama)。钱和生产部署改变了这场对话。

哪种方案干哪种活?

“FHE”是一个家族,选错成员是常见的第一个错误:

方案数据模型强项典型用途
TFHE (CGGI)比特与小整数快速可编程 bootstrapping,经查找表实现任意逻辑比较、分支逻辑、加密智能合约
CKKS近似实数,SIMD 打包数值负载下最佳的摊销吞吐机器学习推理、统计、分析
BGV / BFV精确整数,SIMD 打包规模化的精确算术私有查询(PIR)、精确分析、计数

经验法则:逻辑和比较用 TFHE,ML 用 CKKS,精确查询用 BFV。想入门这些方案,2025 年的“Beginner's Textbook for Fully Homomorphic Encryption”是个好起点 (arXiv 2503.05136)。现代技术栈越来越多地在计算中途切换方案,Google 的 HEIR 这类编译器项目干的正是这个。

生产环境里到底交付了什么?

生产清单很短、很真实,也很有教益:

  • Apple Live Caller ID Lookup(iOS 18+)。你的 iPhone 用基于 BFV 的私有信息检索,在不向服务器透露电话号码的前提下,把陌生来电与来电识别服务商的数据库比对。Apple 把这套栈开源为 swift-homomorphic-encryption (Swift.org, 2024)。加上下面的 Enhanced Visual Search,这很可能是现存最大的消费级 FHE 部署面。
  • Apple Enhanced Visual Search。照片应用用 FHE 加差分隐私,把你照片里的地标和服务器索引比对。密码学上无可挑剔,却依然是一堂用户同意课:Apple 默认开启、没有询问,2025 年 1 月吃了一场理所应当的公开反弹 (The Register)。隐私技术不是跳过 opt-in 的借口。
  • Microsoft Edge Password Monitor。用同态方式把你的凭证与泄露库比对,Microsoft 永远看不到密码。与 Apple 的部署同一个架构形状:一次私有集合查询。
  • 以太坊上的 Zama Protocol。2025 年 12 月上主网,通过 TFHE 在公链上实现加密代币余额和机密转账 (Zama docs)。目前吞吐是每秒几十笔交易;已公布的经 FPGA 和 ASIC 通往数千笔的路线图是预测,不是已交付的结果。
  • 企业数据协作。Duality Technologies 与包括 Dana-Farber 在内的医疗伙伴运行同态与联邦分析,通常是把 HE 与联邦学习结合,而不是把一切都放在 FHE 下跑。

注意每个消费级部署的共同点:都是针对服务器数据集的私有查询,文献里叫私有信息检索(PIR)。小查询、有界的计算、能容忍异步的延迟。这就是能交付的模式。没有人把后端跑在 FHE 下,包括地球上最有钱的那几家公司。

Kevin Riedl

"每一个真正交付了的 FHE 部署都是一次窄小的私有查询。失败的团队,都是想把整个后端加密的那些。"

FHE 到底有多慢?

截至 2026 年年中的诚实数字:

  • 总体开销:约 1,000 倍到 10,000 倍,相对同一计算的明文版本,视方案和负载而定。加法便宜,乘法和比较昂贵。
  • TFHE bootstrapping:现代 CPU 单核上个位数毫秒,H100 级 GPU 上不足 1 毫秒,有报告称一台 8 GPU 节点上每秒约 189,000 次 bootstrap(供应商数字)。
  • 小模型 ML 推理:逻辑回归、决策树和小型神经网络在 CKKS 下或经 Zama 的 Concrete ML 数秒内跑完;后者转换量化模型,4 比特量化下精度与明文相差不过几个点 (Hugging Face / Zama)
  • 规模化 PIR:今天就实用。Apple 以可接受的延迟和服务器成本,为全球相当大一部分 iPhone 回答加密查询。

用 1,000 倍规则来规划:明文计算要 1 微秒,加密版本要 1 毫秒,大概率可行。明文版本要 1 秒,加密版本就要 15 分钟往上,那不是产品。

能在 FHE 下跑 LLM 吗?

不能,至少不能交互式地跑。这一节之所以存在,是因为最常被引来证明相反结论的数字,错得很有教育意义。广为流传的“GPT-2 每 token 8.2 分钟、25.3 GB 通信量”出自安全两方计算研究,不是 FHE (arXiv 2410.13060)。数 GB 网络流量就是那个破绽:MPC 在参与方之间烧带宽,FHE 烧的是本地算力、几乎没有通信。把这两者混为一谈,是关于私有 AI 的内容里最常见的技术错误。

FHE 的真实画面:GPU 加速的研究把 GPT-2 级前向计算跑得比 CPU 基线快约 200 倍(ICML 2025),但离交互式聊天仍然很远。混合方案(注意力层明文跑、敏感层加密跑)拿隐私换速度,仍属研究。以生产标准衡量真正可行的,是在真正敏感数据上的小模型推理:信用评分、医疗预筛、欺诈信号,这些场景里有界模型上几秒的延迟可以接受。如果你今天就需要私有的前沿模型推理,务实答案是机密 GPU(NVIDIA H100 级 TEE),这些信任模型的对比在决策框架那篇里。

硬件会修好这个开销吗?

会修好一部分,时间表还算可信:

  • 今天就能买到的:GPU。上面不足 1 毫秒的 bootstrap 数字今天真实且可复现,而 Zama 的主网 coprocessor 仍跑在 CPU 上、每秒几十笔交易,GPU 迁移在 2026 年路线图上。GPU 加速带来一到两个数量级,而且是你现在唯一买得到的加速。
  • 2027 年及以后:ASIC 与更奇特的东西。DARPA 的 DPRIVE 项目播下了一波专用 FHE 芯片的种子(Niobium、Duality 的 TREBUCHET 一脉、Intel 的 HERACLES 工作),初创公司融资凶猛:Fabric Cryptography 为密码学 VPU 拿了 3,300 万美元 A 轮,Optalysys 在 2026 年初为光子 FHE 融了约 3,000 万美元,Cornami 在做众核 FHE 加速器。经常被引用的这一代 5,000 倍到 17,000 倍加速,是仿真结果和预测,不是已出货的芯片。现在按 GPU 做架构;把 ASIC 时间表当上行空间,别当计划。

该从哪个库开始?

方案侧重语言什么时候选它
TFHE-rs / Concrete (Zama)TFHERust、Python加密逻辑与整数;事实上的 TFHE 标准,社区最大
Concrete ML (Zama)TFHEPython,类 scikit-learn API不需要密码学专长的小模型私有 ML 推理
OpenFHE(Duality 与学术联盟)所有主流方案C++CKKS/BGV 负载、研究级灵活性、企业分析
swift-homomorphic-encryption (Apple)BFVSwiftPIR 式私有查询,尤其在 Apple 生态内
Lattigo (Tune Insight)CKKS、BGV、多方GoGo 团队与多方 HE 场景
Microsoft SEALBFV、CKKSC++已有集成;沉寂一段后 2026 年恢复维护,但生态动能在 TFHE-rs 和 OpenFHE 那边
HEIR (Google)跨方案编译器基于 MLIR把高层代码编译到 FHE 后端;最可能的长期抽象层 (heir.dev)

默认选择:逻辑用 TFHE-rs,小型私有 ML 用 Concrete ML,CKKS 分析用 OpenFHE,PIR 用 Apple 的库。全部开源;成本在参数选择、噪声预算和性能工程上,这也正是一个有经验的合作伙伴赚到自己费用的地方。

常见问题

2026 年全同态加密实用吗?
对窄负载,实用:私有查询(Apple 和 Microsoft 的模式)、小模型 ML 推理,以及每秒几十笔交易的加密逻辑。对通用或交互式计算,不实用:1,000 倍到 10,000 倍的开销仍然把它排除在外。范围界定就是整场比赛。
FHE 和 Intel TDX 或机密 GPU 这类 TEE 的区别是什么?
TEE 在硬件隔离内以接近原生的速度跑明文计算,但你要信任芯片厂商,还要指望侧信道攻击不存在。FHE 彻底移除了这层硬件信任,代价是三到四个数量级的性能。今天大多数需要规模化机密计算的产品选 TEE;FHE 赢在任何硬件信任根都不可接受的地方。
FHE 能私密地跑 ChatGPT 式的模型吗?
2026 年不能交互式地跑。GPU 加速的研究让加密的 GPT-2 级推理提速显著,但前沿规模的加密推理离实时仍然很远。常被引用的每 token 数分钟、数 GB 流量的数字,实际描述的是 MPC 系统,不是 FHE。今天要做私有 LLM 推理,机密 GPU 是务实选项。
TFHE 和 CKKS 是什么关系?
TFHE 在比特和小整数上计算,bootstrapping 很快,最适合比较、分支和精确逻辑。CKKS 在近似实数上计算,SIMD 打包密集,是机器学习和统计的首选方案。认真的应用常常通过方案切换把两者结合起来。
主要的 FHE 厂商和库有哪些?
Zama(TFHE-rs、Concrete、Concrete ML,以及以太坊上的 Zama Protocol)领跑商业领域,并在 2025 年成为该领域第一家独角兽。OpenFHE 是 CKKS 和 BGV 的参考开源库,Apple 开源了自家的 BFV 栈,Google 在开发 HEIR 编译器,Duality 和 Tune Insight 服务企业分析。

最终思考

2026 年的 FHE 既不是圣杯,也不是雾件。它是一个有着已验证生产模式的专用工具:客户端加密一个小查询,服务器蒙眼计算,除了用户本人没有任何人看到数据。Apple、Microsoft 和 Zama 交付的都正是这个形状,而构建它的工具(TFHE-rs、Concrete ML、OpenFHE、Apple 的 Swift 库)已经开源,今天就能被强工程团队用起来。

纪律体现在你拒绝构建什么上:任何交互式的东西、任何前沿模型尺寸的东西、任何一个数据库加访问控制就已满足信任模型的东西。把 FHE 的范围收窄到那一个必须蒙眼进行的计算,跑在 GPU 上,把 ASIC 路线图当上行空间,让 TEE 去扛 FHE 扛不动的负载。这样,你才能把密码学里最强的隐私保证装进产品,而产品不至于死于延迟。

想为你的技术栈做一次诚实的 FHE 可行性核查?

 预约免费咨询
返回
Kevin Riedl

11 分钟 阅读 · 5 Jul 2026

下一篇