没有所谓的完全同态解密。 每当你看到一个系统使用 FHE 来处理你的敏感数据时，请记住：有人拥有密钥。如果不是你，你信任他们吗？

给定 Enc(data)，FHE 让你可以计算 Enc(f(data))，对于任何 f。但必须有人解密结果！ 有两种情况： a) 你的数据，你的密钥，你只是外包了计算。安全，但很少值得 FHE 的开销。 b) 这是多个人的秘密数据，那么谁来获得密钥？

场景B是我们在现实生活中看到提议的协议：暗池、私人反洗钱系统等。 没有一个人被信任持有密钥，而是有一个委员会负责阈值解密。但整个解决方案的安全性不仅仅依赖于“加密”，还依赖于委员会！

明确来说，这有其合法的使用案例，还有一些非常令人印象深刻的研究。 但是，关于它们的安全性讨论应该是“好吧，密钥在哪里？”

由于这似乎被忽视了：关键在于涉及多个参与方的FHE协议具有与MPC协议相同的安全假设和权衡。 谁持有密钥/份额，他们是否应该被信任不进行串通？ 对于MPC，这一点是众所周知的，但对于FHE，这一点并不明确。

由于这似乎被忽视了：关键在于涉及多个方的FHE协议具有与MPC协议相同的安全假设和权衡。谁持有密钥/份额，他们是否应该被信任不进行串通？对于MPC，这一点是众所周知的，但对于FHE，则不然。

一旦你接受 FHE 基本上依赖于阈值解密的非串通/非妥协假设，就会发现它相较于 MPC 有一个非常微小的安全优势： 密钥持有者的暴露程度低于 MPC。他们只进行解密，而不计算函数。

另一方面，大多数 FHE 并不能保证完整性，因此要添加这一点，你需要例如 zk 证明。因此，完全不受信任的隐私和完整性 FHE 评估甚至更昂贵。