全同态加密的核心思想是，你可以在不持有解密密钥的情况下，对加密数据进行处理。想象你是一个用户，想使用云端的服务。传统上，你会把数据发送到服务器，服务器处理后返回结果。问题在于，服务器需要看到你的数据才能处理。而全同态加密允许你用自己的私钥在设备上加密数据，发送加密数据到云端。加密方式保留了数学运算能力，你可以进行加法、乘法或应用函数。服务器不知道数据的具体内容，运行算法后生成的结果也是加密的，用同样的密钥加密，发送回用户，用户再解密。从用户的角度看，体验没变，只是数据全程加密：发送时加密，处理时加密，返回时加密。任何时候私钥都不会被发送到其他地方。 全同态加密的概念从 70 年代就有人讨论了。我的联合创始人 Pascal Paillier 是全同态加密的发明者之一，是这个领域的元老。难点首先在于找到一种能够进行同态操作的数学结构。也就是说，如果对加密的 X 应用一个函数，得到的结果是 F (X) 的加密形式。这种传递属性在数学中并不常见。首先，你得找到这些同态结构。其次，你得确保它们是安全的。密码学是关于安全性的，有很多加密协议很容易被破解。创造一个既同态又安全的结构非常复杂。首次实现乘法同态的是 70 年代的 ElGamal 方案，首次实现加法同态的是 Pascal 的 Paillier 方案，而首次实现全同态加密（任何操作）是 2009 年 Craig Gentry 做到的，非常新，只有 10 到 12 年的时间来研究。所以这非常难。 加密和解密在 FHE 中非常简单和便宜。复杂的部分是加密数据的计算。加密是将消息转为随机值向量，计算后得到加密的输出向量，解密后得到一个值。你说昂贵，是指什么？是计算时间、能量还是数据大小？是时间。加密数据时，密文一半是消息位，一半是随机噪声。每次同态计算，噪声会增长。如果计算过多，噪声会溢出到消息位，解密后得到随机值。为了避免这种情况，需要一种叫引导（bootstrapping）的操作，将噪声降低到初始水平。这个操作非常昂贵。FHE 在引导之前很快，但引导很频繁，所以整体很慢。就像打破东西容易，清理难。你提到多次计算，是在同一个输入上，还是多个输入在 FHE 系统中计算？取决于应用。比如神经网络可能有百万个输入，而预测价格可能只有五个输入，完全看应用。但在内部计算，是一组输入经过多次计算，还是单一路径？取决于电路设计。数据进入后，你可以做任何想做的事情。以前 FHE 只能做简单的加法和乘法，现在新技术的 FHE 可以做深度学习、智能合约、数据库等，复杂度不再是问题，只是运行时间和成本会增加。\n原文链接