Что такое полностью гомоморфное шифрование (FHE)? 

Какие существуют методы шифрования данных в Web2 и Web3?

Люди сталкиваются с защитой данных в бытовых и служебных ситуациях. Процесс шифрования проходит автоматизированно и настолько быстро, что многие его не замечают. Интерфейс всего на несколько секунд выдает значок замка в строке веб-браузера или всплывающие условия безопасности интернет-банкинга. 

Большинство видов шифрования призвано обеспечить простые потребности людей — сохранность личных данных на различных устройствах. Наиболее популярные решения:

• AES (Advanced Encryption Standard). Использует один ключ для шифровки и дешифровки. Применяется для защиты данных в смартфонах, компьютерах, облачных сервисах, банковских системах, VPN и Wi-Fi (WPA2/WPA3);

• RSA (Rivest, Shamir, Adleman). Асимметричный алгоритм шифрования с использованием пары ключей — открытого (публичного) для упаковки данных и закрытого (приватного) для распаковки. Метод применяется в электронных подписях, email-службах, интернет-браузерах, протоколе HTTPS для установления защищенного соединения через SSL/TLS;

• TLS (Transport Layer Security). Решение защищает соединения между клиентом и сервером подобно предыдущим, но использует комбинацию симметричных и асимметричных методов: RSA — для обмена ключами, AES — для шифрования данных;

• End-to-End Encryption (E2EE). Этот метод сквозного шифрования используется в мессенджерах WhatsApp, Signal, Telegram. Протокол защищает данные от прослушивания на серверах, через которые они проходят, а также применяется в некоторых почтовых сервисах и видеоконференциях;

• SHA (Secure Hash Algorithm). Семейство криптографических хеш-функций для создания цифровых подписей и обеспечения целостности данных. В биткоине используется SHA-256 — алгоритм преобразует входные данные в уникальную фиксированную строку (хеш) для проверки аутентичности;
• ECC (Elliptic Curve Cryptography). Применяется для шифрования данных в мобильных устройствах, защищенных интернет-соединениях, криптовалютах. Протокол использует математику эллиптических кривых для создания маленьких, но надежных ключей шифрования. Имплементация ECDSA выбрана Сатоши Накамото при создании биткоина в 2008 году. В 2021 году в обновлении Taproot добавлены более прогрессивные подписи Шнорра. Они повысили уровень безопасности и позволили реализовать упрощенную схему мультиподписей. Но не справились с желаемой анонимностью — отправители и получатели монет остались под присмотром аналитиков.

Что такое Fully Homomorphic Encryption (FHE) — полностью гомоморфное шифрование?

Преимущества технологии блокчейн в децентрализации и прозрачности, но один из самых больших недостатков — низкий уровень анонимности. Разработчики проектов Monero, Zcash, биткоин-миксера Tornado Cash столкнулись с регуляторным давлением в попытках повысить приватность пользователей.

В последние годы набирает популярность технология ZKP, исключающая необходимость передачи данных третьей стороне. Стартапы zkSync, Polygon zkEVM, Scroll, StarkWare не только решают задачи масштабируемости блокчейнов, но и помогают скрыть личность юзера.

Еще одним способом повысить анонимность и сохранность данных является гомоморфное шифрование. Впервые оно было предложено в 1978 году авторами алгоритма RSA и позволяет выполнять математические операции над данными, не расшифровывая их.

Существует несколько видов гомоморфного шифрования, которые различаются по степени поддерживаемых операций и вычислительных возможностей:

• частично гомоморфное шифрование (PHE). Позволяет выполнять лишь одну математическую операцию над зашифрованными данными — сложение или умножение. В алгоритмах RSA и Эль-Гамаля — только умножение, в криптосистеме Паскаля Пэйе — сложение;

• отчасти (немного) гомоморфное шифрование (SWHE). Поддерживает ограниченное количество сложений и умножений, прежде чем зашифрованный текст становится слишком «шумным» и угрожает искаженному результату. SWHE был основой для первой реализаций FHE;

• полностью гомоморфное шифрование (FHE). Наиболее мощная форма, которая поддерживает выполнение произвольного числа сложений и умножений над зашифрованными данными. 

Например, Алиса хочет передать Бобу информацию с рецептом новогоднего блюда вместе с купленными продуктами. Для этого она привлекает третью сторону и нанимает курьера Джона. Она шифрует семейный рецепт, оставляя лишь список продуктов. Алиса использует приватный ключ, а алгоритм умножает и суммирует данные, добавляя «шум». Джон выполняет закупку и доставляет продукты вместе с рецептом Бобу. Он, зная ключ, расшифровывает данные FHE-алгоритмом — обратными математическими операциями.

Полностью гомоморфное шифрование позволяет скрыть то, что передается или обрабатывается. В этом его главное отличие от ZKP, где фокус смещен на анонимность того, кто владеет данными и выполняет операцию — личности пользователя. 

В 2020 году сооснователь Ethereum Виталик Бутерин опубликовал работу о применении FHE в блокчейне. 

«Полностью гомоморфное шифрование долгое время считалось одним из святых Граалей криптографии. Его потенциал впечатляет: это тип шифрования, который позволяет третьей стороне выполнять вычисления над зашифрованными данными и получать зашифрованный результат, который можно передать обратно тому, у кого есть ключ для расшифровки исходных данных, при этом третья сторона не может расшифровать ни данные, ни результат», — описал технологию Бутерин.

Как развивалось полностью гомоморфное шифрование?

В 1982 году Шафи Гольдвассер и Сильвио Микали предложили систему шифрования, гомоморфную относительно умножения и способную зашифровать всего один бит. Усовершенствованную систему со схожими принципами представил в 1999 году Паскаль Пэйе.

Схемы шифрования RSA и Эль-Гамаля были ранними представителями PHE и ограничивались выполнением одного типа операции, недостаточного для решения сложных задач. В 2005 году криптосистема Боне-Го-Ниссима (BGN) стала первой, позволяющей выполнять неограниченное число операций сложения и одной операции умножения. 

В 2009 году аспирант Стэндфордского университета и стажер IBM Крейг Джентри предложил систему FHE. Она может использоваться для обеспечения конфиденциальности данных при любых видах их обработки в недоверенных средах — облачных или распределенных вычислениях. 

FHE-схема Джентри основана на теории решеток и вводит понятие «шума», который постепенно увеличивается с каждой операцией. Криптограф решил задачу процессом бутстраппинга (начальной загрузки) — частичной расшифровкой и повторным шифрованием. Эта новаторская конструкция имела чрезмерно высокую вычислительную стоимость и тормозила опытные модели.

В 2011 году криптографы предложили более упрощенную FHE-схему на основе проблемы обучения с ошибками (LWE) и кольцевой версией — Ring-LWE. Подход Бракерски—Фан-Веркотерена (B/FV) смог эффективно контролировать рост «помех». С помощью техники переключения модуля увеличивается количество операций, которые можно выполнить без перезагрузки. Эти достижения повысили эффективность в конкретных сценариях применения.

Как FHE применяют в Web3?

FHE имеет потенциал для облачных вычислений, финансов, медиа, медицины и других областей, где важна конфиденциальность данных. В связке с ZKP-решениями либо раздельно шифрование способно повысить анонимность пользовательской информации в DeFi, DePIN, ИИ с фокусом на блокчейн.

Применение FHE в Web3: 

• многосторонние вычисления (MPC). Протоколы разделяют вычисления на несколько частей, каждая из которых выполняется разными узлами. С использованием FHE-механик каждая из них может оставаться зашифрованной, обеспечивая дополнительную конфиденциальность исходников;

• защита данных. Хранение информации в зашифрованном виде в связке со смарт-контрактами открывает доступ только законным пользователям;

• облачные вычисления. FHE позволяет передавать зашифрованные данные в облачные сервисы для обработки без необходимости раскрывать их провайдеру. Например, предоставить зашифрованную финансовую информацию бухгалтеру, получив закрытый отчет обратно;

• защита от максимально извлекаемой стоимости (MEV). MEV-боты ищут транзакции с высокой стоимостью и отправляют свои до того, как они будут обработаны, получая таким образом прибыль. Невозможность анализа транзакций с помощью FHE позволяет избавиться от атак опережения;

• конфиденциальность участников Web3-отраслей. Позволяет зашифровать информацию DeFi-пользователей, валидаторов рестейкинга, инфраструктурных поставщиков DePIN-сетей;

• машинное обучение на зашифрованных данных. С помощью FHE можно доверять зашифрованные данные ИИ. Это пригодится в медицине, где сведения о пациентах должны быть защищены, но могут использоваться для тренировки машин в целях диагностики заболеваний;
• голосования. С помощью FHE данные могут быть зашифрованы, что сохраняет конфиденциальность и делает невозможным влияние на исход политических выборов или голосования в ДАО.

Какие компании внедряют технологию FHE?

После релиза схемы Джентри в 2009 году за эксперименты взялись технические гиганты. Для компаний вроде IBM и Google важно было первыми реализовать защиту данных клиентов облачных сервисов. 

За первое десятилетие многие ведущие игроки индустрии предоставили собственные решения. Они основывались на управлении ключами доступа и облачных вычислениях с FHE-защитой. IBM представила библиотеку разработки HElib, а затем IBM Guardium Data Encryption — набор сервисов для защиты данных с передовыми технологиями, включая вариации FHE.

В конце 2022 года Google открыла доступ к исходному коду двух инструментов на базе FHE. Технологии повышения конфиденциальности (PET) включают сервис ИИ-блюринга видео Magritte и FHE Transpiler для разработчиков. Первая экономит время видеоредакторов, помогая размывать нежелательный контент, вторая актуальна в работе над зашифрованными данными — в финансовой, государственной, медицинской сферах.

 Как стартапы развивают FHE в Web3?

После публикации эссе Виталика Бутерина о пользе FHE разработчики начали внедрять технологию в сеть Ethereum. Первые проекты вроде Zama появились в 2020 году.

Французская компания представила полностью гомоморфное EVM-совместимое решение — fhEVM. Оно позволяет проводить вычисления над зашифрованными данными, предоставляя функции конфиденциальности смарт-контрактов и dapps.

Команда Zama верит, что сможет повлиять на создание нового единого стандарта интернет-соединения HTTPZ — постоянно зашифрованных данных не только в момент их передачи, но и во время вычислений над ними. В марте 2024 года криптокомпания закрыла раунд финансирования Серии А на сумму $73 млн. Его возглавили Multicoin Capital, Protocol Labs и Filecoin.    

Fhenix специализируется на развитии FHE в блокчейне Ethereum с заимствованной fhEVM от Zama. Компания в партнерстве с EigenLayer и Celestia создает стек сопроцессоров для снижения вычислительных затрат FHE-алгоритма. 

Другим направлением команды Fhenix является создание первого FHE-решения второго уровня (L2). Оптимистический роллап для Ethereum построен на базе Arbitrum Stack. В июне 2024 года команда объявила о запуске тестовой сети Helium и привлечении $15 млн в раунде финансирования Серии А.

Inco Network — модульная, fhEVM-совместимая сеть, призванная стать стеком конфиденциальности для разработчиков в Web3. Команда предлагает комбинированные решения с применением FHE, MPC и TEE и продвигает конфиденциальность как услугу (CaaS).

28 октября 2024 года соэмитент стейблокина USDC компания Circle в партнерстве с Inco Network представила решение Confidential ERC-20 Framework, предназначенное для маскировки транзакций. Оно позволяет обернуть существующие токены в EVM-совместимых сетях в конфиденциальную форму с поддержкой FHE.

Запуск третей фазы тестнета Paillier запланирован на IV квартал 2024 года, старт основной сети ожидается в первой половине 2025 года.

Согласно аналитическому сервису Cryptorank, в феврале 2024 года компания привлекла ~$4,5 млн инвестиций в посевном раунде. Его возглавили 1kx, Circle и P2 Ventures (Polygon Ventures).

Mind Network представляет собой уровень рестейкинга с использованием FHE в ИИ-сетях и на основе Proof-of-Stake (PoS). Он способен сохранять анонимность валидаторов при голосовании и начислении прибыли. Mind Network планирует также использовать FHE для конфиденциальных межсетевых транзакций на основе CCIP от Chainlink.

Какие недостатки у FHE?

FHE является многообещающей и потенциально востребованной технологией со множеством способов применения, но и своими слабыми сторонами:

• затраты на использование. Процесс шифрования и дешифрования данных FHE-алгоритмом более затратен в вычислительном отношении, чем другие способы;

• сложность реализации. На ранней стадии развития алгоритмы шифрования FHE еще не стандартизированы, разработчикам пока сложно реализовать этот метод для создания dapps;

• объем данных. FHE генерируют большие массивы информации, заполняя пространство в блоках блокчейнов, что может тормозить работу и повышать комиссии в сетях.