完全同態解密並不存在。 每當你看到一個系統使用 FHE 來處理你的敏感數據時，請記住：有人擁有密鑰。如果不是你，你信任他們嗎？

給定 Enc(data)，FHE 讓你計算 Enc(f(data))，對於任何 f。但總得有人來解密結果！ 有兩種情況 a) 你的數據，你的密鑰，你只是外包了計算。安全，但很少值得 FHE 的開銷。 b) 這是多個人的秘密數據，那麼誰來獲得密鑰？

情境B是我們在現實生活中看到提議的協議：暗池、私人反洗錢系統等。 沒有人被信任持有密鑰，而是有一個委員會負責閾值解密。但整個解決方案的安全性取決於委員會，而不僅僅是「加密」！

為了澄清，這是有正當用途的，並且有一些非常令人印象深刻的研究。 但是，圍繞它們的安全性討論應該是「好吧，密鑰在哪裡？」

由於這似乎被忽視了：重點是涉及多方的 FHE 協議具有與 MPC 協議相同的安全假設和權衡。 誰持有密鑰/股份，是否應該信任他們不會串通？ 對於 MPC，這是眾所周知的，但對於 FH，則不是。

由於這似乎被忽視了：重點是涉及多方的 FHE 協議具有與 MPC 相同的安全假設和權衡。 誰持有密鑰/份額，是否應該信任他們不會串通？ 對於 MPC，這是眾所周知的，但對於 FHE，則不是。

一旦你接受 FHE 基本上依賴於非串通/非妥協的假設來進行門檻解密，那麼相較於 MPC，有一個非常微小的安全優勢： 鍵持有者的暴露程度低於 MPC。他們只進行解密，而不計算函數。

反過來說，大多數 FHE 並不提供完整性，因此要添加這一點，你需要例如 zk 證明。因此，完全不受信任的隱私和完整性 FHE 評估甚至更昂貴。