原文标题：《Building in the Dark: Mapping the Current Crypto Privacy Landscape》原文作者：Derek Walkush，Variant原文编译：Luccy，BlockBeats编者按：随着加密领域的迅速发展，隐私基础设施和应用成为不可或缺的组成部分。Variant 投资合伙人 Derek Walkush 深入探讨了执行环境（TEEs）、零知识（ZK）、多方计算（MPC）和完全同态加密（FHE）的隐私解决方案的各种特点、优劣势。他认为，每种解决方案都有其独特的权衡，适用于不同的应用场景，在这个动态而复杂的领域，很难确定哪种方法最终会占据主导地位。

从长远来看，大多数区块链上的交易可能会变得更加私密。

加密货币的透明性质已经给许多应用开发者带来了一定的制约。应用开发者可以利用敏感用户数据构建更为广泛的设计，涵盖了从游戏到私密订单簿再到 MEV 基础设施等各个方面。

在 2015 年到 2022 年期间，数据泄露翻了一番多，科技消费者现在对他们个人数据的保护和脆弱性有了更高的关切，无论是在 web3 还是传统技术中。尽管对隐私的关注可能有起有伏，但一个更为明显的趋势是：随着大规模数据收集和基于数据的货币化的增长，人们的在线足迹变得越来越容易被追踪到科技巨头和外部对手。

在成熟的应用领域，一些老牌企业正面临着新兴以隐私为先的挑战者；不用说，就拿加密通讯应用 Telegram 和 Signal 的崛起为例，时间跨度是 2019 年到 2021 年。在加密货币领域，Brave 在最近的熊市中取得了令人瞩目的增长，截至 2023 年 11 月，其最高月活跃用户数（ATH MAU）已达到约 6600 万。从另一个角度来看，这大约相当于 Firefox 2022 年用户基数的 15% 左右。因此，现在有许多加密项目正竞相推出引人注目的产品化工具和解决方案，以尽可能简化构建私密应用的过程。

在加密领域，利用隐私技术的例子似乎是无穷无尽的。在消费者端，我们看到了一些令人振奋的实验，比如完全基于链上的私密游戏，如扑克和战争迷雾。在 DeFi 领域，一些人正在构建「暗订单簿」，这是对公共市场参与者不可见的交易环境。（为了更好理解，暗池在 2019 年 4 月执行的传统股票交易量中大约占了 40%。）更为隐秘的流动性还可以通过减少 MEV 来推动更高效的市场结果。由于区块链的完全公开性，许多复杂的交易公司被禁止执行复杂策略，因此更多的隐私甚至可能为更多专业金融参与者进入加密生态系统打开大门。

在加密领域，用户对隐私的感知缺失仍然是更广泛采用的瓶颈。为了适应新的隐私期望，加密应用构建者必须从一开始就将隐私置于首位。

那么，加密应用构建者应该如何在隐私解决方案的领域中航行呢？

保护用户隐私的方法

目前构建私密应用的主要可概括的方法包括受信任的执行环境（TEEs）、零知识（ZK）、多方计算（MPC）和完全同态加密（FHE）。以下是对每种方法的简要概述，以及代表性项目。

整个领域仍处于极为早期的阶段，因此以下比较仅仅是对未来几年内每种技术发展所需的投影。这些方法也并非等同或可互换的；用一把宽泛的刷子概括，它们大致可以分为专业硬件（TEEs）和密码学（ZK、MPC、FHE）。此外，它们中的许多方法在实际中有效地重叠。例如，FHE 必须与 ZK 和/或 MPC 结合使用。总的来说，观察每种方法的发展轨迹可以为更广泛的隐私类别如何发展提供可行的见解。

TEEs

· 描述：受信任、安全的离线计算环境

· 项目：ARM TrustZone，AWS Nitro，Intel SGX，Secret Network

ZK

· 描述：将零知识密码学应用于验证私有数据和计算

· 项目：Aleo，Aztec，Mina，Nocturne，Privacy Pools

MPC

· 描述：对私有数据的分离片段进行联合计算

· 项目：Nillion

FHE

· 描述：对加密数据进行计算

· 项目：Fhenix，Inco，Sunscreen，Zama

选择基础设施的两个关键因素是隐私信任假设和性能；这两个术语都是非常微妙的，下面的两个矩阵展开了这两个概念。它们显示了为使数据保持私密所做的假设（这对于考虑构建私密应用的开发人员非常重要），以及实现特定性能水平涉及的权衡。

随着时间的推移，我们可以预期市场力量将推动许多这些技术实现更高效的技术结果。硬件加速和其他催化剂可能会显著改善这些新技术的性能，尽管时间范围仍然不太明确。从长远来看，这些方法中的每一种都可能掌控市场的一部分。

下面的图表比较了每种方法在关键维度上的情况，包括可组合性，即其他应用与私有状态互动的能力；技术复杂性；创建分散协议的潜力；当前性能水平，即潜在吞吐量；以及基于之前提到的维度的最佳用例。这张图表可以被看作是每种方法为其性能水平做的权衡。

如上所示，每种方法都带有不同的权衡。其中没有一种基本上比其他更好，但每种方法都最适用于基于其优化目标的特定类应用。例如，构建更为集中化的暗订单簿的公司可以使用 TEEs，而构建私密借贷协议的项目可以选择 FHE 或 ZK。

请注意，许多这些技术可以组合使用，它们的交叉点通常是最有趣的方法之一。例如，零知识证明可以用于去除基于 TEEs 的暗订单簿的操作者功能，而 MPC 通常用于在 FHE 中分发加密密钥。这些分类的目的是提炼每种独立方法的最高级技术考虑因素。最后，这个领域在潜在的非法活动方面存在明显的监管影响；基础设施构建者务必注意合规性。

每种方法的优缺点

TEEs

受信任的执行环境（TEEs）涉及在受信任、安全的环境中进行离线计算。许多加密组织已经在各种任务中使用 TEEs，而私密应用只是一个较小的用例。它们可以是基于软件或硬件的，但最常见的是受信任的硬件。由于这种基础设施是离线的并在隔离的环境中，交易对于公共市场参与者来说保持隐藏。

在实践中，这可能看起来像是一名交易员发布订单，而无需了解完整的订单簿，并在池中找到对手方的流动性，如果有的话，两方都无需透露其出价或要价即可匹配。

到目前为止，TEEs 的一个显著应用是暗订单簿，而在传统金融领域中已经存在类似的基础设施，即「暗池」，这是一些全球最大金融机构运营的私人交易所，位于公共市场之外，高盛的 Sigma X 和摩根士丹利的 MS Pool 就是两个例子。暗池用于限制大宗交易对市场的影响。

TEEs 是本文提到的唯一一种有效的集中化方法，尽管性能卓越，但它带有各种缺点。其中一个批评是它们只是对大多数传统硬件的边际改进，并伴随着类似的一套风险。Side channel 攻击是一个显著的问题，并且在过去发生过；开发人员还需要非常依赖制造商的陈述。话虽如此，它们非常实用、易于构建，并且性能卓越。

优点：

· 基础设施强大、经过测试并已构建完备

· 与当前替代方案相比性能卓越

缺点：

· 通常需要为像暗池这样的应用自行启动足够的流动性

· 依赖于像 AWS、Intel 等中心化提供商，尽管这种情况较为罕见，但已经发生过攻击或破解，并引入了审查或去平台化的风险

ZK

零知识（ZK）可用于证明计算的正确性，而无需透露任何信息。ZK 是一项极具深远影响的技术，隐私只是一个小的用例。迄今为止，ZK 主要应用于扩展，即将密集计算移到链下，然后使用证明计算正确性的 ZKP。在隐私方面有多个 ZK 应用，但三个主要类别（虽然并非完全包括）是通用 ZK、ZK L1s / L2s 和私密池。

首先，利用 ZK 进行隐私应用的开发人员可以从零开始构建证明电路，或使用 zkVM。zkVM 提供了一个执行任意代码的环境，并生成一个 ZKP 收据，验证代码是诚实执行的，而不透露有关实际计算的任何数据。值得注意的是，通用的 zkVM 必须与分散的私有计算（DPC）方案（如 Zexe）结合使用。

其次，ZK L1 和 L2 允许用户在一个生态系统中处理私有状态的交易，或将私有链上操作移至这些网络或层。它们实际上已经构建了一个以隐私为先的 zkVM。例如，Aleo、Aztec、Mina 等。

最后，私密池在公共链上模糊了交易。它们使用 ZK 验证用户的存款地址，隐藏资金流向新的提款地址。私密池不仅适用于用户，还可以与某些应用程序集成。

值得注意的是，ZK 基本上是用于验证私有状态的，因此仍然必须有一个用于生成证明的私有执行环境；在许多情况下，这是在客户端上直接在用户设备上进行的（实际私有数据以原始形式存储在用户设备上）。ZK 在隐私方面的一个早期示例是去中心化身份，用户可以在链上公开显示敏感身份方面的证明，而不必公开实际数据。

优点：

· 可以非常通用，适用于许多隐私用例

· 通常非常可组合，意味着应用程序可以利用被动的私有状态

缺点：

· 计算强度大，技术仍处于早期阶段（尽管比 FHE 更进一步）

· 通常需要对不同的编程语言或 ZK 电路有所了解

MPC

安全多方计算（MPC）使多个参与方能够共同对私有数据进行计算，其中每个参与方仅持有私有数据的一个片段。有了这一片段，参与方无法访问私有数据，而各个独立的参与方也无法访问其余的数据。在加密领域有许多 MPC 的用例，其中密钥管理是一个显著的应用，但隐私应用也开始出现。

实际上有两种结构化这类 MPC 的方法：1）用户是共同计算的参与者，或者 2）用户将交易委托给另一方。从信任假设的角度来看，第一种方法是理想的，但在执行上具有更大的物流难度；大多数项目采取第二种方法。还应该提到的是，MPC 的一个明显风险是各方之间的勾结，这可能会将它们的片段组合在一起，以查看私有数据。

MPC 最适合用于涉及多个参与方但不太多的私有计算（特别是输出是公开的）情况。其他技术方法，如 FHE，通常依赖于 MPC，因此如果参与方数量较大且分布合理，并且计算是一次性的且不是非常复杂的情况下，MPC 可能足够。去中心化的扑克游戏就是 MPC 的一个很好的应用案例。

优点：

· 可应用于涉及一次性计算的许多隐私用例

缺点：

· 随着参与方数量的增加，扩展性不太好

· 不能用于高吞吐量应用，因为执行速度相对较慢

FHE

完全同态加密（FHE）允许对加密的私有状态进行计算。换句话说，用户可以在链上进行交易而不透露任何关于交易的信息。在实践中，这可能涉及在去中心化交易所进行代币交换或存入借贷池，但不会有任何关于交换了哪些代币或存入了多少的公开链上数据。

单独使用 FHE 并不是足够保护隐私。大多数方法都与 MPC 结合使用，用于对加密密钥进行分片，以确保没有一个集中的参与方能够解密所有私有状态。ZK 也经常用于验证交易，包括输出和输入的有效性，因为所有数据都是加密的，因此合约可以与私有状态进行交互而不透露信息。

这项技术仍处于极早期阶段，仅在几年前发布了像 TFHE 这样的方案，该方案使得进行确切输出的所有四种主要数学运算成为可能，而不是近似输出。此外，对于任何合理的性能水平，都需要硬件加速。FHE 在与顺序计算轮次的规模化方面表现不太好；随着更多计算，会向加密数据添加随机噪声，这是非线性增长的。尽管相对于提到的其他方法而言，FHE 仍处于较早的开发阶段，但它非常适用于需要与少数参与方高度可组合的计算，例如私人借贷市场和高级消费者应用。

优点：

· 是唯一一种完全在链上共享私有状态的方法

· 可以应用于大多数隐私用例

缺点：

· 在当前状态下性能相当差

· 依赖于其他技术，如 ZK 和 MPC，而这些技术都有各自的缺陷和信任假设

展望未来

在加密领域，隐私基础设施和应用现在已经是必不可少的，并且仍处于初步发展阶段。我们预计这些解决方案的格局将继续迅速增加。

这里介绍的每个隐私解决方案都有不同的权衡，最适用于不同的应用套件。隐私类别处于非常早期和广泛的阶段，单一的方法会胜出是简化了问题。

总体来说，不可避免地将会涌现许多与隐私相关的新技术。这个类别是加密领域最动态、发展最快的之一，但在加密领域却是最不透明的。但显然，该阶段只是创新的第一个时代。