在人工智能技術滲透至醫療、金融等高度敏感領域的今天，數據隱私與模型知識產權保護之間的矛盾日益凸顯，形成了一種“隱私悖論”。一方面，我們渴望利用機器學習（ML）的強大能力從海量數據中提取價值，例如輔助疾病診斷或進行精準金融風控；另一方面，這些數據本身往往包含著不可泄露的個人隱私或商業機密。隱私保護機器學習（PPML）正是在這一背景下應運而生，其核心目標是在不暴露原始數據和專有模型的前提下，完成機器學習的推理任務。

為了實現這一目標，密碼學領域提供了多種安全計算技術。其中，全同態加密（Fully Homomorphic Encryption, FHE）和混淆電路（Garbled Circuits, GC）是兩條備受矚目的技術路線。FHE被譽為密碼學的“圣杯”，它允許在加密數據上直接進行計算，整個過程無需解密，從而天然地保護了數據隱私。而GC則像一場精心編排的密碼學魔術，它將計算函數轉換為一個“混淆”后的電路，使得兩個或多個參與方可以在不知道對方輸入的情況下，共同得到計算結果。

盡管兩者都能實現安全的機器學習推理，但其底層原理、協議設計、性能表現和安全保障的側重點卻截然不同。FHE方案通常是非交互式的，但計算和內存開銷巨大；GC協議則以其高效的布爾運算著稱，但其固有的交互性和對模型結構的泄露也帶來了局限。因此，對于希望部署PPML應用的開發者和研究者而言，一個根本性的問題擺在面前：在特定的應用場景下，究竟應該選擇FHE還是GC？

一篇題為《Comparison of Fully Homomorphic Encryption and Garbled Circuit Techniques in Privacy-Preserving Machine Learning Inference》的研究工作，通過嚴謹的實驗設計和量化分析，直面了這一核心問題。該研究在一個統一的測試環境下，針對一個典型的兩層神經網絡推理任務，分別使用主流的FHE庫（Microsoft SEAL）和GC框架（IntelLabs TinyGarble2.0）進行了實現和評測。通過對往返時間、峰值內存、通信開銷、交互輪次和輸出精度等多維度指標的深入剖析，這項工作為我們揭示了兩種技術在實踐中的真實權衡，為技術選型提供了寶貴的數據支撐和洞察。

實驗設計的基石：構建一場公平的對決

任何有意義的技術比較，都離不開一個公平且標準化的實驗環境。該研究的核心貢獻之一，便在于精心設計了一個“蘋果對蘋果”的比較框架，確保FHE和GC在相同的任務、相同的模型和相同的威脅模型下進行對決。

核心場景與威脅模型

研究設定了一個在PPML領域極具代表性的兩方協作場景。參與方有二：

1. 客戶端（數據所有者，Bob）：擁有需要保密的私人輸入數據 ??x??，例如一位患者的醫療記錄。
2. 服務器（模型所有者，Alice）：擁有一個預訓練好的、具有知識產權的機器學習模型 ??f(x)??，例如一個疾病預測模型。

雙方的目標是，在滿足以下三個核心隱私要求的前提下，讓客戶端獲得推理結果 ??y = f(x)??：

1. 輸入隱私：服務器不能獲知客戶端的輸入數據 ??x??。
2. 模型隱私：客戶端不能獲知服務器的模型 ??f(x)?? 的內部參數（如權重和偏置）。
3. 計算正確性：客戶端最終得到的 ??y??? 必須與在明文上直接計算 ??f(x)?? 的結果一致或在可接受的誤差范圍內。

整個比較在密碼學中常見的半誠實（Semi-honest）敵手模型下進行。該模型假設參與雙方（客戶端和服務器）都會遵守協議的每一步流程，但可能會“心懷好奇”，試圖從協議執行過程中收到的信息里推斷出額外的內容。這是一個理想化但基礎的威脅模型，非常適合用于評估和比較不同密碼學協議的基準性能。

標準化的神經網絡模型

為了進行基礎而純粹的比較，研究者選擇了一個結構簡單但功能完整的兩層前饋神經網絡。該網絡的數學表示如下：

??y = Sigmoid(W2 · ReLU(W1x + b1) + b2)??

其中，??x???是輸入向量，??W1???、??b1???是第一層的權重矩陣和偏置向量，??W2???、??b2??是第二層的權重和偏置。網絡包含兩個非線性激活函數：ReLU（Rectified Linear Unit）和Sigmoid。這個模型雖小，卻“五臟俱全”，涵蓋了神經網絡中的核心運算：矩陣向量乘法、向量加法以及非線性激活，足以觸發FHE和GC在處理不同類型運算時所面臨的典型挑戰。

關鍵挑戰：非線性激活函數的密碼學改造

在隱私保護計算中，最大的技術障礙之一便是如何處理非線性函數。線性運算（如加法和乘法）在FHE和GC中都有相對直接的實現方式，但像ReLU和Sigmoid這樣的非線性函數則構成了巨大的挑戰。

對于FHE，特別是基于多項式環上困難問題的FHE方案（如本研究中使用的CKKS方案），其原生支持的運算是多項式加法和乘法。而ReLU ??max(0, x)??? 包含一個條件分支，Sigmoid ??1/(1+e^-x)?? 包含指數和除法運算，這些都無法直接在密文域中高效計算。

對于GC，雖然其作為一種基于布爾電路的技術，理論上可以表示任何可計算函數，但實現ReLU的條件判斷和Sigmoid的復雜算術運算（尤其是除法和指數）會產生規模巨大且深度驚人的電路，導致性能急劇下降。

為了克服這一障礙，研究者采用了在PPML領域廣泛應用的策略：多項式近似。他們使用低階多項式來模擬原始激活函數的行為，這是一種在計算可行性與模型精度之間的精妙權衡。具體的近似方法如下：

• ReLU的近似：ReLU函數被近似為簡單的平方函數 ??ReLU(x) ≈ x^2???。這個二次函數保留了ReLU在 ??x>0?? 時的非負性和增長趨勢，同時它是一個簡單的多項式，可以在FHE中通過一次密文乘法輕松實現。
• Sigmoid的近似：Sigmoid函數被一個二階多項式 ??Sigmoid(x) ≈ 0.5 + 0.197x - 0.004x^2?? 所替代。這個近似函數在原點附近能夠很好地模擬Sigmoid的“S”形曲線，并且同樣易于在密文域中進行多項式求值。

這種近似處理是整個實驗設計的關鍵所在。它統一了兩種技術路線在處理非線性問題上的方法論，使得比較的焦點可以集中在密碼學協議本身的性能開銷上，而非因實現不同激活函數策略所帶來的差異。當然，這種近似也必然會引入誤差，其對最終推理精度的影響，也成為了后續分析的一個重要維度。 (表 I, 圖 8, 圖 9)

技術選型：主流框架的對決

為了確保研究結果具有現實世界的參考價值，研究者選擇了兩個業界領先的開源框架：

• FHE實現：采用微軟的SEAL（Simple Encrypted Arithmetic Library）庫。SEAL是一個成熟、穩定且廣泛使用的FHE庫，本研究利用了其實現的CKKS（Cheon-Kim-Kim-Song）方案。CKKS方案的突出優點是支持對加密的浮點數（實數）進行近似算術運算，這使其與機器學習任務天然契合。
• GC實現：采用英特爾實驗室的TinyGarble2.0框架。該框架以其高效的順序流水線執行機制和對預編譯電路網表的支持而聞名，相比其他GC框架具有更好的靈活性和集成能力。

通過這兩個主流工具的對決，研究結果不僅反映了FHE和GC兩種理論的差異，也在很大程度上體現了當前最先進工程實現下的實際性能水平。

全同態加密（FHE）的實現路徑與技術細節

FHE的實現范式優雅而簡潔：客戶端用公鑰加密數據，服務器在密文上“盲算”，最后客戶端用私鑰解密得到結果。在這個過程中，服務器除了執行計算任務外，對數據內容一無所知。

FHE推理協議流程

根據研究中的描述，基于FHE的推理協議（如圖1所示）可以分解為以下幾個步驟，其核心在于計算階段的非交互性。

首先，在密鑰生成階段，客戶端（Bob）會生成一套完整的CKKS密鑰，包括用于加密的公鑰、用于解密的私鑰，以及兩種用于密文計算優化的特殊密鑰：重線性化密鑰（Relinearization Keys）和伽羅瓦密鑰（Galois Keys）。

接著，在加密與發送階段，客戶端將其私有輸入向量 ??x??? 編碼并加密成一個CKKS密文 ??enc_x??。隨后，將該密文連同公鑰、重線性化密鑰和伽羅瓦密鑰一同發送給服務器（Alice）。

然后，協議進入核心的同態評估階段。服務器接收到加密數據和評估所需的密鑰后，開始在密文上執行神經網絡的推理計算。服務器擁有明文的模型參數（??W1???, ??b1???, ??W2???, ??b2???）。它將這些參數與加密的輸入 ??enc_x?? 進行一系列同態運算（加法、乘法），并使用預先定義好的多項式近似來計算激活函數。整個計算過程無需與客戶端進行任何交互，這是FHE方案最顯著的特點之一。

計算完成后，服務器將得到的加密結果 ??enc_y??返回給客戶端。

最后，在解密階段，客戶端使用自己的私鑰解密 ??enc_y???，經過解碼后得到最終的推理結果 ??y??。 (算法 1)

解碼CKKS方案的關鍵參數

FHE的性能和安全性高度依賴于一系列精心選擇的參數。這些參數如同FHE引擎的“檔位”和“配置”，決定了其計算能力、精度和安全等級。研究中明確了所選用的關鍵參數，理解它們對于洞悉FHE的性能瓶頸至關重要。

• 多項式模數階數（??polynomial_modulus_degree???）: 研究中設定為 ??2^14 = 16384???。這個參數是FHE安全性的基石，它定義了底層多項式環的大小。階數越高，安全性越強，同時能夠支持的計算深度（連續乘法次數）和數據容量（批處理大小）也越大。但相應地，計算開銷也會呈指數級增長。??16384?? 是一個在安全性和性能之間取得平衡的常用值，它在128位安全級別下提供了足夠的計算空間。
• 系數模數鏈（??coefficient_modulus_chain???）: 研究中選用了 ??[60, 40, 40, 40, 30, 30]???。這可以被理解為密文的“計算預算”或“噪聲預算”。在CKKS方案中，每次密文乘法都會導致密文中的噪聲增長。為了控制噪聲，需要進行一種名為“重縮放（Rescaling）”的操作，該操作會消耗掉模數鏈中的一個素數模數。因此，模數鏈的長度和比特大小決定了FHE所能支持的最大乘法深度。研究中選擇的這個總比特長度為240位的模數鏈，在??16384??的階數下（理論上限為438位），足以支持5次帶重縮放的乘法，完全滿足兩層神經網絡的計算需求。 (表 II)
• 初始規模（??initial_scale???）: 研究中設定為 ??2^30???。在CKKS中，浮點數通過乘以一個大的縮放因子被編碼為整數。這個縮放因子就是??scale???。它直接影響了加密計算的精度，越大的??scale??通常意味著越高的精度，但同時也會更快地消耗噪聲預算。

同態計算的實現細節

服務器端的同態評估是整個協議的核心。研究中描述了如何利用SEAL庫的功能將神經網絡運算轉化為同態操作。

其中，矩陣-向量乘法是神經網絡中最常見的運算，但在FHE中無法直接完成。研究者通過一種巧妙的方式模擬了點積運算：首先，將輸入密文向量與明文的權重矩陣的每一行進行元素級乘法（Element-wise Multiplication）。然后，利用伽羅瓦密鑰執行一系列密文槽旋轉（Slot Rotations）和加法操作，將元素級乘法的結果累加起來，從而得到最終的點積結果。這個過程雖然復雜，但充分利用了CKKS的SIMD（單指令多數據）特性，即在一個密文中可以打包多個數據（槽）并并行操作。

對于激活函數評估，服務器直接在密文上計算近似多項式。例如，對于??ReLU ≈ z^2???，服務器執行一次密文與自身的同態乘法。對于Sigmoid的二階近似，則需要執行一次密文乘法和數次密文-明文乘法及加法。每次密文乘法后，都需要進行重線性化操作（使用??relin_keys??）來控制密文大小，并可能需要重縮放來控制噪聲。

通過這一系列精巧的密碼學工程，FHE成功地在“黑箱”中復刻了神經網絡的推理過程，其代價是巨大的計算復雜性。

混淆電路（GC）的實現路徑與交互協議

與FHE的“密文計算”哲學不同，GC采用的是一種“安全外包計算”的模式。服務器（Garbler，混淆者）將函數轉換成一個加密的電路，客戶端（Evaluator，評估者）在這個加密電路上進行評估，雙方的輸入都得到了保護。

GC推理協議流程

GC協議本質上是一個高度交互的過程，其流程（如圖2和圖3所示）比FHE要復雜得多。

協議始于電路生成與混淆階段，由服務器（Alice）執行。服務器首先將整個神經網絡模型（包括其固定的權重和偏置）編譯成一個巨大的布爾電路。電路中的每一個門（如AND, XOR）都被“混淆”：服務器為每個門的輸入輸出導線生成兩把隨機的“密鑰”（稱為標簽，一個代表0，一個代表1），然后為每個門創建一個混淆表（Garbled Table）。這個表被加密，只有持有正確輸入導線標簽的評估者才能解密并得到正確的輸出導線標簽。

接下來是關鍵的輸入標簽傳輸階段，這是一個交互步驟。客戶端（Bob）需要獲得與其私有輸入??x??對應的標簽。這個過程必須通過不經意傳輸（Oblivious Transfer, OT）協議來完成。OT協議允許客戶端從服務器持有的一對數據中（例如，代表輸入位0的標簽和代表1的標簽）選擇一個，而服務器不知道客戶端具體選了哪一個。這個過程需要為客戶端的每一個輸入比特都執行一次。

完成標簽傳輸后，服務器將所有混淆表以及一些元數據傳輸給客戶端。

然后，客戶端進入電路評估階段。客戶端利用從OT協議中獲得的輸入標簽，逐個“解鎖”并評估電路中的每個門。每評估一個門，客戶端就會得到下一根導線的輸出標簽，這個標簽又成為下一級門的輸入。這個過程像多米諾骨牌一樣，一直持續到電路的最終輸出端。

最后是結果揭示階段，這也是一個交互步驟。客戶端最終得到的是一組輸出標簽，它們本身是無意義的隨機串。為了得到最終結果，服務器需要向客戶端發送一個“解碼表”，或者雙方進行一次簡短的交互，將輸出標簽翻譯成最終的明文結果??y??。 (算法 2)

GC實現的工程細節

該研究的GC實現基于IntelLabs的TinyGarble2.0框架，并包含一些重要的工程決策，這些決策深刻影響了其性能和精度。

首先，該實現采用了定點數算術。與CKKS支持近似浮點數不同，GC的底層是布爾電路，更適合處理整數。因此，所有的浮點數值（包括客戶端輸入、模型權重和偏置）都需要通過乘以一個縮放因子（例如1000）來轉換為定點數（Fixed-point Integers）進行計算。這個轉換過程會引入量化誤差，是GC方案精度損失的來源之一。

其次，實現利用了TinyGarble2.0的模塊化與流水線執行特性。研究中，神經網絡的每一層、甚至每一個算術運算（如加法、乘法）都被實現為一個獨立的、預編譯好的電路網表。在執行時，客戶端順序評估這些小電路，并將前一個電路的輸出標簽作為下一個電路的輸入，形成了流水線作業。這種模塊化的設計降低了單個電路的復雜性，使得內存管理更加高效，因為中間狀態可以在操作完成后被清除。

最后，關于非線性函數的實現，研究中的處理方式有所不同。在GC中，ReLU函數的??max(0, x)??可以通過比較器電路和多路選擇器電路來原生實現，無需進行多項式近似。然而，對于更為復雜的Sigmoid函數，研究者仍然采用了與FHE方案相同的二階多項式近似。這是因為在定點數上實現多項式運算的布爾電路，遠比實現指數和除法運算的電路要小得多和快得多，這是一種務實的性能優化選擇。

總而言之，GC的實現路徑將復雜的神經網絡推理問題，轉化為了一系列底層的、但規模龐大的布爾邏輯評估任務，并通過頻繁的交互來協同完成。

性能對決：多維度量化分析

該研究最核心的貢獻，在于對FHE和GC兩種方案進行了細致入微的量化性能評測。所有實驗都在一臺配置了8核虛擬CPU和32GB內存的虛擬機上進行，客戶端和服務器運行在同一臺機器上，以最大限度地排除網絡延遲的干擾，聚焦于計算和通信協議本身的開銷。

速度之爭：往返時間（Round-Trip Time, RTT）

RTT衡量了從客戶端發起請求到最終獲得結果所花費的總時間，是衡量系統響應速度的核心指標。實驗結果揭示了巨大的性能鴻溝。

• 基準（明文計算）：作為參照，一個普通的、不帶任何隱私保護措施的神經網絡推理，耗時僅為 0.24毫秒。
• GC方案：完成一次推理需要 39.09毫秒。雖然相比基準慢了約 161倍，但其執行時間仍然處于毫秒級別，對于許多非實時應用來說是可以接受的。這種相對高效得益于GC底層主要依賴于快速的對稱加密操作（如AES），以及TinyGarble2.0的流水線優化。
• FHE方案：耗時達到了驚人的 5077.23毫秒（約5.08秒）。這個速度比基準慢了超過 20,000倍，比GC方案慢了兩個數量級。這種巨大的開銷主要源于CKKS方案中昂貴的公鑰密碼學運算，如大規模多項式乘法、重線性化和重縮放。尤其是在沒有充分利用批處理（即一個密文只處理一個輸入向量）的情況下，其性能劣勢被進一步放大。

結論非常明確：在單次推理的延遲方面，GC展現出壓倒性的優勢。FHE的計算開銷使其難以勝任對延遲敏感的應用。 (圖 4)

資源消耗：峰值內存使用

內存占用是衡量一個方案在資源受限設備（如移動端或嵌入式系統）上可行性的關鍵。

• GC方案：峰值內存占用約為 11.15 MB。這個數值僅比明文基線高出約一倍，顯示出極高的內存效率。這主要得益于其模塊化和順序評估的特性，框架可以在評估完一個小電路后釋放其占用的內存，從而保持較低的內存水位。
• FHE方案：內存消耗巨大。服務器端的峰值內存達到了 1053.75 MB（約1 GB），客戶端也需要705 MB。如此高的內存占用是因為FHE協議需要在內存中同時維護龐大的密文、多個評估密鑰（重線性化密鑰、伽羅瓦密鑰）以及計算過程中產生的眾多中間密文。

結論再次指向GC：在內存效率上，GC方案遠勝于FHE。FHE對內存的巨大需求是其在資源受限場景下部署的主要障礙。 (圖 5)

通信的代價：開銷與交互輪次

通信是分布式計算協議的生命線，其開銷直接影響系統的吞吐量和可擴展性。研究從數據傳輸總量和交互輪次兩個維度進行了分析，并得出了一個充滿權衡意味的結論。

在通信數據量方面：

• GC方案的總通信量約為 3.76 MB。其中大部分（約3.5 MB）是由服務器發送給客戶端的混淆電路和元數據。
• FHE方案的總通信量高達 151.5 MB。令人意外的是，通信的大頭（約151 MB，占總量的99%以上）是由客戶端發送給服務器的，主要包括初始的加密輸入和龐大的評估密鑰（公鑰、重線性化密鑰、伽羅瓦密鑰）。

在交互輪次方面：

• GC方案完成一次推理需要 7輪 交互。其中6輪用于3個輸入向量的OT協議（每個輸入需要2輪），1輪用于最終的結果揭示。這體現了GC協議“喋喋不休”（chatty）的本性，對網絡延遲非常敏感。
• FHE方案僅需 1輪 交互（如果將客戶端發送初始數據和服務器返回最終結果視為一次完整的請求-響應周期）。其計算階段完全非交互，對網絡延遲不敏感。

綜合來看，這是一個非常有趣的權衡。GC的通信數據量適中，但交互頻繁。FHE的交互極少，但單次通信的數據量極其龐大。然而，研究者敏銳地指出，FHE的巨大通信開銷主要是一次性的設置成本。評估密鑰在多次推理中可以復用。一旦密鑰設置完成，后續每次推理客戶端只需發送加密的輸入即可，通信量會大幅下降。相比之下，GC每次推理都需要傳輸全新的混淆電路，以保證安全性。這意味著，在需要進行大量、連續推理的場景下（例如視頻流分析），FHE的通信成本可以被有效攤銷，其總帶寬效率可能反而優于GC。 (圖 6)

精度的權衡：推理輸出偏差

由于多項式近似和密碼學方案固有誤差（FHE的重縮放噪聲、GC的定點數量化誤差）的存在，隱私保護計算的結果與明文計算結果之間必然存在偏差。

• GC方案：在多個隨機輸入向量上的測試顯示，其輸出與明文基準的最大偏差為 23.46%。誤差主要來源于Sigmoid函數的二階多項式近似和定點數轉換帶來的精度損失。
• FHE方案：表現出更高的不穩定性，最大偏差達到了 121.69%。如此巨大的偏差是多種誤差源復合效應的結果：不僅有ReLU和Sigmoid兩個函數的近似誤差，更重要的是CKKS方案中多次重縮放操作累積的噪聲，嚴重影響了數值的精度。特別是在激活函數的非線性區域，微小的輸入誤差可能會被急劇放大。

結論是，在模型精度保持方面，GC表現出更好的穩定性和可控性。FHE的精度問題是其走向實用化需要解決的核心挑戰之一。雖然可以通過選擇更高精度的參數來緩解，但這又會進一步加劇其性能和內存的開銷，形成一個棘手的“不可能三角”。 (圖 7)

超越性能：隱私、可擴展性與未來展望

除了直接的性能指標，一項技術的價值還體現在其隱私保障的強度、應對更復雜任務的可擴展性以及未來的發展潛力上。

隱私保障的粒度差異

這是一個至關重要的區別。

• FHE：提供了完全的模型隱私。由于服務器自始至終只接觸到加密數據，它無法從中推斷出任何關于模型結構（如網絡層數、神經元數量）或模型參數的信息。這是FHE最吸引人的安全屬性之一，為模型所有者提供了最強的知識產權保護。
• GC：泄露模型結構。在GC協議中，服務器發送給客戶端的混淆電路的結構（門的數量、連接方式）直接反映了底層計算函數的結構。這意味著，一個好奇的客戶端可以通過分析接收到的混淆電路，推斷出神經網絡的拓撲結構。雖然模型的權重參數仍然是保密的，但模型架構本身往往也是重要的知識產權。研究提到，可以通過通用電路（Universal Circuits, UC）等技術來隱藏模型結構，但這會帶來額外的、通常是巨大的性能開銷。

可擴展性的不同維度

當從簡單的兩層網絡擴展到更深、更復雜的模型（如卷積神經網絡CNN）時，兩種技術的可擴展性瓶頸也不同。

• FHE的可擴展性：主要受限于乘法深度。不帶自舉（Bootstrapping）的“層級FHE”（Leveled FHE，如本研究使用的）有一個固定的乘法深度上限，一旦計算超出這個深度，噪聲就會淹沒信號導致解密失敗。因此，構建非常深的網絡極具挑戰性。然而，FHE在吞吐量方面具有良好的可擴展性。通過CKKS的批處理（SIMD）功能，可以在一個密文上同時執行數千個不同輸入的推理，從而大幅提升系統吞吐量，這一點在本次研究中未被充分利用但潛力巨大。
• GC的可擴展性：其計算和通信開銷與模型的電路規模（大致與參數數量成正比）呈線性增長關系。網絡越深越寬，電路就越大，需要傳輸的混淆表就越多，評估時間也越長。它沒有FHE那樣的硬性深度限制，但成本會隨著模型復雜度的增加而穩定增長。

對更復雜網絡架構的推演

研究最后對將當前發現推廣到更復雜網絡（如CNN）的場景進行了富有洞察力的推演。

對于FHE，其高昂的初始設置成本（密鑰生成和傳輸）和相對較低的每層計算成本（研究中測得約0.02秒/層），意味著其總時間隨層數增長是次線性的。這表明FHE在處理中等深度的網絡時，其性能下降速度可能比預想的要慢，因為初始開銷占據了主導。

對于GC，其通信成本與層數呈嚴格的線性關系（研究中測得約1.7 MB/層）。更重要的是，研究者強調了兩種技術在多次推理場景下的根本不同。對于??n???次推理，GC的總通信成本是??O(n * C)???（??C???為電路大小），而FHE攤銷后的成本是??O(S + n * ε)???（??S???為巨大的初始設置成本，??ε??為每次推理的少量增量數據）。這一分析決定性地表明，在高吞吐量、多推理的場景下，FHE的帶寬效率遠高于GC，顯示出其在不同維度上的可擴展性優勢。

結論：沒有銀彈，只有權衡

這項嚴謹的比較研究，以無可辯駁的量化數據，為我們揭示了FHE和GC在隱私保護機器學習推理應用中的深刻權衡。它清晰地表明，在隱私計算領域，不存在一勞永逸的“銀彈”，只有根據具體應用場景需求做出的審慎選擇。

• 混淆電路（GC） 展現了其作為一種實用、高效解決方案的巨大潛力。它在計算速度和內存占用上擁有絕對優勢，對于延遲敏感、資源受限且可接受一定交互性的單次推理任務，是當前更具可行性的選擇。然而，其模型結構泄露和高交互輪次是其核心短板，限制了其在需要最強模型保密性或網絡環境不佳場景下的應用。
• 全同態加密（FHE） 則代表了隱私保護的“黃金標準”。它提供了完全非交互的計算模式和最強的模型隱私保障，這在許多高價值場景中是不可或缺的。但這種強大的隱私性是以巨大的性能開銷為代價的，其在計算時間、內存消耗和輸出精度上的劣勢非常明顯。盡管其通信成本可以通過攤銷來優化，但其高昂的計算門檻仍然是當前大規模部署的最大障礙。

這項研究的價值不僅在于提供了翔實的數據，更在于它指明了未來發展的方向。一方面，我們需要持續優化FHE方案的算法和工程實現，降低其計算開銷，并研究更精確的非線性函數近似方法。另一方面，探索GC與FHE（或其他隱私技術如安全多方計算）的混合協議，可能是一條極具前景的道路。例如，可以使用FHE處理線性層，用GC處理非線性層，從而取長補短，在性能、隱私和精度之間找到新的、更優的平衡點。

最終，這場FHE與GC的對決告訴我們，通往普適化隱私保護機器學習的道路依然漫長，但通過這樣一步步堅實的量化研究，我們正在離那個目標越來越近。

參考論文：??https://arxiv.org/abs/2510.07457v1??

本文轉載自??上堵吟??，作者：一路到底的孟子敬