德鼎创新基金合伙人王岳华：使用同态加密实现比特币 Rollup 与隐私保护

文章来源：《使用同态加密实现比特币 Rollup 与隐私保护》

同态加密（Homomorphic Encryption, HE）是一种密码学技术，允许在加密数据上直接进行运算，而无需先将其解密。最早由Rivest 等人在1978年提出“部分同态加密”概念，但长期受限于计算效率，仅支持加法或乘法之一。真正突破发生在2009年，IBM 的Craig Gentry 提出了第一个“完全同态加密”（FHE, Fully Homomorphic Encryption）方案，开创了在加密数据上执行任意计算的可能。

尽管早期的FHE 实现计算量极大、效率极低，后续多个研究团队相继推出优化算法，如BGV、CKKS、TFHE 等，使得FHE 运算在特定场景下变得更实用。2020 年代以来，随着加密计算与隐私保护需求的增长（尤其在区块链和Web3 领域），FHE 正逐步走出实验室，迈向真实世界的应用。

主要同态加密方案及其优劣对比

目前主流同态加密技术可分为以下几类：

简而言之，BGV适合构建通用计算模型，CKKS 更适合AI 与金融分析类数据，而TFHE 则以极高效率支持位运算，适合条件执行与智能合约类场景，适配性较好。

对于比特币Rollup 或隐私计算应用而言，大多更偏向使用 TFHE 或BGV + ZK 的组合方案，以实现链下私密逻辑执行+ 链上验证的高效协作。

比特币上的应用路径与技术原型设计

将FHE 应用于比特币生态，需要考虑以下几个技术瓶颈：

1. 主链计算能力有限：比特币原生脚本语言不支持复杂逻辑；
2. 无需信任的计算验证方式：必须可验证链下计算的正确性；
3. 用户体验需简单：钱包必须集成加密/解密功能。

因此，推荐的实践路径如下：

• Step 1：加密输入（客户端）
  用户通过钱包将数据（例如投票、交易金额、身份凭证）加密成FHE 密文；
• Step 2：链下同态计算（Coprocessor）
  Rollup 层运行专用FHE 计算节点，对密文进行逻辑判断、交易聚合等处理；
• Step 3：生成证明（Proof）
  Coprocessor 输出计算结果+ 正确性证明（如ZK-SNARK、BitVM 脚本）；
• Step 4：链上验证（BTC主链）
  将加密结果和证明写入比特币主链，通过Taproot、OP_RETURN 或BitVM 验证其合法性；
• Step 5：可选解密（选定方）

某些场景下（如DAO 投票统计），指定解密密钥持有者可还原真实统计。

现有市场方案与公司动态概览

当前已有多个团队正将FHE 与区块链隐私计算结合，其中与比特币生态直接或间接关联的包括：

此外，像Aleo、Secret Network、Elusiv（Solana）等也在推动链上隐私计算，但主要聚焦非比特币生态。然而，它们的架构（FHE + zk-SNARK 组合）具有参考价值，尤其在构建Rollup 侧链时可提供启发。

在此，我们以Polymorphic Labs的方案为例：

这个设计整合了一种模块化的架构，可以无缝的执行全同态的coprocessing。

隐私计算在未来的实际应用场景是必要的。如隐私保护云计算：用户将加密数据上传至云服务器，云端直接处理密文（如加密搜索、数据分析）。 医疗数据共享：医院间共享加密的病例数据，协作研究时不泄露患者隐私。区块链与智能合约：合约执行时保护交易细节的隐私。金融风控：银行联合分析加密的客户数据，避免数据泄露风险。

隐私计算在Web3/Web3.0 行业领域里属于“基础设施“，在可预见的未来，它将无所不在。