跳到主要内容

隐私三难困境:ZK、FHE 和 TEE 争夺区块链的未来

· 阅读需 21 分钟
Dora Noda
Dora Noda
Software Engineer

以太坊的 Vitalik Buterin 曾将隐私称为区块链中“最大的未解决问题”。三年后,这一说法似乎已经过时——并非因为隐私问题已得到解决,而是因为我们现在明白这不只是一个问题。它是三个问题。

零知识证明 (ZK) 擅长在不泄露数据的情况下证明计算。全同态加密 (FHE) 允许对加密数据进行计算。可信执行环境 (TEE) 提供硬件保护的私密计算。每种技术都承诺提供隐私,但它们通过截然不同的架构实现,并伴随着不兼容的权衡。

DeFi 在需要隐私的同时也需要可审计性。支付需要在没有监控的情况下符合监管要求。AI 要求在不暴露训练数据的情况下进行可验证的计算。没有哪一种单一的隐私技术能够解决所有这三种用例——到 2026 年,业界已经不再对此抱有幻想。

这就是隐私三难困境:性能、去中心化和可审计性无法同时达到最大化。了解哪种技术在哪些领域胜出,将决定未来十年的区块链基础设施。

了解三种方法

零知识证明:在不揭晓的情况下进行证明

ZK 证明了如何验证。零知识证明是一种在不泄露底层数据的情况下证明某事属实的方法。

目前主导的有两种主要的实现方式:

  • ZK-SNARKs (简洁非交互式知识论证) —— 具有快速验证能力的紧凑证明,但需要可信设置仪式
  • ZK-STARKs (可扩展透明知识论证) —— 无需可信设置,具有抗量子性,但产生的证明较大

目前 75% 的专注于隐私的区块链项目使用 ZK-SNARKs,而 ZK-STARKs 的采用率近期增长了 55%。关键的技术区别在于:SNARKs 生成简洁且非交互式的证明,而 STARKs 生成可扩展且透明的证明

2026 年的现实应用:

  • Aztec —— 专注于隐私的以太坊 Layer 2
  • ZKsync —— 带有 Prividium 隐私引擎的通用型 ZK rollup
  • Starknet —— 基于 STARK 且集成隐私路线图的 L2
  • Umbra —— 以太坊和 Solana 上的隐身地址系统

全同态加密:在秘密上进行计算

FHE 强调如何加密。全同态加密允许在不解密的情况下对加密数据进行计算。

终极目标:在数据保持端到端加密的同时,对敏感数据(财务模型、医疗记录、AI 训练集)进行复杂计算。没有解密步骤意味着攻击者没有接触数据的窗口。

限制: FHE 的计算速度比明文计算慢几个数量级,这使得 2026 年的大多数实时加密货币用例在经济上不可行

FHE 提供了强大的加密功能,但对于大多数 Web3 应用来说仍然过于缓慢且计算负担过重COTI 的混淆电路 (Garbled Circuits) 技术比 FHE 快 3000 倍,轻量 250 倍,代表了弥合性能差距的一种方法。

2026 年的进展:

  • Zama —— 率先将实用的 FHE 应用于区块链,发布了 zk + FHE 混合模型的蓝图,包括提议的 FHE rollups
  • Fhenix —— 以太坊上由 FHE 驱动的智能合约
  • COTI —— 作为高性能隐私 FHE 替代方案的混淆电路

可信执行环境:基于硬件的隐私

TEE 基于硬件。可信执行环境是 CPU 内部的安全“盒子”,代码在安全飞地 (secure enclave) 内私密执行。

可以将其想象为处理器内部的一个保险库,敏感计算在紧锁的门后进行。操作系统、其他应用程序甚至硬件所有者都无法窥视内部。

性能优势: TEE 提供接近原生的速度,使其成为唯一能够处理实时金融应用且没有显著开销的隐私技术。

中心化问题: TEE 依赖于受信任的硬件制造商(Intel SGX、AMD SEV、ARM TrustZone)。这造成了潜在的单点故障和易受供应链攻击的脆弱性。

2026 年的现实应用:

  • Phala Network —— 多重证明 ZK 和 TEE 混合基础设施
  • MagicBlock —— Solana 上用于低延迟、高吞吐量隐私的基于 TEE 的临时 Rollup (Ephemeral Rollups)
  • Arcium —— 结合了 MPC、FHE 和 ZKP 以及 TEE 集成的去中心化隐私计算网络

性能图谱:速度与安全性的博弈

ZK:验证飞快,证明昂贵

零知识证明提供了最佳的验证性能。一旦证明生成,验证者可以在几毫秒内确认其正确性——这对于成千上万个节点必须对状态达成一致的区块链共识至关重要。

但证明生成仍然具有高昂的计算成本。生成复杂交易的 ZK-SNARK 可能需要几秒到几分钟,具体取决于电路的复杂性。

2026 年的效率提升:

Starknet 的 S-two 证明器于 2025 年 11 月成功集成到主网,其效率比前代提高了 100 倍以太坊联合创始人 Vitalik Buterin 公开反转了其坚持 10 年的立场,由于 ZK 证明效率的进步,他现在称 ZK-SNARKs 为实现安全、去中心化自我验证的“灵丹妙药”

FHE:长期博弈

FHE 允许直接对加密数据进行计算,代表了长期的隐私前沿。随着 2025 年加密智能合约执行演示的推进,其进展正在加速

但对于大多数应用来说,计算开销仍然过高。FHE 加密数据上的简单加法操作可能比明文慢 1,000 倍。乘法?慢 10,000 倍。

FHE 在 2026 年的闪光点:

  • 加密 AI 模型推理 —— 在不暴露模型或数据的情况下,对加密输入运行预测
  • 隐私保护拍卖 —— 出价在整个拍卖过程中保持加密状态
  • 机密 DeFi 原语 —— 在不泄露单个订单的情况下进行订单簿匹配

这些用例为了绝对的机密性而容忍延迟,使得 FHE 的性能权衡变得可以接受。

TEE:以信任换取速度

MagicBlock 在 Solana 上使用基于 TEE 的临时 Rollup(Ephemeral Rollups)来实现低延迟、高吞吐量的隐私,提供接近原生的性能,而无需复杂的 ZK 证明

TEE 的性能优势是无与伦比的。应用程序以原生速度的 90-95% 运行——这足以应对高频交易、实时游戏和即时支付结算。

缺点是:这种速度源于对硬件制造商的信任。如果 Intel、AMD 或 ARM 的安全飞地(Secure Enclaves)被攻破,整个安全模型就会崩溃。

去中心化之问:你信任谁?

ZK:设计上的去信任化(大部分情况下)

零知识证明在密码学上是去信任的。任何人都可以验证证明的正确性,而无需信任证明者。

除了 ZK-SNARKs 的可信设置仪式。 大多数基于 SNARK 的系统需要一个初始参数生成过程,其中秘密随机性必须被安全销毁。如果保留了该仪式中的“有毒废物(toxic waste)”,整个系统就会遭到破坏。

ZK-STARKs 不依赖可信设置,使其具备抗量子性且不易受潜在威胁的影响。这就是为什么 StarkNet 和其他基于 STARK 的系统越来越受到追求极致去中心化的青睐。

FHE:去信任计算,中心化基础设施

FHE 的数学原理是去信任的。加密方案不需要信任任何第三方。

但在 2026 年大规模部署 FHE 仍然是中心化的。大多数 FHE 应用需要专门的硬件加速器和大量的计算资源。这使得 FHE 计算集中在由少数供应商控制的数据中心。

Zama 正在开创面向区块链的实用 FHE,并发布了 ZK+FHE 混合模型的蓝图,包括提议的 FHE Rollup,其中 FHE 加密状态通过 ZK-SNARKs 进行验证。这些混合方法试图在 FHE 的隐私保证与 ZK 的验证效率之间取得平衡。

TEE:可信硬件,去中心化网络

TEE 代表了最中心化的隐私技术。TEE 依赖于可信硬件,从而产生了中心化风险

信任假设:你必须相信 Intel、AMD 或 ARM 正确设计了它们的安全飞地,并且不存在后门。对于某些应用(企业级 DeFi、受监管的支付),这是可以接受的。但对于抗审查的货币或无许可计算,这是一个致命伤。

缓解策略:

使用 TEE 作为执行环境来构造 ZK 证明并参与 MPC 和 FHE 协议,可以在几乎零成本的情况下提高安全性秘密仅在活动计算期间保留在 TEE 中,随后会被丢弃

通过 ZK+FHE 分层架构可以提高系统安全性,这样即使 FHE 被攻破,除了抗胁迫性(anti-coercion)之外的所有隐私属性仍可保留

合规监管:隐私与政策的融合

2026 年的合规版图

隐私目前受到明确法规而非不确定政策的约束,欧盟的反洗钱 (AML) 规则禁止金融机构和加密货币提供商处理“增强型匿名”资产。其目标是:在强制执行 KYC 和交易追踪合规的同时,消除完全匿名的支付。

这种监管透明度重塑了隐私基础设施的优先级。

ZK:用于合规的选择性披露

零知识证明实现了最灵活的合规架构:在不泄露所有细节的情况下证明你符合要求

示例:

  • 信用评分 —— 证明你的信用评分超过 700 分,而无需透露你的确切分数或财务历史
  • 年龄验证 —— 证明你已年满 18 岁,而无需透露你的出生日期
  • 制裁筛选 —— 证明你不在制裁名单上,而无需暴露你的完整身份

与 AI 的结合创造了诸如安全信用评分和可验证身份系统等变革性用例,而欧盟 MiCA 和美国 GENIUS 法案等监管框架也明确支持采用 ZKP

Entry 筹集了 100 万美元,旨在将 AI 合规与零知识隐私融合,用于受监管的机构级 DeFi。这代表了一种新兴模式:ZK 用于可验证的合规,而非匿名规避。

Umbra 在以太坊 (Ethereum) 和 Solana 上提供隐身地址系统,在隐藏交易的同时允许为了合规进行可审计的隐私保护,其 SDK 使得钱包和 dApp 的集成变得简单

FHE:加密处理,可审计结果

FHE 提供了一种不同的合规模型:在不暴露敏感数据的情况下对其进行计算,但在需要时披露结果

用例:加密交易监控。金融机构可以对加密的交易数据运行 AML 检查。如果检测到可疑活动,加密结果仅对授权的合规官员解密。

这在日常运营中保护了用户隐私,同时在需要时保持了监管审查能力。

TEE:硬件强化的政策

TEE 的中心化特性成为了合规方面的优势。监管政策可以被硬编码到安全飞地 (Secure Enclaves) 中,创建防篡改的合规执行环境。

示例:基于 TEE 的支付处理器可以在硬件层面强制执行制裁筛选,这使得向受制裁实体处理支付在加密层面变得不可能——即使应用程序运营商想要这样做。

对于受监管的机构,这种硬件强化的合规性降低了法律责任和运营复杂性。

用例赢家:DeFi、支付与 AI

DeFi:ZK 占据主导,TEE 负责性能

为什么 ZK 在 DeFi 中胜出:

  • 透明的可审计性 —— 储备证明、偿付能力验证和协议完整性可以公开证明
  • 选择性披露 —— 用户在不透露余额或交易历史的情况下证明合规
  • 可组合性 —— ZK 证明可以在不同协议之间链式调用,实现保护隐私的 DeFi 可组合性

通过将 PeerDAS 的数据处理能力与 ZK-EVM 的密码学精确性相结合,以太坊已通过真实的、功能性的代码解决了以太坊区块链不可能三角 (Blockchain Trilemma)以太坊 2026 年的路线图将机构级隐私标准列为优先级

TEE 的利基市场: 延迟比去信任化更重要的高频 DeFi 策略。套利机器人、MEV 保护和实时清算引擎受益于 TEE 近乎原生的处理速度。

FHE 的未来: 加密订单簿和隐私拍卖,在这些场景中,绝对的机密性足以抵消计算开销。

支付:TEE 负责速度,ZK 负责合规

支付基础设施的需求:

  • 亚秒级最终确定性
  • 合规性
  • 低交易成本
  • 高吞吐量

隐私正越来越多地作为“隐形基础设施”嵌入,而不是作为独立功能进行营销,针对机构薪资和支付的加密稳定币凸显了这一转变隐私作为金融基础设施的基础层,实现了产品与市场的契合 (Product-Market Fit),将用户保护与机构要求相统一,而非仅仅作为投机性的隐私币

TEE 在消费者支付中胜出: 速度优势是不可妥协的。即时结账和商户实时结算需要 TEE 的性能。

ZK 在 B2B 支付中胜出: 企业支付优先考虑可审计性和合规性,而非毫秒级延迟。ZK 的选择性披露实现了带有可审计追踪的隐私保护,以满足监管报告需求。

AI:训练用 FHE,推理用 TEE,验证用 ZK

2026 年的 AI 隐私堆栈:

  • FHE 用于模型训练 —— 在不暴露敏感数据的情况下对加密数据集进行 AI 模型训练
  • TEE 用于模型推理 —— 在安全飞地(Secure Enclaves)中运行预测,以保护模型 IP 和用户输入
  • ZK 用于验证 —— 在不泄露模型参数或训练数据的情况下证明模型输出的正确性

Arcium 是一个结合了 MPC、FHE 和 ZKP 的去中心化隐私计算网络,可为 AI 和金融实现全加密协作计算

与 AI 的结合创造了诸如安全信用评分和可验证身份系统等变革性用例。隐私技术的结合使得 AI 系统在保持可审计和可信的同时,能够维护机密性。

混合方法:为什么 2026 年是关于组合的一年

到 2026 年 1 月,大多数混合系统仍处于原型阶段。采用是由实用主义而非意识形态驱动的,工程师们会选择满足可接受的性能、安全性和信任考量的组合

2026 年成功的混合架构:

ZK + TEE:具备可验证性的速度

使用 TEE 作为执行环境来构建 ZK 证明并参与 MPC 和 FHE 协议,可以以几乎为零的成本提高安全性

工作流程:

  1. 在 TEE 内部执行私密计算(速度快)
  2. 生成正确执行的 ZK 证明(可验证)
  3. 计算后丢弃秘密(瞬时性)

结果:TEE 的性能结合 ZK 的无须信任验证。

ZK + FHE:验证与加密的结合

Zama 已经发布了 zk+FHE 混合模型的蓝图,包括提议的 FHE Rollups,其中 FHE 加密状态通过 zk-SNARKs 进行验证

工作流程:

  1. 对 FHE 加密数据进行计算
  2. 生成证明 FHE 计算执行正确的 ZK 证明
  3. 在链上验证证明,而不泄露输入或输出

结果:FHE 的机密性结合 ZK 的高效验证。

FHE + TEE:硬件加速加密

在 TEE 环境中运行 FHE 计算可以加速性能,同时增加硬件级的安全隔离。

工作流程:

  1. TEE 提供安全执行环境
  2. FHE 计算在具有硬件加速的 TEE 内部运行
  3. 结果保持端到端加密

结果:在不损害加密保证的情况下提高 FHE 性能。

十年路线图:下一步是什么?

2026-2028:生产就绪

多种隐私解决方案正从测试网走向生产阶段,包括 Aztec、Nightfall、Railgun、COTI 等

关键里程碑:

2028-2031:主流采用

隐私作为默认选项,而非可选项:

  • 所有交易均内置 ZK 隐私的钱包
  • 默认具有机密余额的稳定币
  • 以隐私保护智能合约为标准的 DeFi 协议

监管框架成熟:

  • 隐私保护合规性的全球标准
  • 可审计隐私在法律上被金融服务接受
  • 隐私保护的 AML/KYC 解决方案取代基于监控的方法

2031-2036:后量子过渡

ZK-STARKs 不依赖于可信设置,使其具备抗量子性,且不易受到潜在威胁的影响

随着量子计算的发展,隐私基础设施必须适应:

  • 基于 STARK 的系统成为标准 —— 抗量子性变得不可谈判
  • 后量子 FHE 方案趋于成熟 —— FHE 本身已具备量子安全性,但需要提高效率
  • TEE 硬件演进 —— 下一代处理器中出现抗量子的安全飞地

选择正确的隐私技术

在隐私三难困境中没有万能的赢家。正确的选择取决于你应用程序的优先级:

如果你需要以下内容,请选择 ZK:

  • 公开可验证性
  • 无须信任的执行
  • 用于合规的选择性披露
  • 长期抗量子性 (STARKs)

如果你需要以下内容,请选择 FHE:

  • 无需解密的加密计算
  • 绝对的机密性
  • 当下的抗量子性
  • 对计算开销的容忍度

如果你需要以下内容,请选择 TEE:

  • 接近原生的性能
  • 实时应用程序
  • 硬件中可接受的信任假设
  • 较低的实现复杂度

如果你需要以下内容,请选择混合方法:

  • TEE 的速度结合 ZK 的验证
  • FHE 的加密结合 ZK 的效率
  • TEE 环境中对 FHE 的硬件加速

隐形的基础设施

隐私之所以实现产品市场匹配(Product-market fit),并不是作为一种投机性的隐私币,而是作为一种将用户保护与机构需求相结合的金融基础设施基础层

到 2026 年,隐私之战不再是关于哪种技术将占据主导地位,而是关于哪种组合能最有效地解决每个用例。DeFi 倾向于使用 ZK 来实现可审计性。支付领域利用 TEE 来提升速度。AI 则结合了 FHE、TEE 和 ZK,用于计算流水线的不同阶段。

隐私三难困境(Privacy trilemma)不会被彻底解决,而是会被管理——工程师为每个应用选择合适的权衡方案,监管机构界定保护用户权利的合规边界,用户则选择符合其威胁模型的系统。

Vitalik 说得没错,隐私是区块链最大的未解难题。但答案并非单一的技术,而是在于知道何时使用每一种技术。

来源

Share on Twitter