英特尔和微软加入DARPA项目 推动全同态加密研发与应用

此项合作旨在提高全同态加密（FHE）性能与准确性，推动其商业和政府应用，从而更好地保护云端机密数据。

英特尔与微软携手加入美国国防高级研究计划局（DARPA）项目，意图开发可大幅提升全同态加密（FHE）计算性能的硬件和软件。作为该项目的一部分，英特尔负责开发硬件加速器，支持机器学习计算全程加密的隐私保护数据。

如果取得成功，这项长期工作可使需严格遵从数据保密要求的行业或部门，如医疗保健、财务、银行业或政府机构，能够在公有云上与合作伙伴和第三方服务轻松共享敏感数据而无需冒数据泄露风险。

英特尔研究院（Intel Labs）首席工程师Rosario Cammarota向媒体透露：“我们将以横跨静态学习和机器学习的一系列工作负载衡量该平台。平台的性能目标十分远大。DARPA希望算术运算性能能比当前CPU上实现的FHE软件提高五个数量级。这可不是什么小事，要知道，我们现在还不能在加密数据集上训练机器学习模型，但达到这些性能目标的平台就可以执行此类训练了。”

▶ 为什么全同态加密前景迷人

全同态加密（FHE）是支持直接对加密数据（密文）执行数学运算的一种加密形式，无需在运算前先解密密文。产出的计算结果也是加密的，而且仅持有私钥的数据拥有者能访问计算结果。该结果等同于对此数据的未加密版本（明文）执行相同运算的结果。

加密可用于保持数据在不同状态下的保密性：静态（存储在载体上）、传输中（在网络上传输时）和内存中（处理过程中）。内存中数据的安全问题历来最为棘手，这也是英特尔软件保护扩展（SGX）和ARM TrustZone等可信执行环境（TEE）在硬件上开发出来的原因所在。这些安全飞地的内存空间与主操作系统的内存空间隔开，可用于安全地执行敏感数据运算，不用担心会将敏感数据直接暴露给主操作系统下运行的进程。

但是，此类解决方案也有其局限。首先，这些解决方案并未消除传输中数据或静态数据加密共有的密钥管理问题：密钥需出现在执行解密的服务器或TEE中，而对于云计算案例，这就意味着要信任云运营商。其次，如果数据拥有者不过是云上服务或应用的用户，而非服务或应用本身的拥有者，其间涉及的信任和保密问题也没有真正得到解决。

FHE最吸引人的一个属性就是，你可以在不提供加密密钥的情况下将加密数据发送给第三方服务处理，也就是说，不用赌上你数据的保密性去信任服务提供商，也可以得到这些计算结果。

举个例子，采用机器学习的云医疗预测分析服务。借助FHE，无需暴露受保护的患者数据，医疗保健机构就可以利用此类服务帮助医生做出更准确的诊断。与之类似，FHE还可用于针对综合了公开和私有数据的大数据集执行分析。例如，有些患者参与了实验性治疗，但并未同意加入公开临床试验，其数据不应纳入包含了此类公开临床试验的大型数据集，药品开发公司便可采用FHE安全地分析此类患者的数据。此类分析可通过运行在云端的第三方服务进行。

Cammarota表示，借助多密钥同态加密，用例还可进一步扩大。多密钥同态加密是全同态加密（FHE）的一种形式：多方各自加密的数据归集到同一个数据池，针对整个数据池进行处理，其结果仅提供了数据的各方可见。

▶ FHE现状

尽管已经出现了FHE软件实现，IBM和微软等大厂也出品了各种FHE库和工具包，但由于FHE存在固有的数据损坏问题，这些软件实现、库和工具包在现有CPU上的性能都十分糟糕。与保证数据完整性的传统加密方案不同，FHE并不能保证数据的完整性，因为FHE的整个目标都是执行改变密文的计算，就是会影响其完整性。以密码术语而言，FHE用的是可塑性算法。

DARPA解释道：“每次同态计算都会产生一定量的噪声（也就是错误），会损坏加密数据表达。一旦这些噪声累积到特定点位，就无法恢复出原始明文了。基本上，需要保护的数据就相当于丢失了。名为‘自举’（bootstrapping）的计算结构有助于解决此噪声累积问题，将之降低到相当于原始明文的水平，但会产生大量的计算开销。”

正是这一问题严重限制了FHE的实际应用。Cammarota认为，机器学习推理目前虽还有些限制，却是可行的，但使用FHE数据训练机器学习就超出能力范围了。要解决这个问题，需开发能够大幅提升FHE工作负载执行性能的新技术，所以DARPA设立了虚拟环境数据保护（DPRIVE）项目。

▶ 英特尔加入DPRIVE

DPRIVE项目将持续数年，英特尔在这个项目中的目标是开发FHE硬件加速器，以专用集成电路（ASIC）的形式呈现。但在制造此类片上系统（SoC）之前，该项目第一阶段将专注确定用于加速全同态加密算术运算的关键构建块。

此项工作将与微软协作完成。微软计划测试这项技术并纳入其云产品中，从而驱动这项技术的商业采纳。微软和英特尔都是行业、政府和学术界同态加密标准化联盟的成员。

ASIC是常用作外设的集成电路，专为特定操作或某类操作而设计和优化。相比通用芯片，ASIC处理特定任务的性能会高上许多。例如，靠解决数学问题换取比特币奖励的比特币挖矿机就用ASIC而不用常规CPU。

即便如此，随着时间推移，此前需要硬件加速器的一些运算还是集成到了通用CPU上。浮点单元（FPU）也称为数学协处理器，曾经作为附加元件单独实现，但现在已经成为大多数CPU和GPU的标准部件了。独立加密加速器仍然很常见，但其中一些功能也集成到了CPU中。英特尔高级加密标准新指令（AES-NI）就是硬件加速密码运算的典型例子，现在已经是绝大多数CPU的标配了。

Cammarota称，作为DARPA DPRIVE项目的一部分研制的FHE硬件加速技术未来可能沿袭相同的发展路径，但这有待英特尔各业务部门的评估。他还指出，公司多支团队协同参与该项目，包括作为研究部门的英特尔研究院、数据平台小组和设计工程小组。

降低全同态加密的成本也是民主化此项技术的一种方法。Cammarota表示，AES-NI就是这么推动AES加密的，所以这么做完全可行。

然而，要实现广泛采纳，此类加密技术的标准化工作还需继续推进，并与FHE硬件加速的开发一同迈向成熟。Cammarota称：“如果将同态加密视为安全技术，那它看起来有些怪异。一方面，从工作负载的角度来看，可以计算加密数据的事实很是令人兴奋，因为你可以打造全新的商业模式，可以切实保护你的资产。另一方面，这是一种密码学技术，落实到部署上时，人们不会只顾着兴奋，而会问：这东西标准化了吗？我们可以安全部署吗？我们知道怎么安全部署吗？所以，DPRIVE项目的成果和标准化进展之间将会出现紧密合作。”

关键词：全同态加密（FHE）；DARPA；国家安全；

▶ 相关文章