技术

同态加密

全同态加密(FHE)

一种密码学技术,让服务器可以在从不解密的前提下对加密数据进行计算。

最近审阅: 审阅人Kevin Riedl wiki ↗

同态加密让别人可以在你的数据上运行计算,而数据全程保持加密。客户端加密输入,服务器蒙着眼计算,只有客户端能解密结果。服务器什么都学不到,连答案都学不到。全同态加密(FHE)是它的一般形态:任意计算、不限深度,但要付出代价。

代价就是整个故事。FHE 比同一计算的明文版本慢约 1,000 倍到 10,000 倍,这排除了交互式负载和任何前沿模型尺寸的东西。真正在生产环境交付的是那个窄模式:私有查询和小而明确的计算。Apple 的 Live Caller ID Lookup 在不透露电话号码的前提下把陌生来电与服务器数据库比对(BFV 方案),Microsoft Edge 在看不到密码的前提下把它与泄露库比对,Zama 的协议在以太坊上以每秒几十笔交易结算加密交易。没有人把后端跑在 FHE 下,包括口袋最深的那几家公司。

在实践中,「FHE」是一个方案家族,各有各的甜区:TFHE 适合加密逻辑和比较,CKKS 适合近似数和机器学习,BGV/BFV 适合精确整数查询。工具链已经开源,强工程团队用得起来(Zama 的 TFHE-rs 和 Concrete ML、OpenFHE、Apple 的 Swift 库),但参数选择和性能工程仍是专家活。如果目标是证明一个事实而不是在隐藏数据上计算,零知识证明 是更好的工具;如果硬件信任根可以接受,可信执行环境能以接近原生的速度干同样的活。我们的 FHE 深潜 载有有出处的 2026 年数字,决策框架 则讲了 FHE 什么时候胜过替代方案。

// FAQ

常见问题

对窄负载,实用:私有查询(Apple 和 Microsoft 的模式)、小模型 ML 推理,以及每秒几十笔交易的加密逻辑。对通用或实时计算,不实用:相对明文的开销仍是三到四个数量级。
ZK 在不出示证据的前提下证明一个陈述为真;FHE 在始终保持加密的数据上计算。第三方必须验证某件事时用 ZK,一个不受信的一方必须在它永远不许看到的数据上计算时用 FHE。两者组合得很好:很多架构同时用到两个。
加密逻辑用 Zama 的 TFHE-rs,小模型上的私有推理用 Concrete ML,CKKS 式分析用 OpenFHE,私有查询用 Apple 的 swift-homomorphic-encryption。全部开源;成本在参数选择和性能工程上,不在授权费上。