完全同型暗号(FHE)の概要とその応用

2024年の暗号市場はかつてのような激動はないものの、新しいテクノロジーは今も成熟しようと努力している。今日取り上げる技術もそのひとつで、「完全同型暗号」(FHE)である。

ヴィタリック・ブテリンは今年5月にFHEに関する記事を発表しており、興味のある方は一読されることをお勧めする。

完全同型暗号化 (FHE)

では、FHEとはいったい何なのか?

Fully Homomorphic Encryption(FHE)という言葉を理解するためには、まず「暗号化」とは何か、「ホモモルフィック」とは何か、なぜ「完全な」ホモモルフィックである必要があるのかを理解しなければならない。

暗号化とは何か?

ほとんどの人は基本的な暗号化に慣れている。例えば、アリスがボブに “1314 520 “のようなメッセージを送りたいとする。

もしアリスが第三者であるCに、機密を保持したままメッセージを届けさせたいなら、単純にそれぞれの数字を2倍して、”2628 1040 “に変換すればいい。

それを受け取ったボブは、それぞれの数字を2で割って「1314 520」に復号する。

ここで、アリスとボブは対称暗号を使って、メッセージの内容を知らないCを通して安全にメッセージを送った。これは諜報員が安全に通信するスパイ映画ではよくあるシナリオである。

同形暗号とは何か?

では、アリスの課題の難易度を上げてみよう:


アリスがまだ7歳だとする。
アリスは2の掛け算や2の割り算といった基本的な算数しか知らない。

今、アリスは月々400ドルの電気代を12カ月分支払う必要がある。400ドル×12という計算は、7歳のアリスには複雑すぎる。

しかし、彼女は電気代や期間を他人に知られたくないのだ。

だから、アリスはCを信用せずに、Cに計算の手伝いを頼みたいのだ。

アリスは限られた計算能力で、Cに800 * 24 (すなわち、(400 * 2) * (12 * 2))を計算するよう伝え、2を掛けることで数字を暗号化した。

計算能力の高い大人であるCは、800 * 24 = 19200を素早く計算し、アリスにその結果を伝える。アリスは19200を2で2回割って、4800ドルの借金があることを知る。

この単純な例は、同相暗号の基本的な形を示している。乗算800 * 24は400 * 12の変換であり、同じ形式を維持している。

この暗号化方式によって、誰かが自分の機密番号を安全に保ちながら、信頼できないエンティティに計算を委ねることができる。

なぜ同型暗号は完全に同型でなければならないのか?

現実には、問題は理想の世界ほど単純ではない。誰もが7歳ではないし、誰もがCのように正直なわけでもない。

Cが総当たりでアリスの数字をリバースエンジニアリングしようとするシナリオを想像してみよう。

ここで完全同型暗号の出番となる。

アリスが各数値に2を掛けることは、ノイズを加えることだと考えることができる。もしノイズが小さすぎれば、Cは簡単にそれを壊すことができる。

つまり、アリスは4倍して8回足すことができ、Cが暗号を破るのは極めて難しくなる。

しかし、これはまだ “部分的な “同形暗号化でしかない:

  1. アリスの暗号化は特定の問題にしか適用されない。
  2. アリスは特定の算術演算しか使うことができず、加算と乗算の回数は通常15回を超えてはならない。

“完全に “とは、アリスが多項式に対して任意の数の足し算と掛け算の暗号化を実行することを許可し、計算を完全に第三者に委ね、なおかつその後に正しい結果を復号することを意味する。

超長い多項式は、電気代の計算のような単純な問題だけでなく、ほとんどの数学的問題を表現できる。

無制限の暗号化レイヤーを追加することで、Cによる機密データの詮索を根本的に防ぎ、真の機密性を実現する。

したがって、完全同形暗号化は、暗号技術の聖杯と長い間考えられてきました。

実際、2009年以前は、ホモモーフィック暗号は「部分的な」ホモモーフィック暗号しかサポートしていなかった。

2009年、ジェントリー氏と他の研究者たちは、完全な同型暗号への扉を開く新たなアプローチを提案した。興味のある読者は、彼らの論文で詳細を参照できる。

完全同形暗号(FHE)の応用例

完全ホモモーフィック暗号化(FHE)の適用シナリオについて、いまだに多くの人が疑問を抱いている。どこにFHEが必要なのだろうか?

例えばAIだ。

我々は、強力なAIが多くのデータを必要とすることを知っているが、このデータの多くは非常にプライベートなものである。FHEはこの “both/and “の問題に対処できるのだろうか?

答えはイエスだ。

できる:

  1. FHEを使用して機密データを暗号化します。
  2. 暗号化されたデータをAIに提供して計算させる。
  3. AIは読み取り不可能な暗号文のセットを出力する。

教師なしAIがこれを実現できるのは、データが本質的にベクトルだからだ。AI、特にGPTのような生成AIは、入力を理解するのではなく、最も可能性の高い反応を予測するだけだ。

暗号文は数学的な規則に従っており、あなたは暗号の所有者なので、あなたはできる:

  1. ネットワークから切断し、アリスのようにローカルで暗号文を解読する。
  2. これにより、AIは機密データを直接扱うことなく、その膨大な計算能力を活用することができる。

現在のAIでは、プライバシーを犠牲にすることなくこれを実現することはできない。GPTにプレーンテキストで入力するすべてのことを考えてみよう!そのためには、FHEが不可欠だ。

だからこそ、AIとFHEは自然に両立するのだ。結局のところ、”both/and “を実現することなのだ。

FHEは暗号化とAIの両方と重なるため、大きな関心を集め、Zama、Privasea、Mind Network、Fhenix、Sunscreenといった様々なプロジェクトにつながり、それぞれがユニークな用途を持つ。

Privasea AIプロジェクト

Binanceが支援するプロジェクト@Privasea_aiを見てみよう。そのホワイトペーパーには、顔認証のようなシナリオが書かれている。

その両方:機械は人物が本物かどうかを判断できる一方、顔の機密情報は一切扱わない。

FHEを取り入れることで、この課題に効果的に対処することができる。

しかし、現実世界のFHE計算は、アリスが任意の数の加算と乗算を実行する必要があり、暗号化と復号化処理を計算集約的にするため、かなりの計算能力を必要とする。

そのため、Privaseaは強力な計算ネットワークとそれを支えるインフラを構築している。PrivaseaはPoW+とPoSのようなネットワーク・アーキテクチャを提案し、計算能力の問題に対処している。

最近、PrivaseaはWorkHeart USBと呼ばれるPoWハードウェアを発表した。マイニング・リグと考えることができる。

初期価格は0.2ETHで、ネットワークトークン全体の6.66%を採掘できる。

さらに、StarFuel NFTと呼ばれるPoSのような資産もあり、これは合計5000ユニットの「労働許可証」とみなすことができる。

価格はそれぞれ0.2ETHで、総ネットワークトークンの0.75%を獲得できる(エアドロップ経由)。

このNFTが興味深いのは、PoSのようでありながら真のPoSではないという点である。

このNFTは、ユーザーがPrivaseaトークンをステークすることを可能にしますが、直接PoS報酬を生成するわけではありません。その代わり、あなたのUSBデバイスのマイニング効率を2倍にし、PoSを偽装しています。

結論として、AIがFHE技術を広く採用することができれば、AI自身にとって大きな恩恵となるだろう。多くの国がAI規制においてデータ・セキュリティとプライバシーを重視している。

例えば、ロシアとウクライナの戦争では、多くのAI企業が米国企業であるため、AIを使おうとするロシア軍の試みが危うくなり、諜報活動が露見する可能性がある。

しかし、AIの利用を避けることは、当然遅れをとることにつながる。今はまだ差が大きくなくても、10年後にはAIのない世界は想像もできないものになっているかもしれない。

国家間の紛争からスマートフォンの顔ロック解除まで、データプライバシーは私たちの生活に遍在している。

AI時代において、もしFHE技術が真に成熟することができれば、それは間違いなく人類の最後の防衛線となるだろう。