第1課

同態加密的基礎

介紹全同態加密（FHE）的概念，說明其能夠在未解密的加密資料上直接運算。內容包括 FHE 的發展歷程、與部分同態加密（SHE, Somewhat Homomorphic Encryption）方案的主要區別，以及 FHE 在解決區塊鏈隱私問題上的應用。此外，並將 FHE 與零知識證明、多方計算等其他隱私技術並列，說明其技術定位。

同態加密簡介

同態加密是一種密碼學技術，能夠在不解密資料的情況下，直接對加密資料進行運算。運算後的結果仍維持加密狀態，只有持有正確密鑰的使用者才能解密查看。此特性對於敏感資訊在整個計算過程中維持機密性至關重要。關於在密文上執行操作的概念，最早可追溯至 20 世紀 70 年代，直到 2009 年 Craig Gentry 創建了全同態加密（FHE）方案，推動其由理論階段進入實用研究。

同態加密方案主要分為三類。部分同態加密（PHE）僅支援加法或乘法其中之一，無法同時支援兩者，RSA 和 ElGamal 就屬於這類型。有限同態加密（SHE）則支援有限次的加法和乘法，但因雜訊增長，難以處理複雜計算。全同態加密則可在加密資料上進行任何計算，功能最強大，但計算資源需求最大。

FHE 有別於其他隱私技術的關鍵，在於能夠於資料使用的每一階段維持加密狀態。傳統密碼學方法可保護靜態或傳輸中的資料，但一旦進行處理，就必須解密，導致資料可能被洩漏或濫用。FHE 則可在資料被運算時依然維持加密，有效消除此類風險，特別適合去中心化且不受信任的運算環境，例如公有鏈。

全同態加密對區塊鏈的重要性

區塊鏈的設計核心是透明性。網路中每一筆交易和合約的執行全都公開，讓每位參與者都能查閱。雖然此特性促進信任及可驗證性，但也為需要保密的應用帶來挑戰。像金融交易、醫療資料、身份憑證、企業紀錄等資訊通常不能公開，但仍必須安全處理。全同態加密提供了讓運算過程保持隱私，同時確保結果正確且可驗證的解決方案。

此技術在區塊鏈與其他隱私保護方法相比，特別突出。例如，零知識證明（ZKPs）能證明某方擁有特定資訊或運算正確性，卻不揭露底層資料，但通常需要證明者和驗證者的分工，更適合單一聲明驗證，不適合複雜流程。多方計算（MPC）則將運算分割至多個參與者，單一方無法掌握全部資料，但協調成本高且信任需分散。全同態加密則允許單一方直接針對加密資料運算，不必向任何中介（甚至智能合約）揭露內容。

此特性對去中心化金融（DeFi）和去中心化自治組織（DAO）產生顯著影響。例如在 DeFi，借貸市場和自動做市商所有部位和報價全都公開，複雜交易策略容易遭受前置交易。在 DAO，投票結果和偏好直接向社群公開，有時損害治理討論的敏感性。若利用 FHE，金融與治理活動都能在鏈上保密執行，僅於必要時揭露加密結果。

歷史發展與關鍵里程碑

全同態加密的發展早在成為實用研究前就已開始。早期密碼學文獻中雖已提出在加密資料上操作的想法，但缺乏有效實作。重大突破出現在 2009 年，Craig Gentry 首度提出基於格密碼學及名為 bootstrapping（自舉）的機制的 FHE 方案。Bootstrapping（自舉）能刷新帶有雜訊的密文，使計算深度得以無限延展。然而，Gentry 原始設計計算成本極高，即使簡單運算也需數小時。

Gentry 之後，相關研究大幅提升 FHE 的效能與實用性。BGV 和 BFV 方案著重於整數運算優化，CKKS 支援近似算術，讓機器學習等應用可用於加密資料。TFHE 和 FHEW 更加速位元級運算與 bootstrapping（自舉）。配合 GPU、FPGA 等硬體加速，這些技術持續消除效能瓶頸，讓 FHE 從學術理論走向可部署的實務技術。

區塊鏈與 FHE 研究並行，促成自然結合。區塊鏈提供開放、可驗證的運算平台，FHE 則讓資料隱私得以保障。至 2023 年，Zama 的 fhEVM 和 Fhenix 的隱私型 Rollup 等專案成功展示了 FHE 可以直接整合進智能合約環境。這些前沿原型縮短密碼學理論與區塊鏈實踐的差距，預示保密型去中心化應用將邁入新世代。