区块链隐私保护技术解析：零知识证明ZKP、全同态加密FHE与多方安全计算MPC详解

比特币自14年前问世以来，凭借其去中心化的特性彻底重塑了金融交易的格局。以太坊随后带来的智能合约技术更是将这一变革推向深入，使得交易、借贷和期权等复杂金融产品得以在没有中介参与的情况下运行。然而这种去中介化往往以牺牲用户隐私为代价，我们的链上活动——包括身份和交易信息——很容易被中心化交易所、资金流动渠道以及链上分析机构追踪。这种过度的透明度限制了Web3技术在企业支付、专属链上交易等诸多领域的应用潜力。

隐私问题并非新话题，自2016年起就有众多项目尝试通过零知识证明（ZKP）等技术来解决。如今零知识证明技术已取得长足发展，同时全同态加密（FHE）、安全多方计算（MPC）等新技术也不断涌现，致力于解决链上处理私有数据时面临的核心挑战——如何安全地管理私有状态。

在Alliance，我们深信链上隐私保护将开启前所未有的应用场景，并将在未来几年成为Web3领域的核心议题。如果你正在构建隐私保护基础设施或需要处理私有状态的应用，我们非常期待能为你提供支持。欢迎随时联系我们，加入Alliance共同探索这一充满可能的未来。

私有状态的分类

在区块链上处理加密的私有数据时，数据安全性主要取决于加密和解密密钥的持有者。这里所说的隐私密钥与用于交易签名的私钥不同——前者负责保护数据隐私，后者则用于数据修改和管理。

根据隐私密钥的控制权，我们可以将私有状态分为两大类。这种分类对于理解数据在区块链上的表示方式以及如何有效管理这些数据至关重要。简而言之，私有状态可分为个人私有状态（PPS）和共享私有状态（SPS），它们各具特点，适用于不同场景和需求。

个人私有状态

个人私有状态指的是仅由单一主体拥有、且只有该主体有权查看或修改的数据。主体还可以选择是否允许他人访问这些数据，比如通过分享查看密钥来授权他人查看全部或部分数据。典型的个人私有状态包括：

• 个人代币余额
• 私密认证信息或个人资料，如年龄、国籍、投资者资格认证状态、Twitter账户等Web3.0中可用的Web2.0信息
• 私人交易记录

共享私有状态

共享私有状态（SPS）是一种特殊的私有数据类型，允许多个用户在保护数据隐私的前提下进行修改或计算。这种状态可能对所有人开放，任何人都可以修改，如暗池自动做市商（AMM）状态或私有借款池状态；也可能仅限于特定参与者访问和修改，比如链上多人游戏状态可能仅限当前玩家修改，而链上AI模型可能只允许少数操作者处理私有数据。

相比个人私有状态，共享私有状态的管理更为复杂。理解可以在SPS上执行哪些类型的计算，以及这些计算是否会泄露相关信息始终是个挑战。例如，通过暗池AMM进行交易可能会透露池中流动性的部分信息。

零知识证明（ZKP）、全同态加密（FHE）与多方安全计算（MPC）

管理链上私有状态有多种技术方案可选，每种技术各有所长，适合处理特定类型的私有状态和相应应用场景。实际上，要开发真正有用的应用程序，往往需要将这些技术结合起来使用。

零知识证明ZKP

在链上隐私保护策略中，零知识证明（ZKP）技术首当其冲。这项技术特别适合保护个人私有数据。使用这种方法时，数据拥有者可以在本地用隐私密钥解密数据，进行必要修改后重新加密，然后创建零知识证明向整个网络证明修改的合法性。

这正是零知识证明（ZK）技术特别适合支付网络（如zCash、Iron Fish等）的原因。在这些系统中，用户进行私有资产交易时，所有计算都在本地完成，包括生成新的未花费交易输出（UTXO）和更新私有代币余额。由于计算和零知识证明生成都在用户设备上进行，资金余额和交易历史得到了良好保护。网络中的矿工只能看到生成的零知识证明和加密后的新UTXO。

虽然支付操作本身计算不复杂，但生成零知识证明耗时较长，影响了私有支付的用户体验。不过随着技术进步，现在普通消费级硬件上完成简单支付的证明生成时间已缩短至不到一秒。这种进步还使基于零知识证明的系统能够支持更广泛的可编程功能。Aztec和Aleo就是两个引入广泛可编程性的杰出网络。它们主要基于ZEXE模型，每个应用都需要构建为零知识电路，因此开发了Noir（Aztec）和Leo（Aleo）等高级编程语言，将高级代码转换为零知识电路。

以Aztec为例，它利用Noir语言及其智能合约开发框架Aztec.nr，将每个智能合约拆分为多个作为零知识电路实现的函数。用户下载所需函数到设备后，就能在保护隐私的同时处理私有数据。Aztec执行智能合约的具体细节在相关讨论中有详细说明。

通过引入广泛的可编程能力，Aztec等实现极大提升了零知识证明系统的易用性。但这些系统仍面临一系列挑战：所有关于私有状态的计算必须在客户端完成，影响用户体验且要求用户拥有高性能设备；零知识证明技术不适合处理需要多方共享的私有状态；交易组合性变得复杂；私有数据的发现性问题也构成挑战。

适合零知识证明系统的应用场景

零知识证明（ZK）技术提供的强大隐私保护特性使其成为多种场景的理想选择：

匿名社交平台让用户能私密证明某些属性（如链上财富或特定NFT持有），然后基于这些证明匿名发帖，无需透露真实身份。我的同事David开发的Whale Songs原型就是典型例子。

私有链上凭据允许持有特定凭据的人匿名参与DAO或对需要专业知识的议题投票。HeyAnoun就是Web3.0中的实例。更广泛的应用包括使用现实凭证（如财富、学位等）匿名参与链上活动，支持无抵押DeFi借贷、链上KYC或地理限制等场景。

企业开票/支付是私有支付的重要分支。许多公司不愿公开商业合作伙伴或合同条款，链上支付的透明度限制了企业对稳定币支付的接受度。确保链上交易隐私可以加速企业采用链上支付。

全同态加密技术FHE的应用

全同态加密技术的神奇之处在于允许在不解密数据的前提下对加密数据进行计算并得到加密的正确结果。这一特性使其成为处理共享私有状态的理想选择。利用全同态加密，我们能在区块链上开发拥有私有状态的应用，如私有AMM池或私有投票箱。这些私有状态以加密形式存储在链上，任何人都能对其进行计算而不泄露数据内容。

FHE优势

全同态加密技术最大优势之一是极大提升了区块链的组合性：允许同一区块中多个交易或用户修改同一私有状态；单个交易能同时影响多个私有状态。另一重要优势是用户体验的提升——对私有状态的计算由网络验证节点负责，这些节点可使用专业硬件加速计算。

全同态加密还显著改善了开发者体验。虽然开发者需要调整对处理私有状态的理解，但这比零知识证明系统简单得多。全同态加密系统可直接采用智能合约链的账户模型，其操作可集成到现有虚拟机实现中，意味着开发者能继续使用熟悉的开发框架、工具和基础设施。Zama的fhEVM实现通过预编译方式加入加密变量和全同态加密操作，这一优势对推动链上私有应用发展至关重要。

全同态加密技术的限制

隐私保护的信任前提要求所有私有数据设置全局加密/解密密钥，通常由验证者团队管理，必须信任这些验证者不侵犯用户隐私。

隐私泄露风险在于加密数据上执行多次运算可能导致信息泄露，如通过暗池AMM交易可能透露池的流动性结构。

计算复杂度方面，全同态加密成本仍远高于普通计算（约高1000至100万倍），极大限制了链上应用处理能力。Inco Network估计全同态加密操作处理速度约每秒1至5次交易（TPS），但借助GPU和FPGA加速有望提高10至50倍。

来源：https://eprint.iacr.org/2021/1402.pdf

全同态加密系统的理想应用场景

全同态加密技术非常适合对组合性要求高的场景：信息不完全的游戏（如扑克）；私密投票系统；私有自动做市商（AMM）等。

MPC技术应用

在加密领域，多方计算（MPC）技术因资产托管应用而广为人知。Fireblocks等行业巨头通过MPC技术实现安全资产并发托管建立了成功商业模式。Coinbase、0xPass等钱包服务商也采用MPC技术增强安全性和用户体验。

但MPC技术应用远不止私钥保护。MPC解决了在保护输入数据隐私的同时进行计算并仅展示结果的问题。在资产托管场景中，私有输入是私钥碎片，持有者协同”计算”（即生成交易签名），无需直接接触私钥本身。

同理，MPC技术允许在不泄露私有数据的前提下处理各类数据，这对区块链环境下的私有状态处理尤为重要。例如可用于保护隐私的数据集上进行去中心化AI训练——不同数据所有者和计算服务提供者协同进行MPC AI训练，计算结束后解密模型权重构建完整AI模型。

MPC技术许多实现为数据隐私提供强大保护（即使在诚实少数情况下），隐私保护能力与零知识证明系统相当。MPC与全同态加密（FHE）相似之处在于支持特定私有状态（SPS）上的计算，实现组件间组合性。但与FHE相比，MPC存在局限：只有MPC小组成员能处理数据；所有参与方需协作完成计算，任何成员都可能干预过程。

MPC系统的理想应用场景

暗池集中限价订单簿（CLOBs）是MPC在DeFi领域的创新应用——交易者可在不了解订单簿状态下提交订单，通过MPC处理私有数据（订单簿）实现匹配。Renegade Finance正在开发此类系统。

去中心化的专有AI模型推理（如DeFi领域的AI策略管理器或Web3信用评分系统）可通过MPC利用专有模型进行数据推理。AI模型权重保持私密，安全地在计算节点间共享，各节点仅持有一部分权重，协同对链上事件进行AI推理并执行特定DeFi策略。

利用专有数据训练公开AI模型（如使用私有健康记录训练医疗诊断AI模型）是另一典型应用。模型创建者、公司和数据所有者（患者）可通过MPC合作，在不泄露私有数据前提下训练模型。Bittensor和Nillion等平台支持此类场景。

伪无需权限的共享私有状态也可通过精心设计的MPC技术实现。例如暗池AMM状态及其计算过程可通过多方实体MPC合作构建，用户将交易信息共享给MPC组由其代表计算。这种方法优势在于每个SPS可拥有不同隐私密钥（与FHE的全局密钥相比），但风险在于MPC小组可能进行审查，不过通过精心设计的经济激励机制可降低这一风险。

竞争还是合作

表面上看，处理链上私密信息的技术似乎相互竞争。但若不考虑开发团队背后的经济利益，零知识证明（zk）、全同态加密（FHE）和多方计算（MPC）实际上是互补技术。

zk技术因未加密数据不离开用户设备而提供更强隐私保护，且未经用户许可无人能处理数据，但牺牲了灵活性和兼容性。FHE在灵活性和兼容性方面更优，但隐私保护较弱，因需信任实体掌握全局FHE解密密钥。MPC则位于zk和FHE之间，允许在共享私有数据上计算，比zk更灵活，但数据处理仅限于少数参与方。

实际操作中常需结合这些技术。例如Renegade Finance结合MPC和zk构建保证参与者有足够资本覆盖隐秘订单的暗池CLOB；zkHoldem链上扑克游戏结合zk和FHE技术。

我们预计未来注重隐私保护的网络平台会融合这些技术，为开发者提供完整工具箱，使其能无缝构建应用。例如Aztec可能在其网络中融合MPC技术管理共享私有信息；Inco Network也可能利用zk实现私有地址和交易历史的隐私保护。

面对以隐私为核心的未来愿景，Alliance期待支持致力于构建这一未来的创业者。如果你在这一领域有所建树，请主动联系并加入Alliance。