Zama：開源全同態加密方案支持自動化改造

RSA Conference 2023將于舊金山時間4月24日正式啟幕。作為全球網絡安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網絡安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公布RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、Dazz、Endor Labs、HiddenLayer、Pangea、Relyance AI、SafeBase、Valence Security、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是Zama。

公司介紹

2019年成立于法國巴黎的Zama是一家專注于全同態加密（FHE）領域的網絡安全公司。面對互聯網日益增長的數據通信規模、頻發的數據安全風險事件以及越來越重要的隱私保護需求，Zama認為作為HTTP向HTTPS轉型的下一步，新一代互聯網應當構建在由端到端加密全程保護的HTTPZ上。而能實現端到端加密特性的FHE技術，被認為這一轉型的關鍵所在，也是Zama致力于提供高效便捷的FHE產品的原動力所在。

根據公開信息，Zama在三輪融資中累計獲得了5160萬美元，最新的是在2022年4月的A輪融資，由Protocol Labs領投。Zama參與了許多開源社區的建設，如Rust、W3C、FHE.org等，其公開產品也都在Github開源了代碼，但不論在官網或是其他來源，都沒有查詢到Zama的付費產品和客戶的有關信息，其財務狀況與商業模式不得而知。

圖1 Zama創始人，左為Pascal Paillier，右為Rand Hindi

Pascal Paillier和Rand Hindi兩位博士是Zama的聯合創始人。Pascal Paillier博士目前擔任Zama的CTO，他是法蘭西科學院院士，ACM、IEEE會員。他在新興密碼技術方向上有著超過25年的研究經驗，曾獲得2000年RSA數學卓越獎以及2010年哥德爾獎。1999年由他提出的Paillier加法同態加密算法是最為知名和常用的同態加密算法之一，是同態加密ISO國際標準唯一指定的加法同態加密算法[1]。Paillier算法已在眾多實際應用場景中實現了落地，以隱私計算為例，FATE、隱語、原語等主流隱私計算方案提供者，其產品都使用了Paillier算法作為可選的加密方案。

Rand Hindi博士則是一位連續創業者和科技投資者。他目前擔任Zama的CEO。作為投資者，他資助了隱私保護、人工智能、區塊鏈、醫療科技等領域的30余家企業，而他個人也有著豐富的創業經歷。2013年Hindi合伙在法國創立了語音AI公司Snips，提供原生私密設計（private-by-design）的語音平臺和工具，據稱Snips是第一款符合歐盟通用數據保護條例GDPR的同類平臺[2]。2019年Snips被音響廠商Sonos以約3750萬美元的價格收購。

背景介紹

Zama的核心技術與名為TFHE的全同態加密方案息息相關。2016年密碼學頂會Asiacrypt上發布的最佳論文Faster fully homomorphic encryption: Bootstrapping in less than 0.1 seconds[3]中提出了TFHE方案，其第一作者Ilaria Chillotti現任Zama的密碼學主管。

TFHE的安全性來源于機器學習領域背景的一個計算困難問題，錯誤學習問題（Learning with Errors, LWE）。這是一個經過充分研究的密碼學原語，即使量子計算機已經實用的情況下，也普遍被認為是安全的。基于LWE問題可以構建所謂同態加密的密碼方案。

同態加密的思想是，可以在消息加密的情況下直接對密文進行計算，而不需要知道消息明文。如果支持以下至少兩個操作（x是明文，是相應的密文E[x]），則稱方案為完全同態：

■ 同態單變量函數可交換：f(E[x])=E[f(x)]

■ 同態加法：E[x]+E[y]=E[x+y]

■ 同態乘法：E[x]?E[y]=E[x?y]

而在論文提出的加密方案基礎上，Ilaria Chillotti等人開發了TFHE開源C/C++庫[4]，由二進制門組成的任意布爾電路都可以使用TFHE庫加密計算，而不泄露任何原始數據信息。用戶視角下，該庫的主要功能包括[5]：

■ 生成一個私鑰集和一個云密鑰集。私鑰集是私有的，并提供加密/解密功能。云密鑰集可以導出到云，并允許對加密數據進行操作。

■ 通過私鑰集，庫允許對數據進行加密和解密。加密數據可以安全地外包給云，以便執行安全的同態計算。

■ 有了云密鑰集，庫可以對二進制門的列表進行同態計算，而無需解密中間變量。提供門序列以及輸入位的密文后，庫負責計算輸出數據bit位的密文。

TFHE開源庫目前已經停止開發，建議用戶使用Zama提供的TFHE-rs庫來獲取具有最新功能的增強API。

產品介紹

就在上周（4.13）[6]，Zama宣布了全新的產品陣容，包含三款產品：TFHE-rs[7]，Concrete[8]和Concrete ML[9]。這三款產品都在Github上開源[10][11][12]。Concrete曾經是Zama旗下所有FHE產品的統一名稱，包含FHE算法庫和編譯器。今年年初，Zama宣布將FHE庫從Concrete中剝離，獨立為新產品TFHE-rs。[13]此外Zama還計劃推出支持FHE的以太坊虛擬機（EVM），但暫時未給出更多細節，這里不做闡述。

No.1

TFHE-rs

TFHE-rs是一個完全使用Rust語言編寫的算法庫，實現了TFHE的一個變體，其目標是穩定、簡便、高效、實用地提供使用TFHE算法高級特性的能力。一方面，TFHE-rs提供了高級程序接口，開發者不需要密碼學背景就可以操作同態加密算子；另一方面，TFHE-rs的低級程序接口可以實現對TFHE電路細節的完全控制，如加密密鑰的選擇、密文模數的選擇，很好地滿足了密碼學研究者和編譯器開發者的需要。TFHE-rs提供完整的Rust API和C API，以及客戶端側的WASM API，可用于同態加密的應用開發；同時也提供了原版TFHE算法的布爾函數API，以便基于其他TFHE算法庫的應用快捷地遷移到TFHE-rs。

在Rust程序中使用TFHE-rs來支持FHE特性的典型工作流如下：

■ 使用安全參數生成客戶端密鑰和服務器密鑰：

• 客戶端密鑰用于加密/解密數據，且必須保密
• 服務器密鑰用于對加密數據執行操作，且可以是公開的（也稱為評估密鑰）

■ 在客戶端，使用客戶端密鑰加密明文以生成密文，并發送給服務器

■ 在服務器，使用服務器密鑰同態地操作密文，并返回給客戶端

■ 在客戶端，使用客戶端密鑰將結果的密文解密為明文，計算流程完成

TFHE-rs聲稱自己是最高效的TFHE方案的公開實現，支持AVX512加速。[10]針對布爾運算，在128比特安全強度和2-40錯誤概率下，平均運行時間僅需7ms。與其他TFHE實現相比，官方提供的性能評測結果如下：

圖2 不同TFHE實現的布爾運算性能評測

評測環境為配備Intel(R) Xeon(R) Platinum 8375C CPU @ 2.90GHz的AWS服務器[14]。

TFHE-rs目前最新發布的為v0.2.0。

Concrete

TFHE-rs從Concrete分離之后，Concrete變為了單一特性的獨立產品。它實現了一個編譯器，可以對普通程序進行自動化FHE改造。準確來說，Concrete編譯器可以用來處理程序電路，它將電路識別為一個有向無環圖，包含作為有向邊的操作符和作為端點的變量，這里變量可以是明文或者密文。電路編譯的結果為：一個表征FHE運算步驟的動態庫，和一個名為ClientSpecs的JSON文件，包含密碼算法配置Client Parameters。為了使用這個電路進行交互，客戶端需要向服務器請求ClientSpecs，然后根據接收到的參數生成私鑰和評估密鑰（也稱為服務器密鑰）。然后客戶端將輸入數據加密后，與評估密鑰一起發送到服務器以獲取輸出。典型的工作流程示意圖如下：

圖3  Concrete客戶端和服務器的典型工作流程示意圖

盡管Concrete自身提供了便捷的Python前端，可以處理包括Numpy調用在內的Python程序進行編譯，但實際上調用Concrete后端進行編譯時，原始程序的編程語言并不受限制。在操作系統方面，Concrete對Windows、Linux（包括Windows上的Linux子系統WSL）、macOS都有良好的支持，而在硬件方面，前端僅支持CPU計算，而后端除了CPU之外也支持CUDA生態下的GPU計算。

官方給出的應用Concrete編譯Python程序的例子如下：

a) 顯式調用編譯器concrete.Compiler

b) 使用函數裝飾器@concrete.compiler()

Concrete目前最新發布的版本為v1.0.0。

Concrete-ML

Concrete-ML是在Concrete編譯器的基礎上構建的一套隱私保護機器學習（Privacy-Preserving Machine Learning, PPML）工具集，旨在簡化FHE在機器學習領域的應用。使用Concrete-ML對機器學習模型進行自動化FHE改造無需密碼學知識作為前提，其內置模型類的設計與scikit-learn類似，用戶接口與scikit-learn和XGBoost對應的接口等價，同時支持將用戶自定義的Pytorch或keras/tensorflow模型轉化為FHE版本。與Concrete同樣地，Concrete-ML也支持包括WSL在內的主流操作系統，此外還支持在Kaggle，Google Colab云平臺進行部署。官方給出的Concrete ML使用scikit-learn的簡單示例如下：

這一示例給出了Concrete ML模型的典型工作流，更多信息可以參考[15]。

值得注意的是Concrete ML僅支持對模型推理進行FHE改造，因此訓練過程仍需使用明文數據進行。同時，Concrete ML僅支持處理量化后的模型（目前支持16比特整數），且不支持模型輸入輸出進行預處理和后處理，如文本到數字的特征轉換、降維、KNN或聚類、特征化、歸一化，以及集成模型結果的混合。

Concrete ML目前最新發布的版本為v1.0.0。

總結

Zama有著深厚技術背景，公司團隊63人中有35位博士，占比超過一半。其創始人與高層不乏密碼學，尤其是全同態加密領域的資深專家。以TFHE加密方案為底座，Zama構建了一個FHE解決方案，覆蓋面深入淺出，既可以深入密碼算法底層、精確控制FHE的參數細節，也可以在零密碼基礎的背景下自動化地實現程序電路FHE改造、便捷的進行FHE加密應用開發。Zama產品的一大亮點在于完全開源，此外也有著諸多優勢。例如：TFHE-rs算法庫使用純Rust開發、性能領先于同類，Concrete-ML機器學習工具集兼容scikit-learn和XGBoost、支持Pytorch和TensorFlow，且對不同的操作系統、計算硬件架構都有不錯的支持。從技術角度來看，Zama無疑具有相當強的競爭力，深度開源也有利于其技術發展。不過，Zama的技術也存在一些不足。在機器學習場景下，Concrete ML目前的能力存在局限性。僅有對模型推理進行改造的能力，或許可以滿足一部分應用需求，例如類ChatGPT的對話AI服務中用戶信息的隱私保護，但考慮到商用所需的AI能力，如果處理模型訓練是一個更困難、更長遠的目標，那么至少應該先考慮實現fine-tuning等能力，以便適應更廣泛的實際應用場景。

在技術之外，Zama的商業模式并不明確。產品、客戶信息的缺失，或許只是因為公開信息的缺乏，但也側面映射出Zama目前的主攻方向是技術而非產品。如何在A輪融資之后繼續推動公司發展和產品成熟，是有待Zama向投資者展現的。以目前純開源的模式，恐怕難以講好商業故事，獲得持續的投資與增長。