ZK12：迈向实践中可验证的全同态加密

该视频的核心内容是探讨如何结合全同态加密（FHE）和简洁零知识证明（SNARKs）来实现既能保护隐私又能验证计算结果的外包计算，即“可验证的FHE”（Verifiable FHE）。

视频中提出的关键论据和信息包括：

1. FHE和SNARKs的互补性： FHE提供隐私保护，SNARKs提供可验证性。结合两者可以实现隐私保护和可验证的外包计算。
2. 两种结合方式： 一种是在SNARKs内部运行FHE，即用SNARKs证明FHE的密文操作；另一种是在FHE内部运行SNARKs，即同态计算证明。视频强调，从安全角度考虑，应该选择前者，即在SNARKs内部运行FHE，以便客户端在解密前先验证证明。
3. 结合的挑战： FHE和SNARKs都有各自的开销，结合后开销会成倍增加。FHE的密文扩展会增大电路规模，FHE的自举操作（bootstrapping）开销巨大，且FHE通常在环上运算，而SNARKs通常在有限域上运算，存在不匹配。
4. 解决方案： 视频介绍了使用轻量级的FHE方案TFHE，并将其与高效的SNARKs方案Plonky2结合。由于TFHE的自举操作开销过大，视频提出使用基于递归的增量可验证计算（IVC）来优化自举操作的证明。
5. 实验结果： 使用IVC优化后，在AWS大型实例上，单个自举操作的证明时间约为20分钟。虽然较慢，但表明该方案是可行的。
6. 安全性证明： 视频强调，在特定条件下（先验证后解密，客户端知道电路和输入密文，输入密文格式良好），该结合方案可以在通用可组合性（UC）模型下证明其安全性，甚至可以抵抗恶意攻击者。
7. 潜在应用： 可验证的FHE可以应用于神经网络（实现可验证和私有的AI）和区块链（减少验证者数量，降低对验证者诚实性的信任要求）。