密码学方案和技术基础

FHE 方案简介

全同态加密并非单一算法，而是一系列密码学结构的集合，能够实现对加密数据的直接计算。每种方案都建立在复杂的数学难题之上，主要基于格的假设，如带误差学习（LWE）和环-LWE，这些问题被广泛认为即使面对量子计算机攻击也能保持安全。专家指出，这些方案在效率、计算支持类型以及噪声管理机制方面存在明显差异。深入理解主要方案对于掌握 FHE 如何集成到智能合约环境中以及为特定应用场景选择最佳设计至关重要。

业内最受关注的四种方案是 BFV、BGV、CKKS 和 TFHE/FHEW。每种方案针对不同的计算需求进行优化，并在略微不同的数学框架下运行。区块链领域选择哪种方案通常取决于目标应用是需要精确整数计算、适用于机器学习的近似运算，还是智能合约逻辑所需的高效位运算。

BFV 和 BGV：面向整数的方案

BFV （Brakerski–Fan–Vercauteren）和 BGV （Brakerski–Gentry–Vaikuntanathan）方案是首批获得广泛应用的实用 FHE 构造。两者均基于格密码学原理设计，专为整数或模运算操作服务。它们支持精确的加法和乘法运算，使其特别适合金融计算、电子投票系统以及对精确性要求严格的场景。

密码学专家表示，BFV 方案专注于高效处理模整数计算，特别适用于需要确定性结果且不允许舍入误差的应用场景。而 BGV 虽然基础原理相似，但引入了额外的密文打包优化，允许多个值并行处理（即批处理技术）。这种批处理能力在区块链环境中尤为珍贵，因为在此类系统中，交易吞吐量与计算成本紧密相连。

BFV 和 BGV 都采用分层同态加密架构，这意味着它们允许执行固定数量的操作，直到密文噪声增长超出阈值。自举（bootstrapping）技术通过同态方式重新加密密文以重置噪声，从而实现无限次计算。研究人员指出，早期自举算法效率极低，但近十年来的技术突破已将处理时间从分钟级降至毫秒级，使连续加密计算在实际系统中变得可行。

CKKS：用于机器学习的近似算术

CKKS （Cheon–Kim–Kim–Song）方案开创了同态加密的新思路，支持近似算术而非精确整数计算。该设计特别适合机器学习和人工智能工作负载，这些场景中精确度通常可以适当牺牲，浮点近似值已足够满足需求。加密专家解释，CKKS 能将实数或复数编码到密文中，并支持向量化计算，这显著加速了加密模型推理或隐私保护数据分析等任务。

CKKS 的主要权衡在于其近似特性：由于加密和计算过程中的缩放和舍入操作，结果可能存在微小误差。对于大多数 AI 和数据科学应用而言，这种误差是可以接受的，因为模型本身就具有数值波动容忍度。在区块链应用中，CKKS 可支持链上运行的隐私保护 AI 代理，执行预测或风险评估而无需暴露敏感模型参数或用户数据。

尽管在特定工作负载上表现出色，CKKS 并不适合要求精确结果的金融智能合约或投票系统。密码学研究员建议，这类应用应优先考虑 BFV 或 TFHE 等基于整数的方案。然而，CKKS 处理高维向量运算的能力使其成为未来去中心化 AI 市场和区块链隐私保护联邦学习的理想候选方案。

TFHE 和 FHEW：位级方案

TFHE （Fast Fully Homomorphic Encryption over the Torus）及其前身 FHEW 专为位级计算进行了优化。与操作向量或多项式的 BFV、BGV 或 CKKS 不同，密码学专家指出，TFHE 加密单个比特并执行高效布尔运算。这种设计特别适合需要逻辑门而非算术运算的应用，如条件比较、分支执行或加密智能合约状态转换。

TFHE 的最大技术突破在于其极速自举能力。在早期 FHE 方案中，自举操作是最主要的性能瓶颈，每次操作往往需要数秒完成。TFHE 通过创新的密文刷新机制，将这一时间缩短至毫秒级，使得持续加密计算在交互式应用中成为可能。这一重大进展使 TFHE 成为 Zama 的 fhEVM 等区块链环境的首选方案，因为这些平台要求智能合约能高效处理各种加密逻辑。

研究人员指出，TFHE 的主要局限在于其专注于二进制操作，这可能导致算术密集型工作负载的效率低于 CKKS 或 BFV。不过，混合架构正在快速发展，将 TFHE 用于控制逻辑，CKKS 用于近似计算，在隐私保护的去中心化应用中结合两种范式的优势。

自举和噪声管理

噪声是基于格的同态加密方案固有的特性。密码学专家解释，每次对加密数据执行操作都会增加噪声，一旦超过特定阈值，密文就无法正确解密。自举技术通过同态方式解密并重新加密密文来重置噪声水平，从而实现理论上无限次的计算操作。

早期的自举算法极为缓慢且资源消耗巨大，使全同态加密难以走出学术实验室。然而，研究人员表示，过去十年中的重大技术突破已将自举时间从分钟级降至毫秒级。TFHE 和 FHEW 率先实现了适合实时应用的低延迟自举，而 CKKS 和 BFV 也通过算法优化和硬件加速取得了显著进展。

噪声管理技术远不止自举一种。密码学工程师开发了模数切换、密钥切换和密文打包等多种技术，共同控制噪声增长并提高计算效率。模数切换在计算过程中减小密文规模，密钥切换允许加密数据在不同密钥间安全转换而无需解密，而密文打包则实现在单个密文中并行处理多个数值。这些技术构成了现代 FHE 实用系统的核心基础。

硬件加速和性能趋势

尽管算法不断优化，与传统密码学相比，FHE 仍然极为计算密集。行业专家指出，硬件加速因此成为研究与开发的焦点领域。由于其强大的并行计算能力，GPU 成为首选的加速平台，为 FHE 核心的多项式运算和向量化操作提供显著性能提升。近期，研究人员也在积极探索现场可编程门阵列（FPGA）和专用集成电路（ASIC）以实现更高能效和性能。

Zama 推出的同态处理单元（HPU）原型展示了业界对专用加密计算硬件的重视。安全专家表示，这类专用设备针对 FHE 工作负载进行了深度优化，能大幅降低延迟和能耗。随着区块链应用对低交易成本和高吞吐量的需求不断增长，硬件加速技术有望在使 FHE 智能合约实现商业可行性方面发挥关键作用。

库和开发框架

多个开源库已成为 FHE 开发者的核心工具。Microsoft SEAL 作为使用最广泛的库之一，支持 BFV 和 CKKS 方案，并针对易用性和跨平台兼容性进行了全面优化。开发人员介绍，OpenFHE（前身为 PALISADE）提供更全面的功能支持，包括多种加密方案和高级性能优化。IBM 开发的 HElib 虽主要聚焦 BGV 方案，但在学术研究领域仍保持重要影响力。

在 TFHE 应用开发方面，技术专家推荐 Zama 的 TFHE-rs 库，该库提供高效自举功能并与 fhEVM 框架无缝集成。Zama 的另一款产品 Concrete 为开发者提供了 Rust 语言环境下构建 FHE 应用的友好工具，强调易用性而不牺牲性能。专注于以太坊保密智能合约的 Fhenix 则推出了创新的 Solidity SDK，成功抽象了大部分密码学复杂性，使区块链开发者能够利用熟悉的工具构建加密智能合约。

加密技术专家表示，这些库的日益成熟大幅降低了开发门槛。过去需要深厚密码学专业知识的领域，现在可由熟悉 Solidity 或 Rust 等标准语言的智能合约开发者直接参与。FHE 开发的民主化正在推动去中心化金融、医疗健康和链上 AI 项目的快速创新与采用。