プライバシー取引に関する技術の発展と変遷についての雑談

著者：IOBC Capital

あなたは自分のウォレットアドレスを公開し、誰もがあなたの資産を知ることを望みますか？あなたはすべての人に自分の投資の好みや各支出を知らせることを望みますか？多くの人はそうではないと思います。これらのデータのプライバシーを保護するためには、プライバシープロトコルが必要です。

市場には、DASH、XMR、Zcash、Grin、Rose（Oasis Network）、FRA（Findora）、PHA（Phala network）、SCRT（Secret Network）など、プライバシーを売りにした暗号通貨が常に存在しています。暗号業界が発展して十数年の間、プライバシーセクターは常に一席を占めています。https://mp.weixin.qq.com/s/c2rYO5SdlZJ5HXk2ufsFig

プライバシーの分野をさらに細分化すると、プライバシー計算ネットワーク、プライバシー取引プロトコル、プライバシーアプリケーション、プライバシーコインの4つのカテゴリに分けることができます。その中でプライバシーコインが最も早く発展し、プライバシーアプリケーションの中ではTornadoが現在広く採用されています。プライバシー取引プロトコルとプライバシー計算ネットワークは現在最も注目されています。

この記事は限られた長さであり、技術の発展と進化の観点からプライバシー取引に関連する技術実現の進展状況についてお話しします。
暗号通貨の発展において、主に以下の4つのプライバシー取引を実現する技術的なソリューションがあります：

1. CoinJoin

CoinJoin：CoinJoinは、異なる送信者からトークンを取得し、それらを1つの取引にまとめる混合メカニズムです。第三者がトークンをパッケージ化して受信者に送信します。ユーザー側では、各受信者は未使用のアドレスでトークンを受け取ります。これにより、特定の取引が追跡される可能性を低減します。

DASHコインは、CoinJoin技術を使用してプライバシー取引を実現する典型的なケースです。DASHコインは2014年に誕生し、プライバシーを唯一の目的とするものではなく、プライバシー取引をユーザーに提供する選択肢として位置付けています。ユーザーはPrivateSend機能を使用してプライバシー取引を行うことも、通常の取引を選択することもできます。

メカニズムの面では、DASHネットワークはより高い報酬を通じてマイナーをメインノードとして奨励し、各メインノードマイナーは1000DASHコインをバッファ資金として持っています。取引を開始するユーザーはこれらのバッファ資金を使用することができ、「混合」の効果を得ることができます。混合の存在により、取引情報が混乱し、追跡が困難になり、プライバシー保護の効果を達成します。

2. 隠匿アドレス + リング署名

隠匿アドレス：隠匿アドレスを作成することは、暗号通貨を受け取るたびに新しいアドレスを作成することを意味します。これにより、外部の関係者が支払いアドレスを永続的なウォレットアドレスと関連付けることができなくなります。

リング署名：ブロックチェーン取引には、署名者が送信者であることを確認するためのデジタル署名が必要です。各ユーザーの署名はユニークであるため、ユーザーが署名すると、署名者との取引を追跡することが容易になります。リング署名戦略は、署名を他のリングメンバーの署名と組み合わせることです：リングメンバーの署名の数が多いほど、署名者とその取引を直接関連付けることが難しくなります。

モネロコインXMRは、隠匿アドレスとリング署名の組み合わせを使用してプライバシー保護を実現しています。モネロコインは選択的プライバシーではなく、完全なプライバシーを提供します。モネロコインは、各ウォレット所有者に新しいプライベートビューキー、受信者アドレス、およびプライベート消費キーを提供します。また、XMRのマイニングは一般的なコンピュータのCPUで行うことができ、専門のマイニング機器は必要ありません。これにより、XMRはより分散化されます。

モネロコインは、プライバシー保護の有効性をさらに高めるために、発展の過程で何度も技術的なアップグレードを行いました。取引金額を隠すために、RING-CT（リング機密取引ツール）が登場しました。RING-CTを使用することで、モネロブロックチェーンのプライバシー性能が向上しましたが、スケーラビリティの面では犠牲があり、その後Bulletproofsというゼロ知識証明プロトコルが導入され、XMRの取引規模が向上し、80％の検証時間が短縮されました。

3. Mimblewimble

Mimblewimbleという言葉は、『ハリー・ポッター』の呪文「混乱呪文」に由来し、主にGrinとBeamの2つのプロジェクトがこのプライバシープロトコルを使用しています。Mimblewimbleで使用される技術には、Confidential Transaction、CoinJoin、およびCut-throughが含まれます。

Mimblewimbleプロトコルは、匿名性とスケーラビリティの間でトレードオフを見つけるためのソリューションであり、出力モデルに基づく公共台帳に暗号通貨のプライバシーを提供する設計ソリューションであり、コンセンサス層には関与しないため、ほぼすべてのコンセンサスルールで使用できます。

Mimblewimbleの最初の目的は、ビットコインにプライバシーを提供することでした。この技術を使用すると、アカウントの帰属、取引の関連付け、および取引金額を隠すことができます。また、「洗浄」を行うことも可能で、ビットコインの中には「不正資金」としてマークされるコインがあり、多くの機関がこれらのコインの受け取りを拒否します。MimbleWimble技術を使用することで、洗浄効果を実現できます。

4. ゼロ知識証明類

ゼロ知識証明（Zero-Knowledge Proof）は、証明者が検証者に対して、主張の有効性を超える情報を提供することなく、ある主張が正しい/真実であると信じさせることができることを指します。

ゼロ知識証明は、1989年にGoldwasser、Micali、Rackoffによって理論化されました。現在、ゼロ知識証明はブロックチェーン業界で主に2つの側面で使用されています：プライバシー保護とスケーラビリティ。この記事では、プライバシー保護におけるゼロ知識証明の応用について主に紹介します。

ゼロ知識証明がプライバシー保護に使用されたのは、最初にZcashで実践され、その後Aztec、Manta Network、StarkWareなど多くのプロジェクトがゼロ知識証明メカニズムを採用し、多くの新技術に進化しました。

「アラジンと40人の盗賊」の例を通じてゼロ知識証明メカニズムを紹介します：

アラジンは証明者であり、盗賊は検証者です。盗賊はアラジンを捕まえ、宝物を隠している洞窟を開ける呪文を言うように要求します。そうしないと、彼を殺すと言います。アラジンが直接呪文を言うと、利用価値を失って殺される可能性があります。アラジンが言わなければ、盗賊は彼が呪文を知らないと思い、殺すでしょう。アラジンは考え、盗賊から一矢の距離にいるように要求します。アラジンが呪文を唱えて洞窟の石の扉を開けられなかったり逃げたりした場合、盗賊は弓矢で彼を射殺できます。

この方法で、アラジンは盗賊から十分に遠い位置（盗賊が呪文を聞こえない距離）で、彼が確かに呪文を知っていることを証明できます。この過程で、アラジン（証明者）は呪文が何であるかを直接明かさず、盗賊（検証者）に対してある主張（アラジンが呪文を知っている）が真実であると信じさせることができます。

zk-SNARK

zk-SNARKの正式名称は「Zero-Knowledge Succinct Non-Interactive Argument of Knowledge」で、日本語では「ゼロ知識簡潔な非対話的知識証明」と呼ばれます。zk-SNARKは、イスラエル工科大学のBen-Sassonらによって2014年のZerocash論文で提案され、現在最も広く使用されているゼロ知識証明型プライバシー技術です。zk-SNARKアルゴリズムを直接展開している著名なプロジェクトにはZcash、Loopringなどがあります。これにより、人々は特定の情報を持っていることを証明できますが、その内容を開示する必要はありません。

zk-SNARKは、ゼロ知識証明メカニズムをコンピュータプログラム言語に変換する技術です。基本的な論理は以下の図の通りです：

zk-SNARKは具体的にどのようなプライバシーを実現しているのでしょうか？zk-SNARKは完全なプライバシーを実現し、取引の両者のアドレスと取引金額を隠すだけでなく、ノードも取引の内容を知ることができません。しかし、zk-SNARKの欠点は、信頼できる初期設定（trusted setup）が必要であり、この設定はどのように設定しても潜在的な安全リスクが存在します。

zk-SNARKを基に、プライバシー性を高めつつ取引容量と取引コストの最適化を兼ね備えるために、後にBulletproofs、zk-STARK、Sonic、PLONK、SuperSonicなどの新しいゼロ知識証明が派生しました。

Bulletproofs

zk-SNARKと比較して、Bulletproofsは信頼できる初期設定を必要としませんが、Bulletproofsの検証はzk-SNARKの証明を検証するよりも時間がかかります。BulletproofsはXMRプロジェクトに適用され、XMRの取引規模を向上させ、80％の検証時間を短縮しました。

zk-STARK

zk-STARKの英語の全称は「Zero-Knowledge Scalable Transparent Argument of Knowledge」で、「ゼロ知識可拓展の透明な知識証明」と呼ばれます。zk-STARKはStarkWareによって開発され、新しい暗号学的証明と現代の書籍を使用してブロックチェーン上の計算の完全性とプライバシーを強制します。StarkExはzk-STARK技術を採用しています。zk-STARKは、ブロックチェーンが計算を単一のチェーン下STARK証明者に移行し、その後、チェーン上のSTARK検証者がこれらの計算の完全性を検証することを可能にします。

zk-SNARKと比較して、zk-STARKはより高速でコストが低い技術実現と見なされます。計算量が増加しますが、証明者と検証者間の通信量は変わらないため、zk-STARKの全体的なデータ量はzk-SNARKの証明におけるデータ量よりもはるかに少なくなります。また、zk-STARKは初期の信頼できる設定を必要とせず、衝突耐性ハッシュ関数を通じて、より簡潔な暗号技術に依存しています。

全体的に見て、zk-SNARKは改善と採用において重要な進展を遂げ、zk-STARKはzk-SNARK証明の多くの欠陥（より高速、コストが低い、初期の信頼できる設定が不要）を補完する改良版と見なされていますが、zk-STARKはチェーン下計算とチェーン上検証の方法を採用しているため、安全性の面ではzk-SNARKよりも劣るようです。

Sonic

ロンドン大学のSarah Meiklejohn、エディンバラ大学のMarkulf Kohlweiss、ZcashのSean Boweは、Sonicというゼロ知識証明プロトコルを提案しました。Sonicは一般的なSNARKであり、つまり、1つの設定だけであらゆる可能性を検証できます。

Sonicの登場により、ゼロ知識証明の進化が大きく前進しました。しかし、Sonicの速度は低下しました。非一般的なSNARKと比較して、Sonicの証明構築時間は約2桁増加したため、現在、Sonic技術を採用している著名なプライバシープロジェクトはありません。

PLONK

PLONKは、AztecプロトコルのCTOであるZachary Williamsonと、Protocol Labsおよび元Zcashの首席科学者Ariel Gabizonが共同開発した効率的な一般的zk-SNARKです。Ariel GabizonとZac Williamsonは、ロンドンのBinary Districtワークショップでの偶然の出会いでPLONKを開発しました。

これは全く新しい効率的な一般的zk-SNARKで、PLONKは1つの信頼できる設定だけを必要とし、すべてのプログラムがこの設定を再利用できます。この技術はVitalikによっても紹介されました。PLONKはどれほど速いのでしょうか？完全に標準的なハードウェア上で、PLONKは23秒以内に100万以上のゲートを通過できます。ここにはサーバーファームやHPCクラスターはありません------これらのデータはMicrosoft Surfaceタブレットから得られています。

Aztecを例に、PLONKに基づくプライバシープロトコルAztecの動作原理を簡単に説明します：

まず、Aztecは信頼できる初期設定------Ignition CRSを必要とします。最初の頃、Aztecは世界中から200人の参加者をランダムに集め、Ignition CRSを取得しました。この200人の参加者はランダム性を生成します------これはAztecの証明の安全性の基礎です。（これは200人がシャッフルするのに相当し、200人全員が共謀していない限り、1人でも誠実な参加者がいれば、カードのランダム性、つまりシステムの安全性が保証されます。）

次に、Aztecの通常のプライバシー取引はUTXO（以下の図のように）と理解できます。ビットコインの運用方法に似ていますが、Aztecの違いは取引が暗号化される必要があることです。したがって、イーサリアムはこのUTXOが正しいかどうかを検証します------すなわち、60+40 = 75+25をチェックします。

具体的にどうやってチェックするのでしょうか？まず、input note = output noteをチェックします；環境攻撃（例えば：10 = 11+ -1）を防ぐために、Range Proof（範囲証明）が設定されているため、Aztecは集合メンバー証明を展開します------取引がAztec暗号エンジン（ACE）の承認を得るためには、ユーザーはCodexからの出力注釈を形成していることを証明する必要があります。この一連のプロセスの後、UTXOの正しさを成功裏に検証できます。

Aztecが実現しようとしているプライバシーには、3つの側面があります：1つはデータプライバシーで、Aztecは取引金額を暗号化して隠すことができます；2つ目はユーザープライバシーで、ネットワークを観察する人は送信者と受信者のIDを特定できなくなります；3つ目はコードプライバシーで、Aztec SDKを使用したdAppのスマートコントラクトコードもプライバシー化できます。最初の項目はすでに実現されており、残りの2つはまだ実現されていません。

SuperSonic

SuperSonic技術は、SonicとDARK証明を組み合わせたもので、信頼できる設定を必要としない短い証明です。100万の論理ゲートの前提の下で、証明のサイズを10-20 KBに圧縮でき、さらに最適化の余地があります。この技術は、金融公链Findoraで初めて適用されました。

ゼロ知識証明シリーズの技術ソリューションは、証明のサイズ、検証速度、信頼できる設定の必要性、適用事例に関する比較は以下の表の通りです：

全体的に見て、これらの効率的な一般的SNARKの登場により、最大1つのMPC設定を通じてWeb3のプライバシーと拡張性が実現され、すべてのユーザーのデバイス（スマートフォン、タブレットなど）でプライバシー取引を生成でき、公共ネットワーク上でこれらのプライバシー取引を効果的に実行できるようになります。これにより、プライバシー分野の発展が大きく促進されます。

プライバシー取引分野の発展状況に基づき、近い将来に以下の2つの傾向が現れる可能性があります：

1. 現在の段階ではプライバシー取引の使用率はまだ低く、技術の進化に伴い向上する見込み。

プライバシー取引の使用率が低い主な理由は3つあります：1つは技術的なハードルが高く、初期のプライバシー取引はほとんどの普通のユーザーにとって使い勝手が悪かったことです。ZcashやXMRのようなプライバシーコインは何年も存在していますが、ほとんどの普通の人はそれらを実際に使用したことがありません；2つ目はプライバシー取引の需要が普及していないことです。以前はプライバシー取引について話すと、皆は無駄な取引だけがプライバシー取引を必要とするという潜在意識を持っていました。人々は自分のチェーン上の取引、送金/支払いなどの行動や金額を隠す意識がまだ弱いですが、DeFiなどのチェーン上取引の爆発に伴い、人々のチェーン上取引のプライバシー保護への意識が目覚めています；3つ目は初期のプライバシープロトコルがユーザーが本当に使用したい通貨（ETH、USDC、DAIなどの主流のチェーン上資産）を提供していなかったため、普通のユーザーがプライバシーを保つためにプライバシーコインを選択する可能性は低いです。

2. 主流のブロックチェーンがプライバシー機能を展開することが、プライバシー分野の発展の最終的な傾向となるかもしれません。

プライバシーコインは独立した存在として、今後はあまり注目されず、歓迎されないかもしれません。特に、前の数年間の各国の規制の影響を受けて。例えば、FATFの規則の影響を受けて、2019年にCoinbase UKはZcashを上場廃止し、OKEx韓国はMonero、Dash、Zcash、ZCache、Horizon、SuperBitcoinなど6種類の暗号通貨を上場廃止しました。

しかし、プライバシー取引の需要は実際に存在し、常にその需要があります。需要があれば市場が生まれます。最近の業界で最も注目されているプライバシープロジェクトのタイプを見ると、ビットコイン、イーサリアム、Polkadotなどの主流のブロックチェーンにプライバシー保護機能を組み込む方法がトレンドになる可能性があります。

ビットコイン取引でCoinJoin技術を使用することは、現在取引情報を隠すために広く使用されている混合器（Mixers）サービスです。Mixersは、第三者を通じてビットコインの送信者アドレスと受信者アドレスの関連を混乱させ、取引情報を隠すサービスです。

イーサリアムで最も注目されているプライバシーソリューションはゼロ知識証明シリーズ（zk-SNARK、zk-STARKなど）です。Vitalikは「ゼロ知識証明は最も強力なプライバシーソリューションであり、技術実現の難易度は最も高いが、イーサリアムネットワークのプライバシーと安全性を保護する上で最も効果的である」と述べました。そして、ゼロ知識証明型プライバシーソリューションの中で、特に評価されているのはAztecのPLONK技術です。

Polkadotエコシステムにも注目されているプライバシー取引プロジェクトがあります------Manta Networkです。これはP0xeiden Labsによって構築されたzk-SNARKタイプ（Plonk with Lookup）のプライバシープロトコルで、Manta NetworkはPolkadotに展開され、そのテストネットCalamariはKusamaに展開されています。このプロジェクトの公式ウェブサイトによると、将来的にはAvalanche、Nearなどの公共ブロックチェーンに相応のプライバシープロトコルを展開する計画があります。Manta Networkは、複数の資産を対象とした分散型匿名支払いプロトコルMantaPayと、zk-SNARKによってサポートされたAMMメカニズムの分散型取引プロトコルMantaSwapを発表する予定です。

要するに、プライバシー取引は実際に存在する市場の需要であり、この分野の発展は引き続き注目に値します。チェーン上取引の数と資金量の増加に伴い、この部分の市場需要も相応に増加するでしょう。