ハクソク

世界を動かす技術を、日本語で。

完全準同型暗号とプライベートインターネットの夜明け

312日前原文(bozmen.io)

概要

  • Fully Homomorphic Encryption (FHE) は、暗号化されたまま計算処理が可能な技術。
  • FHEにより、 データの完全なプライバシー保護 が実現可能。
  • 現在は 計算コストが高く実用化が限定的 だが、年々急速に高速化。
  • 将来的には クラウド計算やブロックチェーンなど幅広い用途 が期待。
  • 量子耐性 や新たなセキュリティパラダイムの基盤技術として注目。

FHE(Fully Homomorphic Encryption)とは何か

  • FHE は、暗号化されたデータに対して 復号せずに任意の計算処理 を行い、計算結果を復号すると 平文で計算した場合と同じ結果 を得られる暗号技術。
  • 例:Googleに暗号化した質問を送り、Googleは内容を知ることなく正しい回答を暗号化したまま返すことが可能。
  • Craig Gentry が2009年に理論的枠組みを発表し、実用化が進展中。

FHEの現状と課題

  • 計算コスト は現状、平文処理の 1,000〜10,000倍 と非常に高い。
    • 暗号文のサイズ も元データの 40〜1,000倍 になる場合あり。
  • 年8倍ペース でアルゴリズムが高速化し、2011年の「1ビット30分処理」が 現在はミリ秒単位
  • 実用化例 は限定的だが、技術進化により今後の普及が期待。

FHEがもたらす未来

  • クラウド計算大規模AI(LLM)推論ブロックチェーンのスマートコントラクト などへの応用。
  • ユーザーデータの 「常時暗号化」 が可能となり、 プライバシー重視のインターネット 実現へ。
  • 現行の「スパイがデフォルト」モデル から 「プライバシーがデフォルト」モデル への転換。

セキュリティのアキレス腱とFHEの解決策

  • データは「保存時」「転送時」「利用時」の3状態が存在。
    • 保存時:ディスク暗号化
    • 転送時:TLS/SSL・VPN
    • 利用時: 現状は復号され脆弱
  • FHE は「利用時」も暗号化を維持し、 データ漏洩リスクを根本から排除

フルプライバシーコンピューティングの定義

  • 全ての状態で暗号化 (保存・転送・利用)
  • サーバーは 平文を一切受け取らず、ユーザーのみが復号可能。
  • 例:ChatGPTへの完全匿名・暗号化リクエスト
    • ユーザーが鍵ペア生成、プロンプトを暗号化して送信
    • サーバーは暗号化データのみ処理、結果も暗号化で返却
    • ユーザーのみが結果を復号

FHEの仕組み(技術的詳細)

  • ホモモルフィック」は 構造保存写像 を意味し、暗号文上の演算が平文上の演算に対応。
  • フーリエ変換 のように、異なる領域(平文⇔暗号文)で同等の計算が可能。
  • 格子暗号 を基盤とし、量子計算機でも解読が困難な「 SVP(最短ベクトル問題)」「 CVP(最近傍ベクトル問題)」を利用。
    • 1,000,000次元など高次元で極めて困難
    • 量子耐性 を持つ
    • GPUなど ハードウェア並列化 にも適合

LWE(Learning With Errors)問題

  • 格子暗号FHE はLWEまたはRing-LWE問題に依存
    • 公開鍵(A, b)と秘密鍵s、ノイズe
    • b = A*s + e という「ノイズ付き線形結合」
    • ノイズが暗号の安全性の鍵
    • 公開鍵から秘密鍵を推定するのは「CVP(NP困難)」で量子耐性

ノイズ管理とブートストラッピング

  • 暗号文同士の演算で ノイズが増大
    • 加算:ノイズは線形増加(制御可能)
    • 乗算:ノイズは乗法的に増加(制御困難)
  • ノイズが閾値超過で 復号失敗
  • Craig Gentry が「 ブートストラッピング」により無限回演算を実現(Turing完全)
    • ブートストラッピングは暗号文のノイズをリセット
    • 計算コストの主因だが、年々改善

FHEのさらなる技術要素

  • リニアリゼーション :乗算後に生じる高次項(s²など)を抑制
    • リニアリゼーション鍵 で高次項を除去し、復号可能性を維持
  • モジュラススイッチング :ノイズ管理や性能最適化のために暗号パラメータを動的に調整

FHEの今後と社会的インパクト

  • 技術進化により普及が加速
    • 例:Google、OpenAIなどのクラウドサービスでの利用
    • 金融・医療・AI推論・ブロックチェーンなど幅広い分野で応用可能
  • 個人情報収集型ビジネスモデル の終焉と、 プライバシー重視社会 への転換
  • 量子コンピュータ時代 にも耐える新世代暗号基盤

参考文献・リソース

  • Craig Gentry, "A Fully Homomorphic Encryption Scheme"(2009年)
  • Vitalik Buterin, "An Incomplete Guide to FHE"
  • FHE Reference Library
  • 各種FHEブートストラッピング解説記事

まとめ FHEは「暗号化したまま計算できる」ことで、インターネット上のプライバシーとセキュリティの新時代を切り拓く技術。現時点ではまだ計算コストが高いものの、急速な技術進歩により、近い将来「プライバシーが当たり前」の社会基盤となる可能性が高い。

Hackerたちの意見

速度が予想通りに解決されると仮定すると、検索のようなアプリケーションでは、プロバイダーはインデックスが更新されるたびに新しい「ベクトル」のデータベースをすべてのクライアントに同期させなきゃいけないんだよね。しかも、これらのデータベースは数十GB、下手したら数百GBもあるから大変だよ。

FHEとその周りの素晴らしい暗号技術が大好きな私が言うけど、FHEの仕組みが速くなっていくのは確かだけど、ブートストラッピングに依存している限り、平文の速度に匹敵することは難しいと思う。根本的な理由から、ブートストラッピングは絶対に1000倍以上のオーバーヘッドがかかるだろうね。人々がブートストラッピングをこれ以上速くできないことに気づいたとき、ハードウェアアクセラレーションの話が出てきたけど、今はLLMに全ての計算リソースが使われているから、売り込みが難しいんだよね。FHEの下で計算するために、みんなはいくら払うと思う?1000倍以上じゃないと、かなり厳しいと思う。プライベートなLLM推論のようなものには、機密計算アプローチが唯一の現実的な選択肢だと思う。ハードウェアを信頼するのは好きじゃないけど、今のところそれがベストだね!

1,000倍高くても、プライバシーが証明できるサービスを求めている人たちの市場があると思わない?Dropboxほど大きなセグメントではないけど、確実に存在すると思うよ。

大きなLLMの盛り上がりは理解できるけど、FHEの他のアプリケーションは本当にないの?例えば、高速なものじゃなくて、ランダムなサーバーにホストできて、自分のデータが安全だって分かるトレーディングアルゴリズムとか、そんな感じのものは?

あなたの視点から見ると、実際に使えるFHEはどれ?それとも実際に使えるのはPHEだけ?

面白い!その主張のソースを教えてくれる?

ブートストラッピングなしでも、FHEは平文計算よりも速くはならないよ。暗号文は、暗号化する平文データの約3桁も大きいから、もっとメモリ帯域幅と計算能力が必要になるんだ。このギャップは埋められないよ。

ありがとう!ちょっと気になることがあるんだけど… - クラシックなキー・バリュー・ストアやシンプルなSQLデータベーステーブルに対するFHEの考えはどう思う? - それと、著者が言ってるFHEがムーアの法則で加速してるから、1000倍のギャップがすぐに埋まるっていうのはどう思う?ありがとう!

この方程式の「クライアント側」は理解できる。ある程度のユーザーは、自分の行動やデータをプライベートに保ちたいから、そのためにお金を払うことを厭わないんだよね。でも、彼らがそのコストの高さを理解していないと思うし、結果的にどれだけの人が参加するかは少ないと思う。計算コストが今より高くなるとは仮定していないよ。計算コストの期待される倍数は置いといても、プライバシー重視のGoogleの代替品があったとしたら、それにどれくらいのコストがかかるんだろう?(Googleの収益を参考にするといいかも。)仮に年間100ドルだとしても(ヒント:そんなことはないけど)、どれだけのユーザーがそれにサインアップすると思う?確かに何人かはいるだろうけど、目立つ割合にはほど遠いよね。その数字にゼロを追加し始めると(追加の計算コストをカバーするために)、さらに少なくなる。完璧ではないけど、Torのようなものはほとんどの利点を提供してくれて、コストはゼロだし、代替手段としては選択肢になる。HEが無駄だとは言ってない。ただ、支払う必要があり、プレイするために払う人はほんのわずかだと思う。

現在のFHEのGoogleは、すごく高くてすごく遅いと思う。誰もそれにお金を払わないよね。重要な質問は、将来的に計算速度がどれだけ改善されるかだと思う。FHEが1000倍の時間がかかるとしても、ハードウェアも1000倍速くなれば、FHEのパフォーマンスは今の平文の速度に近くなるかもしれない。未来を予測するのは不可能だけど、ソフトウェアが改善され、ハードウェアが毎年速く安くなっていく中で、FHEがプライバシーのユニークな価値を提供することを考えると、いつかはデフォルトになる可能性があると思う(10年後ではなく、50年後かもしれないけど)。今のハードウェアは50年前と比べて何桁も速いからね。もちろん他にも問題はあるけど、暗号文のサイズが平文よりもずっと大きいことや、サーバー側でクライアントごとにモデルやインデックス全体を暗号化する必要があることもある。FHEはまだほとんどのことに実用的ではないけど、実現可能なアプリケーションのベン図は増えていくだろうし、将来的には検索エンジンやLLMもカバーする時が来ると信じてる。

FHEは暗号化されたデータ上での計算を可能にする これは面白いね。誰か、暗号化されたデータを使って計算がどう機能するのか、わかりやすく説明してくれない?それと、「計算」はREST APIを使うような普通のインターネット取引にも当てはまるの?

部分的なホモモルフィック暗号の簡単な例(完全ではない)は、システムが加算や乗算をサポートしている場合だね。公開鍵とモジュラスを知っているから、「ラップアラウンド」値を尊重して、暗号化された数値で乗算ができるんだ。他のものは、多項式やドーナツ/トーラスを翻訳したり、引き伸ばしたり、歪めたりするような感じで、ポイントや交点は解決可能だけど、観察者には未知で、実際にその操作の正しい数学的値を表しているんだ。つまり、特別なルールで[]byteの値を扱うってことだね。

仕組みの基本的な説明をすると、暗号化は基本的に関数 e(m, k) = c みたいなもので、「m」が平文で「c」が暗号化されたデータだよ。出力が鍵を持っていない人にはランダムに見える場合、これを暗号化関数って呼ぶんだ。もしデータが暗号化されても基盤となる構造を保つような関数「e」を見つけられたら、同型暗号システムの概要ができるってこと。例えば、次のようなことが起こるとする:e(2,k) * e(m,k) = e(2m,k)。ここでは、メッセージを暗号化された形でも2倍にしたんだ。重要なのは、すべての計算がランダムに見えるものを生成しなきゃいけないけど、一度復号化すれば実際に行われた計算が保たれているべきだってこと。暗号の勉強をしてからしばらく経つから、グーグルを頼りにするのもいいかもね。でも、例えばRSAが乗算を保つような状況もあって、部分的に同型暗号になるんだ。

Googleに関する最初の例は誤解を招くと思う。「Google」と聞くと「ウェブを検索する」って思うから。この記事は、鍵kで暗号化された入力を取得し、それを復号化せずに処理して、鍵kで暗号化された出力を返すことについてなんだよね。私には、全ての入力が鍵kで暗号化されている必要があるように見える。でも検索の例では、入力にはクエリ(鍵kで暗号化される可能性がある)と、Googleの全ての売りポイントである数テラバイトの事前処理された情報のデータベースが含まれているから、このデータベースを鍵kで暗号化することは不可能だよ。つまり、この技術は全ての入力を完全にコントロールしていて、リモートホストから計算パワーを借りているときに使えるものなんだ。面白くないとは言わないけど、Googleへの言及は誤解を招く可能性があるね。

今のところ、全ての入力が鍵kで暗号化されなきゃいけないように見える。でも、検索の例では、入力にはクエリ[…]とマルチテラバイトのデータベース[…]が含まれてる。これはAppleのCallerIDの例から得た理解とは違うね。彼らは各ユーザーのためにデータベース全体の暗号化コピーを作っているようには見えない。[0]: https://machinelearning.apple.com/research/homomorphic-encry... [1]: https://machinelearning.apple.com/research/wally-search

同型暗号サービスは、暗号鍵の事前知識が必要ないんだよね。それがまさにポイントなんだけど。例えば、こんな(すごく弱い)暗号方式を考えてみて:m, k ∈ Z[p]、E(m) = m * k mod p、D(c) = c * k⁻¹ mod p。これを使えば、二つの暗号文を受け取って、その暗号和を計算するサービスを、鍵kの知識なしで実装できるんだ:E(x) + E(y) = x * k + y * k mod p = (x + y) * k mod p = E(x + y)。もちろん、こんなサービスはあまり面白くないけど、暗号文に対して十分に複雑な操作をサポートする代数構造を考え出せれば、これらの操作を組み合わせて、任意に複雑な計算を実装できるかもしれない。

インターネットの「デフォルトでスパイ」が「デフォルトでプライバシー」になる可能性がある。私は何年もデジタル署名を作ったり推進したりしてきた。ハッカーニュースやフェイスブックがコミュニティ内の全員のアイデンティティの大元になってしまうのは、人々や市場のダイナミクスにとって良くない。でも、こうする方が簡単だから、彼らはもっと多くのユーザーやお金を得ることができて、それが雪だるま式に増えていく。代替手段が重要じゃなくなるまで。FHEが多くの人が求める欠けているピースだという考え方も間違ってる。すべてはほぼ信頼の上で動いていて、それがうまく機能しているから、非常に少数のユースケースしかその複雑さのコストを考慮しないんだ。

それがうまく機能しているから、非常に少数のユースケースしかその複雑さのコストを求めない。FHE + AIがキラーコンビになるかもしれないね、後者が複雑さの負担を分担してくれるから。

完全同型暗号はプライベートインターネットの未来じゃなくて、機密VMがその未来だよ。CVMはメモリ暗号化とホストOSからの分離を使ってる。ARMはTEEを持ってるし、AMDはSEV、インテルはSGXやTDXで10年以上ももたもたしてる。

https://sgx.fail

ユーザーデータを収集するビジネスモデルは、時代遅れになるかもしれない。これはちょっと楽観的すぎるね。データを収集しないシステムを作れるからって、必ずしも利益が出るビジネスモデルになるわけじゃないし。例えば、FHE検索エンジンにお金を払いたいって思う人は多いと思うけど、実際には少数派だよね。

そうそう、企業が必要以上に計算リソースを消費する同型暗号サービスを急いで実装するのが目に浮かぶわ。デバッグも難しいし、使用データの分析もできなくなるし。

FHEは任意の計算を可能にするかもしれないけど、私は大体のサービスを使うのは、使いたいデータがあるからなんだよね:検索インデックス、知識、化学物質のデータベース、銀行口座の取引履歴とか。だから、Googleが検索インデックス全体を暗号化させてくれない限り、インデックスとやり取りする時に自分のクエリを見られるのは避けられないし、そうじゃないとリクエストを処理できないよね。もう一つのポイントはインセンティブだね。ほんの一部の高信頼・高リスクなアプリケーションを除いて、企業がFHEサービスを導入する理由が見当たらない。

私の理解では、暗号化が必要なのは敏感なデータだけなんだよね(例えば、銀行取引)。計算には公開の非暗号化データを使うこともできるし、計算したい関数が暗号化されている必要はないんだ。

まさに私もそう思った。結局、大企業があなたのデータやクエリを見ないことにメリットがないってことだよね。彼らはそれを見たい/必要としているから、FHEなしでサービスを使わざるを得ないのに、自分たちの能力をわざわざ落とす理由がないよ。銀行アプリケーションにはいいかもしれないけど、他の分野では受け入れられるかどうかは微妙だね。

これがFHEを使った完全プライベートな検索エンジンの実装で、サーバーはあなたが何を読んでるか全く気づかずにWikipediaを検索できるんだよね: https://spiralwiki.com/