隐私计算的分岔路口：全同态加密与混淆电路在机器学习推理中的深度比较

在人工智能技术渗透至医疗、金融等高度敏感领域的今天，数据隐私与模型知识产权保护之间的矛盾日益凸显，形成了一种“隐私悖论”。一方面，我们渴望利用机器学习（ML）的强大能力从海量数据中提取价值，例如辅助疾病诊断或进行精准金融风控；另一方面，这些数据本身往往包含着不可泄露的个人隐私或商业机密。隐私保护机器学习（PPML）正是在这一背景下应运而生，其核心目标是在不暴露原始数据和专有模型的前提下，完成机器学习的推理任务。

为了实现这一目标，密码学领域提供了多种安全计算技术。其中，全同态加密（Fully Homomorphic Encryption, FHE）和混淆电路（Garbled Circuits, GC）是两条备受瞩目的技术路线。FHE被誉为密码学的“圣杯”，它允许在加密数据上直接进行计算，整个过程无需解密，从而天然地保护了数据隐私。而GC则像一场精心编排的密码学魔术，它将计算函数转换为一个“混淆”后的电路，使得两个或多个参与方可以在不知道对方输入的情况下，共同得到计算结果。

尽管两者都能实现安全的机器学习推理，但其底层原理、协议设计、性能表现和安全保障的侧重点却截然不同。FHE方案通常是非交互式的，但计算和内存开销巨大；GC协议则以其高效的布尔运算著称，但其固有的交互性和对模型结构的泄露也带来了局限。因此，对于希望部署PPML应用的开发者和研究者而言，一个根本性的问题摆在面前：在特定的应用场景下，究竟应该选择FHE还是GC？

一篇题为《Comparison of Fully Homomorphic Encryption and Garbled Circuit Techniques in Privacy-Preserving Machine Learning Inference》的研究工作，通过严谨的实验设计和量化分析，直面了这一核心问题。该研究在一个统一的测试环境下，针对一个典型的两层神经网络推理任务，分别使用主流的FHE库（Microsoft SEAL）和GC框架（IntelLabs TinyGarble2.0）进行了实现和评测。通过对往返时间、峰值内存、通信开销、交互轮次和输出精度等多维度指标的深入剖析，这项工作为我们揭示了两种技术在实践中的真实权衡，为技术选型提供了宝贵的数据支撑和洞察。

实验设计的基石：构建一场公平的对决

任何有意义的技术比较，都离不开一个公平且标准化的实验环境。该研究的核心贡献之一，便在于精心设计了一个“苹果对苹果”的比较框架，确保FHE和GC在相同的任务、相同的模型和相同的威胁模型下进行对决。

核心场景与威胁模型

研究设定了一个在PPML领域极具代表性的两方协作场景。参与方有二：

1. 客户端（数据所有者，Bob）：拥有需要保密的私人输入数据 ​​x​​，例如一位患者的医疗记录。
2. 服务器（模型所有者，Alice）：拥有一个预训练好的、具有知识产权的机器学习模型 ​​f(x)​​，例如一个疾病预测模型。

双方的目标是，在满足以下三个核心隐私要求的前提下，让客户端获得推理结果 ​​y = f(x)​​：

1. 输入隐私：服务器不能获知客户端的输入数据 ​​x​​。
2. 模型隐私：客户端不能获知服务器的模型 ​​f(x)​​ 的内部参数（如权重和偏置）。
3. 计算正确性：客户端最终得到的 ​​y​​​ 必须与在明文上直接计算 ​​f(x)​​ 的结果一致或在可接受的误差范围内。

整个比较在密码学中常见的半诚实（Semi-honest）敌手模型下进行。该模型假设参与双方（客户端和服务器）都会遵守协议的每一步流程，但可能会“心怀好奇”，试图从协议执行过程中收到的信息里推断出额外的内容。这是一个理想化但基础的威胁模型，非常适合用于评估和比较不同密码学协议的基准性能。

标准化的神经网络模型

为了进行基础而纯粹的比较，研究者选择了一个结构简单但功能完整的两层前馈神经网络。该网络的数学表示如下：

​​y = Sigmoid(W2 · ReLU(W1x + b1) + b2)​​

其中，​​x​​​是输入向量，​​W1​​​、​​b1​​​是第一层的权重矩阵和偏置向量，​​W2​​​、​​b2​​是第二层的权重和偏置。网络包含两个非线性激活函数：ReLU（Rectified Linear Unit）和Sigmoid。这个模型虽小，却“五脏俱全”，涵盖了神经网络中的核心运算：矩阵向量乘法、向量加法以及非线性激活，足以触发FHE和GC在处理不同类型运算时所面临的典型挑战。

关键挑战：非线性激活函数的密码学改造

在隐私保护计算中，最大的技术障碍之一便是如何处理非线性函数。线性运算（如加法和乘法）在FHE和GC中都有相对直接的实现方式，但像ReLU和Sigmoid这样的非线性函数则构成了巨大的挑战。

对于FHE，特别是基于多项式环上困难问题的FHE方案（如本研究中使用的CKKS方案），其原生支持的运算是多项式加法和乘法。而ReLU ​​max(0, x)​​​ 包含一个条件分支，Sigmoid ​​1/(1+e^-x)​​ 包含指数和除法运算，这些都无法直接在密文域中高效计算。

对于GC，虽然其作为一种基于布尔电路的技术，理论上可以表示任何可计算函数，但实现ReLU的条件判断和Sigmoid的复杂算术运算（尤其是除法和指数）会产生规模巨大且深度惊人的电路，导致性能急剧下降。

为了克服这一障碍，研究者采用了在PPML领域广泛应用的策略：多项式近似。他们使用低阶多项式来模拟原始激活函数的行为，这是一种在计算可行性与模型精度之间的精妙权衡。具体的近似方法如下：

• ReLU的近似：ReLU函数被近似为简单的平方函数 ​​ReLU(x) ≈ x^2​​​。这个二次函数保留了ReLU在 ​​x>0​​ 时的非负性和增长趋势，同时它是一个简单的多项式，可以在FHE中通过一次密文乘法轻松实现。
• Sigmoid的近似：Sigmoid函数被一个二阶多项式 ​​Sigmoid(x) ≈ 0.5 + 0.197x - 0.004x^2​​ 所替代。这个近似函数在原点附近能够很好地模拟Sigmoid的“S”形曲线，并且同样易于在密文域中进行多项式求值。

这种近似处理是整个实验设计的关键所在。它统一了两种技术路线在处理非线性问题上的方法论，使得比较的焦点可以集中在密码学协议本身的性能开销上，而非因实现不同激活函数策略所带来的差异。当然，这种近似也必然会引入误差，其对最终推理精度的影响，也成为了后续分析的一个重要维度。 (表 I, 图 8, 图 9)

技术选型：主流框架的对决

为了确保研究结果具有现实世界的参考价值，研究者选择了两个业界领先的开源框架：

• FHE实现：采用微软的SEAL（Simple Encrypted Arithmetic Library）库。SEAL是一个成熟、稳定且广泛使用的FHE库，本研究利用了其实现的CKKS（Cheon-Kim-Kim-Song）方案。CKKS方案的突出优点是支持对加密的浮点数（实数）进行近似算术运算，这使其与机器学习任务天然契合。
• GC实现：采用英特尔实验室的TinyGarble2.0框架。该框架以其高效的顺序流水线执行机制和对预编译电路网表的支持而闻名，相比其他GC框架具有更好的灵活性和集成能力。

通过这两个主流工具的对决，研究结果不仅反映了FHE和GC两种理论的差异，也在很大程度上体现了当前最先进工程实现下的实际性能水平。

全同态加密（FHE）的实现路径与技术细节

FHE的实现范式优雅而简洁：客户端用公钥加密数据，服务器在密文上“盲算”，最后客户端用私钥解密得到结果。在这个过程中，服务器除了执行计算任务外，对数据内容一无所知。

FHE推理协议流程

根据研究中的描述，基于FHE的推理协议（如图1所示）可以分解为以下几个步骤，其核心在于计算阶段的非交互性。

首先，在密钥生成阶段，客户端（Bob）会生成一套完整的CKKS密钥，包括用于加密的公钥、用于解密的私钥，以及两种用于密文计算优化的特殊密钥：重线性化密钥（Relinearization Keys）和伽罗瓦密钥（Galois Keys）。

接着，在加密与发送阶段，客户端将其私有输入向量 ​​x​​​ 编码并加密成一个CKKS密文 ​​enc_x​​。随后，将该密文连同公钥、重线性化密钥和伽罗瓦密钥一同发送给服务器（Alice）。

然后，协议进入核心的同态评估阶段。服务器接收到加密数据和评估所需的密钥后，开始在密文上执行神经网络的推理计算。服务器拥有明文的模型参数（​​W1​​​, ​​b1​​​, ​​W2​​​, ​​b2​​​）。它将这些参数与加密的输入 ​​enc_x​​ 进行一系列同态运算（加法、乘法），并使用预先定义好的多项式近似来计算激活函数。整个计算过程无需与客户端进行任何交互，这是FHE方案最显著的特点之一。

计算完成后，服务器将得到的加密结果 ​​enc_y​​返回给客户端。

最后，在解密阶段，客户端使用自己的私钥解密 ​​enc_y​​​，经过解码后得到最终的推理结果 ​​y​​。 (算法 1)

解码CKKS方案的关键参数

FHE的性能和安全性高度依赖于一系列精心选择的参数。这些参数如同FHE引擎的“档位”和“配置”，决定了其计算能力、精度和安全等级。研究中明确了所选用的关键参数，理解它们对于洞悉FHE的性能瓶颈至关重要。

• 多项式模数阶数（​​polynomial_modulus_degree​​​）: 研究中设定为 ​​2^14 = 16384​​​。这个参数是FHE安全性的基石，它定义了底层多项式环的大小。阶数越高，安全性越强，同时能够支持的计算深度（连续乘法次数）和数据容量（批处理大小）也越大。但相应地，计算开销也会呈指数级增长。​​16384​​ 是一个在安全性和性能之间取得平衡的常用值，它在128位安全级别下提供了足够的计算空间。
• 系数模数链（​​coefficient_modulus_chain​​​）: 研究中选用了 ​​[60, 40, 40, 40, 30, 30]​​​。这可以被理解为密文的“计算预算”或“噪声预算”。在CKKS方案中，每次密文乘法都会导致密文中的噪声增长。为了控制噪声，需要进行一种名为“重缩放（Rescaling）”的操作，该操作会消耗掉模数链中的一个素数模数。因此，模数链的长度和比特大小决定了FHE所能支持的最大乘法深度。研究中选择的这个总比特长度为240位的模数链，在​​16384​​的阶数下（理论上限为438位），足以支持5次带重缩放的乘法，完全满足两层神经网络的计算需求。 (表 II)
• 初始规模（​​initial_scale​​​）: 研究中设定为 ​​2^30​​​。在CKKS中，浮点数通过乘以一个大的缩放因子被编码为整数。这个缩放因子就是​​scale​​​。它直接影响了加密计算的精度，越大的​​scale​​通常意味着越高的精度，但同时也会更快地消耗噪声预算。

同态计算的实现细节

服务器端的同态评估是整个协议的核心。研究中描述了如何利用SEAL库的功能将神经网络运算转化为同态操作。

其中，矩阵-向量乘法是神经网络中最常见的运算，但在FHE中无法直接完成。研究者通过一种巧妙的方式模拟了点积运算：首先，将输入密文向量与明文的权重矩阵的每一行进行元素级乘法（Element-wise Multiplication）。然后，利用伽罗瓦密钥执行一系列密文槽旋转（Slot Rotations）和加法操作，将元素级乘法的结果累加起来，从而得到最终的点积结果。这个过程虽然复杂，但充分利用了CKKS的SIMD（单指令多数据）特性，即在一个密文中可以打包多个数据（槽）并并行操作。

对于激活函数评估，服务器直接在密文上计算近似多项式。例如，对于​​ReLU ≈ z^2​​​，服务器执行一次密文与自身的同态乘法。对于Sigmoid的二阶近似，则需要执行一次密文乘法和数次密文-明文乘法及加法。每次密文乘法后，都需要进行重线性化操作（使用​​relin_keys​​）来控制密文大小，并可能需要重缩放来控制噪声。

通过这一系列精巧的密码学工程，FHE成功地在“黑箱”中复刻了神经网络的推理过程，其代价是巨大的计算复杂性。

混淆电路（GC）的实现路径与交互协议

与FHE的“密文计算”哲学不同，GC采用的是一种“安全外包计算”的模式。服务器（Garbler，混淆者）将函数转换成一个加密的电路，客户端（Evaluator，评估者）在这个加密电路上进行评估，双方的输入都得到了保护。

GC推理协议流程

GC协议本质上是一个高度交互的过程，其流程（如图2和图3所示）比FHE要复杂得多。

协议始于电路生成与混淆阶段，由服务器（Alice）执行。服务器首先将整个神经网络模型（包括其固定的权重和偏置）编译成一个巨大的布尔电路。电路中的每一个门（如AND, XOR）都被“混淆”：服务器为每个门的输入输出导线生成两把随机的“密钥”（称为标签，一个代表0，一个代表1），然后为每个门创建一个混淆表（Garbled Table）。这个表被加密，只有持有正确输入导线标签的评估者才能解密并得到正确的输出导线标签。

接下来是关键的输入标签传输阶段，这是一个交互步骤。客户端（Bob）需要获得与其私有输入​​x​​对应的标签。这个过程必须通过不经意传输（Oblivious Transfer, OT）协议来完成。OT协议允许客户端从服务器持有的一对数据中（例如，代表输入位0的标签和代表1的标签）选择一个，而服务器不知道客户端具体选了哪一个。这个过程需要为客户端的每一个输入比特都执行一次。

完成标签传输后，服务器将所有混淆表以及一些元数据传输给客户端。

然后，客户端进入电路评估阶段。客户端利用从OT协议中获得的输入标签，逐个“解锁”并评估电路中的每个门。每评估一个门，客户端就会得到下一根导线的输出标签，这个标签又成为下一级门的输入。这个过程像多米诺骨牌一样，一直持续到电路的最终输出端。

最后是结果揭示阶段，这也是一个交互步骤。客户端最终得到的是一组输出标签，它们本身是无意义的随机串。为了得到最终结果，服务器需要向客户端发送一个“解码表”，或者双方进行一次简短的交互，将输出标签翻译成最终的明文结果​​y​​。 (算法 2)

GC实现的工程细节

该研究的GC实现基于IntelLabs的TinyGarble2.0框架，并包含一些重要的工程决策，这些决策深刻影响了其性能和精度。

首先，该实现采用了定点数算术。与CKKS支持近似浮点数不同，GC的底层是布尔电路，更适合处理整数。因此，所有的浮点数值（包括客户端输入、模型权重和偏置）都需要通过乘以一个缩放因子（例如1000）来转换为定点数（Fixed-point Integers）进行计算。这个转换过程会引入量化误差，是GC方案精度损失的来源之一。

其次，实现利用了TinyGarble2.0的模块化与流水线执行特性。研究中，神经网络的每一层、甚至每一个算术运算（如加法、乘法）都被实现为一个独立的、预编译好的电路网表。在执行时，客户端顺序评估这些小电路，并将前一个电路的输出标签作为下一个电路的输入，形成了流水线作业。这种模块化的设计降低了单个电路的复杂性，使得内存管理更加高效，因为中间状态可以在操作完成后被清除。

最后，关于非线性函数的实现，研究中的处理方式有所不同。在GC中，ReLU函数的​​max(0, x)​​可以通过比较器电路和多路选择器电路来原生实现，无需进行多项式近似。然而，对于更为复杂的Sigmoid函数，研究者仍然采用了与FHE方案相同的二阶多项式近似。这是因为在定点数上实现多项式运算的布尔电路，远比实现指数和除法运算的电路要小得多和快得多，这是一种务实的性能优化选择。

总而言之，GC的实现路径将复杂的神经网络推理问题，转化为了一系列底层的、但规模庞大的布尔逻辑评估任务，并通过频繁的交互来协同完成。

性能对决：多维度量化分析

该研究最核心的贡献，在于对FHE和GC两种方案进行了细致入微的量化性能评测。所有实验都在一台配置了8核虚拟CPU和32GB内存的虚拟机上进行，客户端和服务器运行在同一台机器上，以最大限度地排除网络延迟的干扰，聚焦于计算和通信协议本身的开销。

速度之争：往返时间（Round-Trip Time, RTT）

RTT衡量了从客户端发起请求到最终获得结果所花费的总时间，是衡量系统响应速度的核心指标。实验结果揭示了巨大的性能鸿沟。

• 基准（明文计算）：作为参照，一个普通的、不带任何隐私保护措施的神经网络推理，耗时仅为 0.24毫秒。
• GC方案：完成一次推理需要 39.09毫秒。虽然相比基准慢了约 161倍，但其执行时间仍然处于毫秒级别，对于许多非实时应用来说是可以接受的。这种相对高效得益于GC底层主要依赖于快速的对称加密操作（如AES），以及TinyGarble2.0的流水线优化。
• FHE方案：耗时达到了惊人的 5077.23毫秒（约5.08秒）。这个速度比基准慢了超过 20,000倍，比GC方案慢了两个数量级。这种巨大的开销主要源于CKKS方案中昂贵的公钥密码学运算，如大规模多项式乘法、重线性化和重缩放。尤其是在没有充分利用批处理（即一个密文只处理一个输入向量）的情况下，其性能劣势被进一步放大。

结论非常明确：在单次推理的延迟方面，GC展现出压倒性的优势。FHE的计算开销使其难以胜任对延迟敏感的应用。 (图 4)

资源消耗：峰值内存使用

内存占用是衡量一个方案在资源受限设备（如移动端或嵌入式系统）上可行性的关键。

• GC方案：峰值内存占用约为 11.15 MB。这个数值仅比明文基线高出约一倍，显示出极高的内存效率。这主要得益于其模块化和顺序评估的特性，框架可以在评估完一个小电路后释放其占用的内存，从而保持较低的内存水位。
• FHE方案：内存消耗巨大。服务器端的峰值内存达到了 1053.75 MB（约1 GB），客户端也需要705 MB。如此高的内存占用是因为FHE协议需要在内存中同时维护庞大的密文、多个评估密钥（重线性化密钥、伽罗瓦密钥）以及计算过程中产生的众多中间密文。

结论再次指向GC：在内存效率上，GC方案远胜于FHE。FHE对内存的巨大需求是其在资源受限场景下部署的主要障碍。 (图 5)

通信的代价：开销与交互轮次

通信是分布式计算协议的生命线，其开销直接影响系统的吞吐量和可扩展性。研究从数据传输总量和交互轮次两个维度进行了分析，并得出了一个充满权衡意味的结论。

在通信数据量方面：

• GC方案的总通信量约为 3.76 MB。其中大部分（约3.5 MB）是由服务器发送给客户端的混淆电路和元数据。
• FHE方案的总通信量高达 151.5 MB。令人意外的是，通信的大头（约151 MB，占总量的99%以上）是由客户端发送给服务器的，主要包括初始的加密输入和庞大的评估密钥（公钥、重线性化密钥、伽罗瓦密钥）。

在交互轮次方面：

• GC方案完成一次推理需要 7轮 交互。其中6轮用于3个输入向量的OT协议（每个输入需要2轮），1轮用于最终的结果揭示。这体现了GC协议“喋喋不休”（chatty）的本性，对网络延迟非常敏感。
• FHE方案仅需 1轮 交互（如果将客户端发送初始数据和服务器返回最终结果视为一次完整的请求-响应周期）。其计算阶段完全非交互，对网络延迟不敏感。

综合来看，这是一个非常有趣的权衡。GC的通信数据量适中，但交互频繁。FHE的交互极少，但单次通信的数据量极其庞大。然而，研究者敏锐地指出，FHE的巨大通信开销主要是一次性的设置成本。评估密钥在多次推理中可以复用。一旦密钥设置完成，后续每次推理客户端只需发送加密的输入即可，通信量会大幅下降。相比之下，GC每次推理都需要传输全新的混淆电路，以保证安全性。这意味着，在需要进行大量、连续推理的场景下（例如视频流分析），FHE的通信成本可以被有效摊销，其总带宽效率可能反而优于GC。 (图 6)

精度的权衡：推理输出偏差

由于多项式近似和密码学方案固有误差（FHE的重缩放噪声、GC的定点数量化误差）的存在，隐私保护计算的结果与明文计算结果之间必然存在偏差。

• GC方案：在多个随机输入向量上的测试显示，其输出与明文基准的最大偏差为 23.46%。误差主要来源于Sigmoid函数的二阶多项式近似和定点数转换带来的精度损失。
• FHE方案：表现出更高的不稳定性，最大偏差达到了 121.69%。如此巨大的偏差是多种误差源复合效应的结果：不仅有ReLU和Sigmoid两个函数的近似误差，更重要的是CKKS方案中多次重缩放操作累积的噪声，严重影响了数值的精度。特别是在激活函数的非线性区域，微小的输入误差可能会被急剧放大。

结论是，在模型精度保持方面，GC表现出更好的稳定性和可控性。FHE的精度问题是其走向实用化需要解决的核心挑战之一。虽然可以通过选择更高精度的参数来缓解，但这又会进一步加剧其性能和内存的开销，形成一个棘手的“不可能三角”。 (图 7)

超越性能：隐私、可扩展性与未来展望

除了直接的性能指标，一项技术的价值还体现在其隐私保障的强度、应对更复杂任务的可扩展性以及未来的发展潜力上。

隐私保障的粒度差异

这是一个至关重要的区别。

• FHE：提供了完全的模型隐私。由于服务器自始至终只接触到加密数据，它无法从中推断出任何关于模型结构（如网络层数、神经元数量）或模型参数的信息。这是FHE最吸引人的安全属性之一，为模型所有者提供了最强的知识产权保护。
• GC：泄露模型结构。在GC协议中，服务器发送给客户端的混淆电路的结构（门的数量、连接方式）直接反映了底层计算函数的结构。这意味着，一个好奇的客户端可以通过分析接收到的混淆电路，推断出神经网络的拓扑结构。虽然模型的权重参数仍然是保密的，但模型架构本身往往也是重要的知识产权。研究提到，可以通过通用电路（Universal Circuits, UC）等技术来隐藏模型结构，但这会带来额外的、通常是巨大的性能开销。

可扩展性的不同维度

当从简单的两层网络扩展到更深、更复杂的模型（如卷积神经网络CNN）时，两种技术的可扩展性瓶颈也不同。

• FHE的可扩展性：主要受限于乘法深度。不带自举（Bootstrapping）的“层级FHE”（Leveled FHE，如本研究使用的）有一个固定的乘法深度上限，一旦计算超出这个深度，噪声就会淹没信号导致解密失败。因此，构建非常深的网络极具挑战性。然而，FHE在吞吐量方面具有良好的可扩展性。通过CKKS的批处理（SIMD）功能，可以在一个密文上同时执行数千个不同输入的推理，从而大幅提升系统吞吐量，这一点在本次研究中未被充分利用但潜力巨大。
• GC的可扩展性：其计算和通信开销与模型的电路规模（大致与参数数量成正比）呈线性增长关系。网络越深越宽，电路就越大，需要传输的混淆表就越多，评估时间也越长。它没有FHE那样的硬性深度限制，但成本会随着模型复杂度的增加而稳定增长。

对更复杂网络架构的推演

研究最后对将当前发现推广到更复杂网络（如CNN）的场景进行了富有洞察力的推演。

对于FHE，其高昂的初始设置成本（密钥生成和传输）和相对较低的每层计算成本（研究中测得约0.02秒/层），意味着其总时间随层数增长是次线性的。这表明FHE在处理中等深度的网络时，其性能下降速度可能比预想的要慢，因为初始开销占据了主导。

对于GC，其通信成本与层数呈严格的线性关系（研究中测得约1.7 MB/层）。更重要的是，研究者强调了两种技术在多次推理场景下的根本不同。对于​​n​​​次推理，GC的总通信成本是​​O(n * C)​​​（​​C​​​为电路大小），而FHE摊销后的成本是​​O(S + n * ε)​​​（​​S​​​为巨大的初始设置成本，​​ε​​为每次推理的少量增量数据）。这一分析决定性地表明，在高吞吐量、多推理的场景下，FHE的带宽效率远高于GC，显示出其在不同维度上的可扩展性优势。

结论：没有银弹，只有权衡

这项严谨的比较研究，以无可辩驳的量化数据，为我们揭示了FHE和GC在隐私保护机器学习推理应用中的深刻权衡。它清晰地表明，在隐私计算领域，不存在一劳永逸的“银弹”，只有根据具体应用场景需求做出的审慎选择。

• 混淆电路（GC） 展现了其作为一种实用、高效解决方案的巨大潜力。它在计算速度和内存占用上拥有绝对优势，对于延迟敏感、资源受限且可接受一定交互性的单次推理任务，是当前更具可行性的选择。然而，其模型结构泄露和高交互轮次是其核心短板，限制了其在需要最强模型保密性或网络环境不佳场景下的应用。
• 全同态加密（FHE） 则代表了隐私保护的“黄金标准”。它提供了完全非交互的计算模式和最强的模型隐私保障，这在许多高价值场景中是不可或缺的。但这种强大的隐私性是以巨大的性能开销为代价的，其在计算时间、内存消耗和输出精度上的劣势非常明显。尽管其通信成本可以通过摊销来优化，但其高昂的计算门槛仍然是当前大规模部署的最大障碍。

这项研究的价值不仅在于提供了翔实的数据，更在于它指明了未来发展的方向。一方面，我们需要持续优化FHE方案的算法和工程实现，降低其计算开销，并研究更精确的非线性函数近似方法。另一方面，探索GC与FHE（或其他隐私技术如安全多方计算）的混合协议，可能是一条极具前景的道路。例如，可以使用FHE处理线性层，用GC处理非线性层，从而取长补短，在性能、隐私和精度之间找到新的、更优的平衡点。

最终，这场FHE与GC的对决告诉我们，通往普适化隐私保护机器学习的道路依然漫长，但通过这样一步步坚实的量化研究，我们正在离那个目标越来越近。

参考论文：​​https://arxiv.org/abs/2510.07457v1​​

本文转载自​​上堵吟​​，作者：一路到底的孟子敬