探索隐私技术全景:区块链中的 FHE、ZK 和 TEE
当 Zama 在 2025 年 6 月成为首个全同态加密(FHE)独角兽时——估值超过 10 亿美元——这预示着比单一公司成功更重大的意义。区块链行业终于接受了一个基本事实:隐私不是可选项,而是基础设施。
但开发者面临着一个令人不安的现实:没有唯一的“最佳”隐私技术。全同态加密(FHE)、零知识证明(ZK)和可信执行环境(TEE)各自解决了不同的问题,并在权衡取舍上各不相同。选择错误不仅会影响性能,还可能从根本上损害你试图构建的东西。
本指南将深入分析何时使用每种技术,你实际权衡的代价是什么,以及为什么未来很可能涉及这三者的协同工作。
2026 年的隐私技术格局
区块链隐私市场已从细分领域的实验演变为严肃的基础设施。基于 ZK 的 Rollup 现在锁定的总价值(TVL)已超过 280 亿美元。仅零知识 KYC 市场预计就将从 2025 年的 8360 万美元增长到 2032 年的 9.035 亿美元——复合年增长率为 40.5%。
但市场规模无法帮你选择技术。了解每种方法实际的作用才是起点。
零知识证明:无需泄露即可证明
ZK 证明允许一方证明某个陈述是真实的,而无需透露有关内容本身的任何信息。你可以在不透露出生日期的情况下证明自己已年满 18 岁,或者在不暴露金额的情况下证明一笔交易是有效的。
工作原理:证明者生成一个加密证明,表明某项计算已正确执行。验证者可以快速检查该证明,而无需重新运行计算或查看底层数据。
短板:ZK 擅长证明你已经持有的数据。它在处理共享状态(shared state)时表现欠佳。你可以证明自己的余额足以支付交易,但在没有额外基础设施的情况下,你很难轻松地查询诸如“全链范围内发生了多少欺诈案例?”或“谁赢得了这场密封竞价拍卖?”之类的问题。
领先项目:Aztec 实现了混合公有/私有智能合约,用户可以选择交易是否可见。zkSync 主要专注于可扩展性,通过面向企业的“Prividiums”提供许可隐私。Railgun 和 Nocturne 则提供隐匿交易池。
全同态加密:在加密数据上进行计算
FHE 常被称为加密技术的“圣杯”,因为它允许在不解密的情况下直接对加密数据进行计算。数据在处理过程中保持加密状态,结果也保持加密——只有授权方才能解密输出。
工作原理:数学运算直接在密文上执行�。对加密值进行的加法和乘法运算会产生加密结果,当解密这些结果时,其内容与对明文进行相同操作得到的结果完全一致。
短板:计算开销巨大。即便经过最近的优化,Inco 网络上的 FHE 智能合约也仅能达到 10-30 TPS(取决于硬件)——这比明文执行慢了几个数量级。
领先项目:Zama 通过 FHEVM(其全同态以太坊虚拟机)提供基础架构。Fhenix 利用 Zama 的技术构建应用层解决方案,已在 Arbitrum 上部署了 CoFHE 协处理器,其解密速度比竞争方案快 50 倍。
可信执行环境:基于硬件的隔离
TEE 在处理器内创建安全飞地(enclave),计算在隔离状态下进行。即使更广泛的系统遭到破坏,飞地内的数据仍能受到保护。与密码学方法不同,TEE 依赖硬件而非数学复杂性。
工作原理:专用硬件(如 Intel SGX、AMD SEV)创建隔离的内存区域。飞地内的代码和数据经过加密,操作系统、管理程序或其他进程(即使拥有 root 权限)也无法访问。
短板:你必须信任硬件制造商。任何一个飞地被破解都可能导致明文泄露,无论有多少节点参与。2022 年,一个关键的 SGX 漏洞迫使 Secret Network 进行了协调一致的密钥更新,这展示了硬件依赖型安全性的运维复杂性。
领先项目:Secret Network 率先使用 Intel SGX 实现了私有智能合约。Oasis Network 的 Sapphire 是首个投入生产的机密 EVM,处理能力高达 10,000 TPS。Phala Network 运行着超过 1,000 ��个 TEE 节点,用于机密人工智能(AI)工作负载。
权衡矩阵:性能、安全与信任
了解基本的权衡取舍有助于将技术与用例相匹配。
性能
| 技术 | 吞吐量 | 延迟 | 成本 |
|---|---|---|---|
| TEE | 接近原生 (10,000+ TPS) | 低 | 运维成本低 |
| ZK | 中等(取决于具体实现) | 较高(证明生成开销) | 中 |
| FHE | 低(当前为 10-30 TPS) | 高 | 运维成本极高 |
TEE 在原始性能上胜出,因为它们本质上是在受保护的内存中运行原生代码。ZK 引入了证明生成的开销,但验证速度很快。FHE 目前需要密集的计算,这限制了实际的吞吐量。
安全模型
| 技术 | 信任假设 | 后量子 | 失效模式 |
|---|---|---|---|
| TEE | 硬件制造商 | 不具抗性 | 单个飞地 (Enclave) 被攻破会导致所有数据泄露 |
| ZK | 密码学(通常需要可信设置) | 视方案而定 | 证明系统的漏洞可能难以被察觉 |
| FHE | 密码学(基于格) | 具有抗性 | 破解成本极高,计算密集 |
TEE 需要信任 Intel、AMD 或任何硬件制造商,并且需要信任不存在固件漏洞。ZK 系统通常需要“可信设置 (Trusted Setup)”仪式,尽管较新的方案已消除了这一点。FHE 的基于格的密码学被认为是抗量子的,使其成为最强大的长期安全选择。
可编程性
| 技术 | 可组合性 | 状态隐私 | 灵活性 |
|---|---|---|---|
| TEE | 高 | 完全 | 受硬件可用性限制 |
| ZK | 有限 | 本地 (客户端侧) | 验证灵活性高 |
| FHE | 完全 | 全局 | 受性能限制 |
ZK 擅长本地隐私——保护你的输入——但在处理用户间的共享状态时比较困难。FHE 保持了完全的可组合性,因为任何人都可以在不暴露内容的情况下对加密状态进行计算。TEE 提供高度的可编程性,但仅限于拥有兼容硬件的环境。
选择合适的技术:用例分析
不同的应用需要不同的权衡。以下是领先项目如何做出这些选择的。
DeFi:MEV 防护与隐私交易
挑战:抢跑 (Front-running) 和三明治攻击通过利用可见的内存池 (Mempools),从 DeFi 用户身上榨取了数十亿美元。
FHE 解决方案:Zama 的机密区块链支持在区块包含之前参数保持加密的交易。这使得抢跑在数学上变得不可能——没有可见数据可供利用。2025 年 12 月的主网启动包含了使用 cUSDT 的首次机密稳定币转账。
TEE 解决方案:Oasis Network 的 Sapphire 为暗池和隐私订单撮合提供了机密智能合约。较低的延迟使其适用于 FHE 计算开销过大的高频交易场景。
何时选择:当应用需要最强的密码学保证和全局状态隐私时,选择 FHE。当性能需求超过 FHE 的处理能力且硬件信任可以接受时,选择 TEE。
身份与凭证:隐私保护的 KYC
挑战:在不泄露文档的情况下证明身份属性(年龄、国籍、资质证明)。
ZK 解决方案:零知识凭证允许用户在不暴露底层文档的情况下证明“已通过 KYC”。这在监管压力日益增大的情况下,既满足了合规性要求,又保护了用户隐私。
为什么 ZK 在此处胜出:身份验证本质上是证明关于个人数据的陈述。ZK 是为此而生的:简洁的证明可以在不泄露信息的情况下进行验证。验证速度快,足以满足实时使用。
机密 AI 与敏感计算
挑战:在不向运营商暴露数据的情况下处理敏感数据(医疗保健、财务模型)。
TEE 解决方案:Phala Network 基于 TEE 的云平台在平台无法访问输入的情况下处理大语言模型 (LLM) 查询。凭借 GPU TEE 的支持 (NVIDIA H100/H200),机密 AI 工作负载能够以实用的速度运行。
FHE 潜力:随着性能的提高,FHE 能够实现在硬件运营商也无法访问数据的情况下进行计算——彻底消除了信任假设。目前的局限性使其仅限于较简单的计算。
混合方案:在 TEE 中进行初始数据处理以保证速度,对最敏感的操作使用 FHE,并生成 ZK 证明来验证结果。
安全漏洞的现实情况
每种技术在生产环境中都发生过失败——了解失效模式至关重要。
TEE 失效
2022 年,关键的 SGX 漏洞影响了多个区块链项目。Secret Network、Phala、Crust 和 IntegriTEE 需要进行协同补丁。Oasis 得以幸存,是因为其核心系统运行在较旧的 SGX v1 (未受影响) 上,且不依赖飞地私密性来保护资金安全。
启示:TEE 的安全性取决于你无法控制的硬件。深度防御(密钥轮换、门限密码学、最小信��任假设)是强制性的。
ZK 失效
2025 年 4 月 16 日,Solana 修复了其机密转账 (Confidential Transfers) 功能中的一个零日漏洞。该漏洞可能导致无限代币增发。ZK 失效的一个危险方面是:当证明失效时,它们是隐形失效的。你无法察觉到不该存在的东西。
启示:ZK 系统需要广泛的形式化验证和审计。证明系统的复杂性造成了难以推敲的攻击面。
FHE 注意事项
FHE 尚未经历重大的生产环境故障——很大程度上是因为它处于部署早期。其风险特征有所不同:FHE 在攻击成本上是计算密集的,但复杂密码学库中的实现漏洞可能会导致细微的安全漏洞。
启示:新技术意味着较少的实战测试。虽然密码学保证很强,但实现层需要持续的审查。
混合架构:未来并非非此即彼
最复杂的隐私系统结合了多种技术,各取所长。
ZK + FHE 集成
用户状态(余额、偏好)通过 FHE 加密存储。ZK 证明在不暴露加密值的情况下验证有效的状态转换。这使得在可扩展的 L2 环境中进行隐私执行成为可能——将 FHE 的全局状态隐私与 ZK 的高效验证相结合。
TEE + ZK 组合
TEE 以接近原生的速度处理敏感计算。ZK 证明验证 TEE 输出是否正确,从而消除了对单一运营商的信任假设。如果 TEE 被攻破,无效的输出将无法通过 ZK 验证。
权衡与选择
一个实用的决策框架:
在以下情况下选择 TEE:
- 性能至关重要(高频交易、实时应用)
- 硬件信任对于你的威胁模型是可接受的
- 你需要快速处理大量数据
在以下情况下选择 ZK:
- 你正在证明有关客户端持有数据的陈述
- 验证必须快速且成本低廉
- 你不需要全局状态隐私
在以下情况下选择 FHE:
- 全局状态必须保持加密
- 需要后量子安全
- 计算复杂度对于你的用例是可以接受的
在以下情况下选择混合模式:
- 不同组件有不同的安全需求
- 你需要在性能与安全保证之间取得平衡
- 监管合规需要可证明的隐私
未来展望
Vitalik Buterin 最近推动了标准化的“效率比”——将加密计算时间与明文执行进行比较。这反映了行业的成熟:我们正在从“它能工作吗?”转向“它的工作效率如何?”
FHE 性能在持续提升。Zama 的 2025 年 12 月主网证明了简单智能合约的生产就绪性。随着硬件加速的发展(GPU 优化、定制 ASIC),与 TEE 的吞吐量差距将缩小。
ZK 系统变得更具表现力。Aztec 的 Noir 语言实现了几年前还无法实现的复杂隐私逻辑。标准正在缓慢趋同,从而实现跨链 ZK 凭证验证。
TEE 的多样性正在超越 Intel SGX。AMD SEV、ARM TrustZone 和 RISC-V 的实现减少了对单一制造商的依赖。跨多个 TEE 供应商的阈值密码学可以解决单点故障问题。
隐私基础设施的建设正在进行中。对于构建隐私敏感型应用的开发者来说,选择不在于寻找完美的技术——而在于足够深入地理解权衡,以便智能地将它们结合起来。
正在区块链上构建隐私保护应用?BlockEden.xyz 在 30 多个网络(包括专注于隐私的链)中提供高性能 RPC 节点。探索我们的 API 市场 以获取你的机密应用所需的基础设施。