1. 首页
  2. 新闻资讯
  3. 全同态加密在2025年的商用突破总结

全同态加密在2025年的商用突破总结

  • 发布于 2026-01-06
  • 8 次阅读

2025年被商用密码行业普遍视为全同态加密(FHE)从“理论神坛”走向“工业实战”的关键一年。在数据要素流通与隐私保护的双重驱动下,全同态加密技术通过算法优化与专用硬件的结合,突破了长期存在的计算效率瓶颈。本文将从技术原理、2025年的关键突破以及基于国家标准的合规实现三个维度,对这一前沿技术进行汇总分析。

全同态加密的定义

全同态加密 Fully Homomorphic Encryption,FHE 是一种特殊的加密技术,它允许第三方在不知道明文、也没有解密密钥的情况下,直接对密文做计算,并且解密后的结果与对明文执行同样计算的结果一致。更形式化的描述是,一个全同态加密方案通常包含密钥生成 KeyGen、加密 Enc、解密 Dec、同态计算 Eval 四个算法流程,满足正确性、语义安全性、同态性、紧凑性等性质,其中同态性可以写成如下等式,说明在密文上做 Eval 再解密,等价于在明文上做函数 f 运算。

  • Dec(sk, Eval(f, evk, Enc(pk, m1), …, Enc(pk, mk))) = f(m1, …, mk)

这一套定义与性质在学术综述中有系统阐述,同时也解释了为什么FHE被认为能实现数据“可用不可见”,因为计算阶段不需要把数据解密出来。

FHE加密计算原理

数据全生命周期安全在很多行业,真正棘手的点不在“传输加密”或“存储加密”,而在“计算环节”。传统方案通常是数据到计算端后需要解密,或者依赖某种可信硬件环境来保证计算时不泄露,但可信硬件仍然要面对实现漏洞与攻击案例带来的信任问题。FHE的卖点就在于,它把“计算必须见明文”这条规则打破了,理论上能在整个数据生命周期内保持加密态。

全同态加密的核心是支持加密数据的任意深度计算,而不泄露明文。基本流程包括密钥生成、加密、解密和同态求值。以BGV/CKKS类方案为例(基于RLWE假设):

  • 密钥生成:生成公钥 pk、私钥 sk 和求值密钥 evk,确保安全性依赖于格上困难问题。

  • 加密:明文 m 编码为多项式,添加噪声 e 生成密文 ct ≈ m + e(CKKS中噪声视为消息部分)。

  • 同态运算:加法为 ct1 + ct2;乘法涉及张量积,后通过密钥切换(控制维数)和模切换(控制噪声)优化。

  • 解密:ct × sk ≈ m(精确或近似)。

  • 2025年优化聚焦自举(Bootstrapping):刷新噪声过高的密文。过程包括模切换、线性变换、比特提取和逆变换。自举电路深度降低至 O(λ),λ为安全参数。复合函数近似(如正弦级数)将误差减至 O(ε^{2n+1}),n为阶数,提升精度至44位。

硬件层面,专用加速器(如密流智能的FPGA卡)并行处理多项式运算,实现毫秒级操作。蚂蚁的HAWK引入定字长密钥分解切换,统一计算字长,降低存储开销。

“商用突破”主要体现

算法体系更成熟,从单一路线走向多路线并存

FHE从2009年开始快速发展,形成了多条技术路线,典型包括BFGV或BFV路线、GSW路线、CKKS路线等,它们在密文结构、噪声增长控制、自举方式、是否支持SIMD打包等方面差异很大。产业界在2025年前后的变化,是逐步从“知道有FHE”走向“知道该选哪一类FHE”,例如推理类工作负载常常围绕CKKS及其编译优化做文章,布尔电路类工作负载会更多关注TFHE一类可编程自举框架。

硬件与编译器协同,把关键算子进一步“工程化”

FHE落地的性能瓶颈往往集中在若干核心操作上,例如密钥切换、重线性化、自举等。2025年前后,一条明显的产业化路线是“算法改造去适配硬件”,以及“编译器自动做融合与成本模型选择”。

在硬件侧,蚂蚁技术研究院的MICRO 2025论文 HAWK 聚焦密钥切换中的密钥分解切换方法在定字长硬件上的落地挑战,提出定字长密钥分解切换及硬件友好舍入等方法,并报告相对既有FHE加速器1.29到1.45倍性能提升,面积开销相对最小设计仅增加4%。这些数据属于论文结论层面的可引用指标。

在编译器侧,CGO 2026收录的FHEFusion提出FHE感知IR与算子融合策略,用于CKKS方案的DNN推理,报告在CPU上相较于NGRAPH,在七个DNN模型上达到最高3.02倍,平均1.40倍性能提升,同时保持推理精度。

这些成果的意义不在于它们“证明FHE已经万能”,而在于它们说明FHE的优化开始遵循产业界更熟悉的路径,即把密码学算子当成一种可编译可加速的工作负载,开始出现系统化性能工程。

标准化与合规路径开始成型,但国内外口径不同

国际上,FHE标准化已经启动。ISO和IEC已启动FHE算法标准化工作,这意味着全球范围内正在形成统一的术语、模型与机制描述,这对商用采购、互操作与安全评估都很关键。

国内合规侧,需要注意一点是,FHE本身不是“国密算法列表中的某一个算法”,更像是一个密码体制或计算范式,它在落地时往往要与密码模块安全要求、密码设备接口规范、以及应用系统的密码应用要求一起考虑。也就是说,很多项目最后验收看的不是“你用了FHE”,而是你用到的密码模块、密钥管理、接口调用、审计与管理制度能否满足相关标准条款。

在密码模块安全方面,GM/T 0028定义了密码模块安全相关术语,例如安全功能包括分组密码、流密码、对称或非对称算法、杂凑、随机比特生成器、实体鉴别、敏感安全参数生成与建立等,并对运行环境、接口、审计、自测试等提出了结构化要求。它不是专门为FHE写的,但FHE一旦进入产品形态,往往会以某种密码模块或密码服务形式呈现,仍要落到这些要求上。

在应用系统层面,GB/T 39786对应用和数据安全提出建议与要求,例如宜采用密码技术进行身份鉴别,保障传输和存储的重要数据机密性与完整性,并指出如果采用密码服务,需要符合法律法规并接受检测认证,采用的密码产品需要达到GB/T 37092一级及以上安全要求。

典型行业落地开始出现可描述的“业务闭环”

医疗健康数据是典型的高敏感数据,AI推理、跨机构共享、可穿戴设备分析都涉及把数据交给第三方处理。

  • 密文推理,院方把影像、基因等数据加密后送入模型侧推理,模型侧不见明文,输出密文结果由院方解密。

  • 合规共享,强调明文不出库,按需加密计算,数据可用可计量。

  • 可穿戴隐私保护,设备厂商从采集到使用环节无法获取明文,解密权在用户侧。

同时,苹果、微软等也在相关功能中使用FHE或相关隐私检索机制,例如微软SEAL库与Password Monitor,苹果在PIR与PNNS中应用。

现实难点依然存在

即便有硬件与编译器加持,FHE仍然有一些结构性难点:

  • 噪声与自举,自举是把噪声接近临界值的密文刷新为低噪声密文的关键步骤,但也是最重的步骤之一,不同路线的自举代价差异很大。

  • 密文大小与算子限制,不同路线密文结构不同,导致是否支持SIMD打包、是否易于并行处理存在本质差异。

  • 近似计算安全性争议,在CKKS这类近似同态方案上,安全模型与噪声处理仍是研究重点。

因此,2025年的“商用突破”更准确的表达应该是,FHE开始在一些特定负载与特定边界条件下形成可交付方案,例如固定模型的推理、固定流程的风控评估、特定字段的联合计算等,而不是替代所有隐私计算技术。

参考资料:

1) 戴怡然 等,《全同态加密技术的研究现状及发展路线综述》,《电子与信息学报》,2024年5月,DOI 10.11999/JEIT230703。

2) 蚂蚁技术研究院同态加密及编译最新成果分享,上篇内容,包含MICRO 2025论文 HAWK 的指标与CGO 2026论文FHEFusion的指标,并提供HAWK论文链接 https://dl.acm.org/doi/full/10.1145/3725843.3756123  

4) GM/T 0028-2014 《密码模块安全技术要求》相关条目,包含安全功能等术语定义,以及运行环境、审计、自测试、接口等要求片段。  

5) GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》 第7.4节 应用和数据安全对身份鉴别、传输与存储机密性完整性,以及密码服务检测认证、产品安全等级要求的条款。

注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。