全同态加密 vs 安全多方计算 vs 零知识证明：隐私保护密码学对比

赞助帖子*

如果你一直关注Web3隐私技术的演变，你会注意到全同态加密（FHE）并不是唯一的选择。多方计算（MPC）和零知识证明（ZKPs或简称ZK）也被广泛用于保护敏感数据和实现安全计算。

不幸的是，这些技术经常被交替讨论，尽管它们解决的问题不同。诚然，三者都属于隐私保护密码学的范畴，意味着它们允许在不揭示底层数据的情况下使用或验证敏感信息。但它们依赖的机制——以及最适合的用例——差异很大。

理解这些技术的不同之处，将帮助你理解为什么它们在区块链领域以及传统金融和云计算中各自找到了一席之地。有些事情是FHE做得最好的，而其他的，正如我们将会发现的，更适合交由MPC或ZK证明处理。

隐私的三大支柱

现代计算在很大程度上依赖于与第三方共享数据，无论是云服务提供商对公司数据集进行分析，还是区块链在去中心化网络中验证交易和智能合约。然而，传统加密只在数据存储或传输时提供保护。一旦系统需要使用这些数据，就必须解密，这就可能成为潜在的暴露点。

隐私保护密码学试图通过允许在不揭示原始数据的情况下进行验证或计算来解决这个问题。FHE、MPC和ZKP各自以不同的方式应对这个挑战，但从高层次来看，它们的工作原理如下：

零知识证明（ZKPs）：零知识证明允许一方（证明者）说服另一方（验证者）某个陈述为真，而不透露除陈述有效性之外的任何信息。在DeFi的背景下，ZKP可以证明你已满18岁，而无需透露你的出生日期，或者证明你有足够的抵押品以获得贷款，而不透露你的总净资产。

ZKP非常适合验证，但它们并不设计用于对隐藏数据的联合计算。你是在证明你已知的内容，而不是请求服务器为你计算某些东西。

多方计算（MPC）：多方计算允许一组人共同计算一个函数，同时保持各自的输入私密，互不暴露。没有任何一方能看到完整的数据集。相反，数据被拆分成“份额”，分布在多个参与者之间。

如果说MPC的缺点，那就是它需要大量的通信。如果有人离线或网络延迟，计算可能会中断。

全同态加密（FHE）：全同态加密允许一个不受信任的单一方（如云提供商或区块链）对加密数据进行计算。与MPC不同，它不需要多方之间不断的往返通信，也不同于ZKP，它允许对数据进行实际的处理和变换，而不仅仅是验证。

这种能力使得FHE可以说是这三种密码技术中最强大的。唯一的缺点是，处理加密数据的计算成本更高，因此也更昂贵——但正如我们将看到的，性能的提升已大大缩小了这一差距。

现在让我们更深入地探讨这些隐私支柱的工作原理。

全同态加密：在加密数据上进行计算

FHE采取最直接的方法，允许在加密数据上直接进行计算。系统不在运行算法前解密信息，而是在密文上执行操作。当最终解密时，结果与在原始明文上运行相同操作的结果一致。

最常见的应用场景包括让云服务器处理金融数据或训练机器学习模型。但这一能力在Web3中也极为重要，智能合约可以在不看到原始输入的情况下执行交易。例如，在去中心化金融中，FHE被用来确保借贷头寸和抵押水平保持私密，同时仍能让智能合约验证偿付能力和执行清算逻辑。

FHE的最大优势在于它允许对加密数据进行任意计算。从理论上讲，任何程序都可以在这种环境中运行，唯一的权衡——正如我们之前提到的——是性能。全同态操作仍然计算成本高昂，尽管专用硬件和改进的算法正迅速缩小这一差距。

多方计算：分担工作

多方计算从不同角度解决隐私问题。它不允许单一机器对加密数据进行计算，而是将计算分散到多个参与者之间。每个参与者持有数据的一个片段，没有任何一方能单独获得完整数据集。

在Web3中，你很可能会在安全密钥管理的场景中遇到MPC。例如，许多机构托管解决方案使用MPC钱包，将私钥拆分到多个设备或服务器上。签署交易需要这些碎片的协作，意味着没有单一方能持有完整的密钥。

同样的能力也用于消费者钱包，确保如果用户丢失访问权限，可以让钱包开发者使用他们的“份额”恢复访问。关键是，开发者不能单方面使用他们的密钥份额控制钱包和其中的资金。

MPC的优势在于它避免了其他隐私保护技术所带来的高计算成本。然而，MPC的明显缺点是需要多个参与者之间的协调。如果足够多的参与者串通或离线，系统可能会失败或失去隐私保障。

零知识证明（ZKPs）：无需揭示即可证明

零知识证明采取了另一种方式。它不支持加密计算或分布式计算，而是允许某人证明某个陈述为真，而不揭示使其为真的底层数据。经典的例子是证明你知道密码，而不实际透露密码本身。

可以将ZKP视为一种数学证明。它不展示整个计算过程，而是生成一个密码学证明，证明计算已正确完成。任何人都可以验证这个证明，而无需看到原始输入。

这使得ZKP在验证方面极为强大，特别是在需要透明度和无需信任的环境中。然而，这项技术不太适合复杂的通用计算，因为为大型程序生成证明可能计算成本高昂，且通常需要专门的电路设计。

在这三种隐私技术中，ZKP目前在区块链系统中应用最为广泛，它们允许用户证明交易有效，而不暴露完整的交易细节。这一特性在注重隐私的网络和被称为ZK rollup的扩展方案中得到了广泛应用。

隐私保护计算的未来

FHE、MPC和ZKP并不是相互竞争的，而是被广泛视为同一工具箱的不同部分，各自解决更广泛隐私难题的不同环节。

FHE允许加密计算，MPC实现无需集中信任的协作计算，ZKP实现无需披露的验证。它们共同构建了一个新型的计算模型，在这个模型中，敏感数据即使在处理和共享过程中也能保持私密。

虽然ZKP和MPC已在Web3中得到广泛应用——ZKP用于以太坊扩展，MPC用于钱包安全——但它们在共享状态方面仍有限制。而FHE则允许全局私有状态，使区块链可以在不看到余额的情况下计算加密的余额。

随着这些工具的成熟，最终用户对它们的区别将变得不那么重要。就像大多数人在使用HTTPS时并不理解其背后的密码学一样，下一代应用可能会在不经意间默默依赖FHE、MPC和ZKP来默认保护他们的数据隐私。当这一天到来时，数字世界将拥有与我们在实体世界中享有的同等隐私水平。

*本文由Cryptonomist付费，未由Cryptonomist撰写或测试平台。