ヴィタリック・ブテリンがブロックチェーン投票に関する2つの誤解を明らかにした：なぜそれは過小評価されているのか？

?この記事はChainNewsからのもので、原文のタイトルは「Vitalik：なぜブロックチェーン投票が必要なのか？」、著者はVitalik Buterin（イーサリアム共同創設者）、翻訳：南風、出典：Unitimesです。

投票は非常にプロセスの完全性が求められるプロセスです。投票の結果は正確でなければならず、その正確性を保証するための透明なプロセスが必要です。そうすれば、誰もがその結果が正しいと信じることができます。誰かの投票意志に干渉したり、彼らの票が集計されるのを妨げる可能性があってはなりません。

ブロックチェーンは、プロセスの完全性を保証する技術です。あるプロセスがブロックチェーン上で実行される場合、そのプロセスは事前に合意されたコードに従って実行され、正しい出力を提供することが保証されます。誰もその実行を妨げることはできず、誰もその実行を改ざんすることはできず、誰もユーザーの入力が処理されるのを審査したり妨げたりすることはできません。

一見すると、ブロックチェーンは投票に必要なものを提供しているようです。この考えを持つのは私だけではありません。多くの主要な潜在的ユーザーがこれに興味を持っています。しかし、異なる意見を持つ人々もいます….

投票の需要とブロックチェーンが提供する技術的利点は完璧に一致しているように見えますが、私たちはしばしば両者の統合に反対する恐ろしい記事を目にします。そして、これは単なる1つの記事ではありません。「サイエンティフィック・アメリカン」（Scientific American、一般向け科学雑誌）にはブロックチェーン投票に反対する記事が掲載されました[1]；CNetサイトでも同様の記事が発表されました[2]；さらにArsTechnicaサイトでも記事が掲載されました[3]。そして、テクノロジー記者だけではありません：Bruce Schneier（著名なコンピュータセキュリティ専門家）もブロックチェーン投票に反対しています[4]；マサチューセッツ工科大学の研究者たちは、これは悪いアイデアだとする論文を一篇書きました[5]。では、一体何が起こったのでしょうか？

概要

ブロックチェーン投票プロトコルの批評家は通常、2つの重要な批判を提起します：

1. ブロックチェーンは選挙を行うためのソフトウェアツールではありません。ブロックチェーンが提供する信頼性は投票に必要な属性と一致せず、異なる情報フローと信頼属性を持つ他のタイプのソフトウェアツールの方が有用です。
2. どんなソフトウェアであれ、選挙を行うために信頼できるとは限りません。ソフトウェアやハードウェアのバグが検出されないリスクが高すぎます。プラットフォームがどのように組織されていても関係ありません。

この記事では、これら2つの見解について順に議論します（「反論」という言葉は強すぎるかもしれませんが、私はこの2つの見解には絶対に同意しません）。まず、ブロックチェーンを使用した投票の既存の試みのセキュリティ問題について議論し、正しい解決策はブロックチェーンを放棄することではなく、他の暗号技術と組み合わせることです。次に、ソフトウェア（およびハードウェア）が信頼できるかどうかの問題を説明します。私の答えは、コンピュータセキュリティは実際に改善されているということです。この傾向を維持するために努力できます。

長期的には、紙の方法を永遠に維持すること（投票を行うために）は、投票を改善する上での大きな障害となるでしょう。N年ごとに投票を行うことは250年の歴史を持つ民主主義の形態ですが、投票がより便利で簡単になれば、より良い民主主義を実現でき、より頻繁に投票できるようになります。

間違いなく、この記事は良好なブロックチェーンのスケーラビリティ技術（例えばシャーディング）が利用可能であることを前提としています。もちろん、ブロックチェーンがスケールしなければ、これらは実現不可能です。しかし、これまでのところ、この技術の進展は非常に迅速であり、それが実現しない理由はありません。

悪いブロックチェーン投票プロトコル

ブロックチェーン投票プロトコルは常に攻撃の対象となっています。2年前、ブロックチェーン投票技術会社Voatzが注目を集め、多くの人々が興奮しました。しかし、昨年、マサチューセッツ工科大学の研究者たちは彼らのプラットフォーム上で一連の重大なセキュリティ脆弱性を発見しました[6]。同時に、モスクワでは、選挙に使用される予定のブロックチェーン投票システムがハッカーに攻撃されました[7]。幸いにも、攻撃は選挙の1か月前に発生しました。

これらのハッキングは非常に深刻です。以下は、Voatzの研究者たちが成功裏に発見した攻撃能力の分析表です：

これ自体がブロックチェーン投票の使用に反対する理由ではありません。しかし、ブロックチェーン投票ソフトウェアはより慎重に設計されるべきであり、時間の経過とともに段階的にスケールアップするべきです。

プライバシー保護 & 抗脅迫

しかし、技術的に攻撃されていないブロックチェーン投票プロトコルでも、通常は非常に悪いものです。その理由を理解するためには、ブロックチェーンが提供する特定のセキュリティ属性と、投票が必要とする特定のセキュリティ属性をより深く掘り下げる必要があります。掘り下げていくと、両者の間に不一致があることがわかります。

ブロックチェーンは2つの重要な属性を提供します：正しい実行（correct execution）と検閲耐性（censorship resistance）。正しい実行は、ブロックチェーンがユーザーの入力（「トランザクション」）を受け入れ、いくつかの事前定義されたルールに従って正しく処理し、正しい出力を返すことを意味します；検閲耐性も理解しやすいです：トランザクションを送信したいユーザーは、十分に高い手数料を支払う意欲があれば、トランザクションを送信でき、トランザクションがすぐにブロックチェーンにパッケージ化されることを期待できます。

これら2つの属性は投票にとって非常に重要です：あなたが望む投票結果は、各候補者の得票数を合計し、最も得票数の多い候補者を選ぶ結果であり、また、あなたは有資格者であれば誰でも投票に参加できることを望みます。たとえ権力のある人々が彼らを阻止しようとしてもです。しかし、投票にはブロックチェーンが提供しないいくつかの重要な属性も必要です：

*プライバシー保護**：特定の人がどの候補者に投票したかを知るべきではなく、彼らが投票したかどうかも知らないべきです；

*抗脅迫**：他の人に自分がどのように投票したかを証明できるべきではなく、たとえそれをしたいと思ってもです。

最初の要件（すなわちプライバシー）の必要性は明白です：人々が周囲の人々、雇用主、警察、または通りにいる暴徒の投票選択に対する感情を考慮せずに、彼らの個人的な感情に基づいて投票することを望むからです。

2つ目の要件（すなわち抗脅迫）は「投票の売買」問題を防ぐために必要です：もしあなたが自分がどのように投票したかを証明できるなら（つまり、誰に票を投じたかを証明できるなら）、投票を売ることが非常に簡単になります。投票の証明可能性は、脅迫者が（脅迫された人、すなわち投票者）に特定の候補者に投票したことを示す証明を要求することを可能にします。ほとんどの人は、最初の要件を知っている人でさえ、2つ目の要件を考慮しないでしょう。しかし、2つ目の要件も必要であり、技術的にこの要件を提供することは重要です。疑う余地なく、あなたが目にする一般的な「ブロックチェーン投票システム」は、2つ目の属性を提供しようとさえせず、通常は1つ目の属性を提供できません。

ブロックチェーンを使用しない安全な電子投票

暗号的に安全に実行される社会的メカニズムの概念は、ブロックチェーンのギークたちが発明したものではなく、実際には私たちの前から存在していました。ブロックチェーンの領域の外で、安全な電子投票の問題を研究している暗号学者たちは20年の伝統を持っており、良いニュースは解決策がすでに存在することです。Juels、Catalano、Jakobssonが2002年に発表した「抗脅迫の電子選挙」（Coercion-Resistant Electronic Elections[8]）という論文は、過去20年間に多くの文献で引用されています：

それ以来、この概念は何度も反復されてきました；Civitas[9]は顕著な例であり、他にも多くの例があります。これらのプロトコルは、合意された「監票者」（talliers、または計票者）のセットを使用し、監票者の大多数が誠実であるという信頼仮定に依存しています。各監票者は、公開された対応する公開鍵に対して「一部」の秘密鍵を持っています。投票者は監票者の公開鍵を使用して投票を暗号化し、暗号化された投票を公開します。監票者は安全な多者計算（MPC）プロトコル[10]を使用して投票を復号化し、検証し、票数を計算します。票数の計算は「MPC内」で行われます：監票者は最初から最後まで自分の秘密鍵を知らず、最終結果を計算する際には、個々の投票に関する情報を知ることはありません。最終結果から得られる情報を除いては。

投票を暗号化することはプライバシーを提供し、追加のインフラ（例えばミキシングネットワーク）を追加することでプライバシーを強化できます。同時に、抗脅迫を提供するために、次の2つの技術のいずれかを使用できます：

最初の選択肢は、登録段階（この段階で監票者は各登録投票者の公開鍵を知る）で、投票者が鍵を生成または受け取ることです。対応する公開鍵は監票者間で共有され、監票者のMPCは、投票がその鍵で署名されている場合にのみその投票を計算します。投票者は第三者に自分の鍵が何であるかを証明できないため、もし彼らが賄賂を受けたり脅迫された場合、彼らは単に間違った鍵を示し、間違った鍵で投票に署名することができます。また、投票者はメッセージを送信して自分の鍵を変更することができ、投票者は第三者にそのようなメッセージを送信していないことを証明できないため、投票結果は同じままです。

2つ目の選択肢は、投票者が複数回投票できる技術です。後の投票が前の投票を覆すことができます。もし投票者が賄賂を受けたり脅迫された場合、彼らは最初に賄賂を与えた者や脅迫者の要求に従って特定の候補者に投票できますが、その後、前の投票を覆すために別の投票を送信できます。

投票者が後の投票を通じて前の投票を覆すことができることは、上図の2015年のプロトコルの抗脅迫メカニズムの鍵です

さて、これらすべてのプロトコルの重要な微妙な違いを見てみましょう。それらはすべて、セキュリティ保証を完了するために外部の原語に依存しています：電子掲示板（bulletin board、上図の「BB」）。掲示板は、すべての投票者が情報を送信できる場所であり、次のことを保証します：(1) 誰でも掲示板を読むことができ、(2) 誰でも受け入れられた掲示板に情報を送信できます。あなたが見つけることができるほとんどの抗脅迫投票文書は、掲示板の存在を自由に言及しますが、この掲示板が実際にどのように実装されるかについて議論する論文はほとんどありません。この記事では、私の意図を示しています：掲示板を実現する最も安全な方法は、既存のブロックチェーンを使用することです！

ブロックチェーンを使用した安全な電子投票

もちろん、ブロックチェーンの前に、すでに多くの人々が電子掲示板を作成しようとしました。この2008年の論文[12]はそのような試みであり、その信頼モデルは「n台のサーバーの中でk台が誠実でなければならない」という標準的な要件です（一般的にはk = n/2）。例えば、この2021年の文献レビュー[13]は、ブロックチェーン以前の掲示板実装の試みをカバーし、ブロックチェーンの使用を探求していますが、これらのブロックチェーン以前の解決策も同様にk-of-n信頼モデルに依存しています。

ブロックチェーンもk-of-n信頼モデルです。これは、少なくとも半数のマイナーまたはPoS検証者がプロトコルに従う必要があり、この仮定が失敗すると通常「51%攻撃」が発生します。では、なぜブロックチェーンは特定用途の電子掲示板よりも優れているのでしょうか？ 答えは、真に信頼できるk-of-nシステムを構築することは困難であり、ブロックチェーンはこの問題を大規模に解決した唯一のシステムです。ある政府が投票システムを構築すると発表し、15の地元の組織や大学のリストを提供したとします。これらの組織や大学が特定用途の掲示板を運営します。外部の観察者として、あなたは政府が1000の組織からこの15の組織を選んだ理由が、特定の情報機関と結託したいという意図に基づいていないことをどうやって知ることができますか？

一方で、パブリックチェーンは誰でも参加できる許可不要の経済的合意メカニズム（PoWまたはPoS）を持ち、既存のブロックエクスプローラー、取引所、その他の監視ノードから成る多様で高度にインセンティブ化されたインフラを持ち、悪いことが起こらないことをリアルタイムで継続的に検証します。

これらのより複雑な投票システムは単にブロックチェーンを使用するだけではありません；それらはまた、正確性を保証するためにゼロ知識証明などの暗号技術に依存し、抗脅迫を保証するために多者計算に依存しています。したがって、彼らは「票を直接ブロックチェーンに投じる」というより「単純な」投票システムの弱点を回避します。しかし、ブロックチェーン掲示板は全体の設計のセキュリティモデルの重要な部分です：もし委員会が攻撃されても、ブロックチェーンが攻撃されなければ、抗脅迫の特性は失われますが、投票プロセスに関する他のすべての保証は依然として存在します。

MACI：イーサリアム上の抗脅迫ブロックチェーン投票

イーサリアムエコシステムは現在、MACIというシステムを試験しています[14]。このシステムは、ブロックチェーン、ZK-SNARKs、および抗脅迫性を保証する中央の参加者を組み合わせています（ただし、抗脅迫特性を保証する以外の能力はありません）。MACIは技術的にはそれほど難しくありません。ユーザーは次のように参加できます：自分の秘密鍵でメッセージに署名し、その署名メッセージを中央サーバーが公開した公開鍵で暗号化し、暗号化された署名メッセージをブロックチェーンに公開します。サーバーはブロックチェーンからこれらのメッセージをダウンロードし、復号化して処理し、正しく計算されたことを保証するために結果とZK-SNARK証明を出力します。

ユーザーは自分がどのように参加したかを証明できません。なぜなら、彼らは「鍵を変更する」メッセージを送信して、監査しようとする誰かを欺くことができるからです：彼らは最初に鍵をAからBに変更するメッセージを送信し、その後Aで署名された「偽のメッセージ」を送信できます。サーバーはこの偽のメッセージを拒否しますが、他の人はこの鍵変更メッセージが送信されたことを知る方法がありません。サーバーには信頼の必要がありますが、これはプライバシー保護と抗脅迫を実現するためだけです；サーバーは不正確な計算やメッセージの検閲を通じて誤った結果を発表することはできず、長期的には多者計算を使用してそのサーバーの去中心化をある程度実現し、プライバシー保護と抗脅迫の保証を強化できます。

このスキームはclr.fund[15]でデモがあり、二次方融資（quadratic funding）に使用されています。イーサリアムブロックチェーンを使用して投票の検閲耐性を保証することで、委員会に依存するよりもはるかに高い検閲耐性が確保されます。

小結

• 投票プロセスには、満たすべき4つの重要なセキュリティ要件があります：正確性、検閲耐性、プライバシー保護、および抗脅迫。

• ブロックチェーンは前者の2つに優れていますが、後者の2つには不向きです。

• 投票を暗号化してブロックチェーンに載せることでプライバシーが増します。ゼロ知識証明は正確性をもたらし、外部の観察者は暗号化されているため、直接票を合計することはできません。

• 多者計算によって投票を復号化し、検証することで抗脅迫特性を提供できます。ただし、ユーザーがシステムと何度も相互作用できるメカニズムと組み合わせる必要があります：前の投票が後の投票を無効にするか、逆にするかです。

• ブロックチェーンを使用することで、非常に高いセキュリティの検閲耐性を確保でき、たとえ委員会が共謀して抗脅迫性を破ったとしても、依然としてその検閲耐性を維持します。ブロックチェーンを導入することで、システムのセキュリティが大幅に向上します。

しかし、私たちは技術を信頼できるのでしょうか？

しかし、今度はあらゆる種類の電子投票（ブロックチェーンを使用するかどうかにかかわらず）に対するより深い批判に戻ります：技術自体があまりにも不安全であり、信頼すべきではありません。

マサチューセッツ工科大学（MIT）の最近の論文[16]は、ブロックチェーン投票を批判しており、下の表を含んでいます。これは、あらゆる形式の無紙化投票が根本的に安全性を保証するのが難しいことを示しています：

この論文の著者たちが注目している重要な属性はソフトウェア独立性（software-independence）であり、彼らはこれを「システムソフトウェアの未検出の変更やバグが選挙結果に気づかれない変化を引き起こさない属性」と定義しています。基本的には、コード内のバグが意図せずにPrezzy McPresidentfaceをある国の新しい大統領にすることはあってはならないということです（あるいは、より現実的には、意図的に埋め込まれたバグがある候補者の票の割合を42%から52%に増加させることがあってはならないということです）。

しかし、バグを処理する他の方法もあります。たとえば、公開検証可能なゼロ知識証明を使用するブロックチェーンベースの投票システムは、独立して検証できます。誰かが証明検証器の実装を自分で作成し、ZK-SNARKを自分で検証できます。彼は自分の投票ソフトウェアを作成することもできます。もちろん、実際にこれを行う技術的な複雑さは、99.99%の実際の投票者の基盤を超えていますが、もし何千人もの独立した専門家がそれを行う能力を持ち、そのソフトウェアが機能することを検証できれば、実際には非常に良いことです。

しかし、MITの著者たちにとっては、それだけでは不十分です：

したがって、電子的なシステム、たとえエンドツーエンドで検証可能なシステムであっても、予見可能な将来の政治選挙には適さないようです。アメリカ投票基金は、E2E-Vアプローチがオンライン投票の安全性を改善する可能性を認識していますが、その技術がより成熟し、投票で十分にテストされるまで、オンライン投票に使用することを避けるようにという詳細な報告書を発表しました。

他の人々はこれらの考えに拡張を加えました。たとえば、Juelsらの提案は、暗号学を使用してさまざまな形式の「抗脅迫」を提供することを強調しています。ClarksonらのCivitas提案は、抗脅迫の追加メカニズムを実現し、Iovinoらはそれをさらに取り入れ、彼らのSeleneシステムに洗練させました。私たちの観点から見ると、これらの提案は革新的ですが現実的ではありません：それらはかなり複雑であり、最も深刻なのは、それらの安全性が投票者のデバイスが破壊されず、期待通りに機能することに依存しているということです。これは現実的な仮定ではありません。

これらのMITの著者たちが注目している問題は、投票システムのハードウェアの安全性ではありません；このリスクは実際にはゼロ知識証明を使用する場合に軽減できます。逆に、彼らが注目しているのは別の安全性の問題です：原則的に、ユーザーのデバイスは安全ですか？

消費者デバイスに対するさまざまな脆弱性やハッキングの長い歴史を考えると、答えは「不安全」であると考える理由があります。以下は、私が2013年に書いたビットコインウォレットの安全性に関する記事からの引用です：

昨夜9時頃、CoinChat[.]freetzi[.]comへのリンクをクリックしました -- Javaを実行するように求められました。私はそうしました（これは合法的なチャットルームだと思っていました）が、何も起こりませんでした。そのウィンドウを閉じて、気にしませんでした。約14分後にbitcoin-qtウォレットを開くと、私が承認していない取引があり、その取引は私のウォレットのほぼすべての資金（2.07 BTC）をこのアドレスに送信していました：

1Es3QVvKN1qA2p6me7jLCVMZpQXVXWPNTC

さらに：

2011年6月、Bitcointalkのメンバー「allinvain」のコンピュータが不明な侵入者によって直接侵入され、2.5万BTC（当時の価値は50万ドル）を失いました。攻撃者はallinvainのwallet.datファイルにアクセスし、そのウォレットを迅速に空にしました -- allinvainのコンピュータを通じて取引を送信するか、wallet.datファイルをアップロードして自分のコンピュータでそのウォレットを空にしました。

しかし、これらの災害はより大きな事実を覆い隠しています：過去20年間、コンピュータセキュリティは実際にゆっくりと着実に改善されています[17]。現在、攻撃は発生しにくく、通常は攻撃者が複数のサブシステムで脆弱性を探す必要があり、大規模な複雑なコードの中で単一の脆弱性を探す必要がなくなっています。現在、注目を集める事件は以前よりも多くなっていますが、これは何かがより不安全になっている兆候ではありません；むしろ、これは私たちがインターネットにますます依存していることの兆候です。

信頼できるハードウェア（trusted hardware[18]）は、最近の非常に重要な改善の源です。一部の新しい「ブロックチェーンフォン」（例えばHTCのフォン[19]）は、この技術をかなり進めており、安全性を重視した極小のオペレーティングシステムを信頼できるハードウェアチップにインストールし、高い安全性が求められるアプリケーション（例えば暗号通貨ウォレット）を他のアプリケーションから分離することを可能にします。サムスンも同様の技術を使用したフォンの生産を開始しています。広告で「ブロックチェーンデバイス」として宣伝されていないデバイス（例えばiPhone）でも、時折何らかの信頼できるハードウェアが存在します。

暗号通貨ハードウェアウォレットは実際には同じものであり、この信頼できるハードウェアモジュールは物理的にコンピュータの外部に位置しています。しかし、信頼できるハードウェアは（当然！）セキュリティコミュニティ、特にブロックチェーンコミュニティの中で悪い評価を受けることがよくあります。なぜなら、それは常に何度も攻撃されているからです[20]。確かに、あなたはそれを安全保護の代わりに使用したくはないでしょう。しかし、強化技術としては大きな進歩です。

最後に、暗号通貨ウォレットや投票システムのような単一のアプリケーションは、全体の消費者オペレーティングシステムよりもはるかに単純で、エラーの余地が少なくなります -- 二次方投票、抽選、二次方抽選などのサポートを統合する必要があるとしても。信頼できるハードウェアのようなツールの利点は、複雑で攻撃される可能性のあるものから単純なものを隔離できることであり、これらのツールは一定の成功を収めています。

したがって、時間の経過とともにリスクは低下する可能性があります

しかし、利点は何でしょうか？

これらのセキュリティ技術の改善は、消費者ハードウェアが将来的に現在よりも信頼できる可能性があることを示唆しています。過去数年のこの分野への投資は、今後10年間にわたってリターンを得る可能性が高く、さらなる顕著な改善が期待できます。しかし、投票を電子化する（ブロックチェーンベースまたは他の方法で）ことにはどのような利点があり、この全体の分野を探求する価値があるのでしょうか？

私の答えは非常にシンプルです：投票はより効率的になり、私たちがより頻繁に投票できるようになります。現在、組織（政府や企業）への正式な民主的な関与は、通常1-6年ごとに1回の投票に制限されています。おそらく、これは私たちの社会における分散型意思決定が2つの極端に深刻に分化している主な理由の1つです：純粋な民主主義と純粋な市場。民主主義は非常に非効率的（企業や政府の投票）であるか、非常に不安全（ソーシャルメディアの「いいね」やリツイート）です。市場は技術的にはソーシャルメディアよりもはるかに効率的であり、安全性も高いですが、その基本的な経済論理は、多くの種類の意思決定問題、特に公共財に関連する意思決定問題には適用できません。

はい、私はこれがまた三角形であることを知っています。本当に申し訳ありませんが、これを使わざるを得ませんでした。しかし、今回は許してください….（まあ、私は確信していますが、今後ももっと三角形を作るでしょう；我慢してください）

もし私たちが民主主義と市場の間にもっと多くのシステムを構築できれば、前者の平等主義、後者の技術的効率、そして両者の間の経済的属性から利益を得ることができます。二次方融資（Quadratic funding）はその良い例です；流動民主（liquid democracy）も良い例です。新しい委任メカニズムや二次方数学を導入しなくても、私たちは多くのことを行うことができます。より小さな範囲でより多くの投票を行うことで、投票を各投票者が得られる情報に