ゼロ知識証明の発展とその応用の可能性

作者: Internet Computer / Dfinity

编译: ChainCatcher

"ゼロ知識証明は、ある主張が真実であることを証明することができるが、その主張が真実であるという事実以外の情報は一切開示しないことができます。"と、Jens Grothは言いながら、彼の意図を説明するためにトランプの一組を取り出しました。"私が1枚のカードを選び、それを見て、あなたにそれが赤いカードだと言ったとしましょう。私があなたに言ったことは本当かもしれないし、嘘かもしれません。もちろん、そのカードを見せることでそれが本当に赤いことを証明できますが、そのカードを見せることは、そのカードが実際に赤いという事実以上のことを明らかにしてしまいます。" それからGrothはすべての黒いカードを広げ、赤いカードを裏向きにしました。"今、あなたはそのカードが赤いことを知っていますが、それがハートのクイーンであるかどうかはわかりません。"

Grothは著名な暗号学者であり、ペアリングに基づく実用的な非対話型ゼロ知識（NIZK）証明を発明したことでゼロ知識証明の分野を根本的に変えたことで知られています。これは、彼が他の研究者と共著した研究論文の本質を謙虚に説明する方法です。この論文は「双線形群の効率的な非対話型証明システム」というタイトルで、2008年にEurocryptで発表されて以来、実用的な暗号スキームやアプリケーションの開発に関する多くの研究で使用されています。今日、国際暗号研究協会（IACR）は、著者に時間考査賞を授与し、彼らの証明が公開鍵暗号に与えた持続的な影響を称えました。

"私はとても嬉しく、誇りに思っています。時間考査賞は、この研究をこの発展過程における重要なステップとして認識しています。長い間、ゼロ知識証明には大きな応用の可能性があるという直感を持っていましたが、その当時の実際の使用例は特定の暗号プロトコルに特化していました。今、ゼロ知識証明の分野全体が急成長しており、研究とエンジニアリングが共に大きな進展を遂げているのを見ると、汎用的な分野がどれほど重要になったかを示しています。"

すべてはどのように始まったのか すべては数学への愛情から始まり、研究を実際の応用に変換できる分野で働きたいという渇望から始まりました。Grothはオーフス大学でさまざまな暗号学のコースに参加し、ピーター・ランドロック教授やイヴァン・ダムガード教授などの世界的な暗号学者の指導を受ける幸運に恵まれていることに全く気づいていませんでした。彼は最終的にダムガード教授の指導の下で理学修士号を取得し、その後、当時電子投票ソリューションを開発していたCryptomathicという会社と協力して産業博士号を取得しました。

博士号を取得した後、Grothはカリフォルニア大学ロサンゼルス校でポスドクの職に就き、そこで彼の共著者であるアミット・サハイと出会いました。Groth-Sahaiの受賞論文につながる研究の道筋は、非対話型ゼロ知識証明の構成をペアリングに基づく暗号学と結びつけたいという欲求から始まりました。これは他の暗号構成の中でその汎用性を示しています。ラファイル・オストロフスキーとアミット・サハイの初期の研究は、ペアリングを使用して効率的なNIZK証明を構築できることを最初に示しました。これは、ブール回路が満足のいく入力を持ち、その回路が真を出力することを証明します。しかし、暗号プロトコルで証明したい主張は通常、ブール回路として直接表現されることはありません。

2021年にIACR時間考査賞を受賞した後の論文で、Grothはペアリングに基づくNIZK証明を提供できることを証明しました。これらの証明は、ペアリングに基づく暗号学で自然に現れる主張に直接適用されます。しかし、これらのNIZK証明は非常に高価です。Grothは次の論理的な質問を提起しました：ペアリングに基づく暗号プロトコル設計に広く適用できる、効率的なNIZK証明は存在するのか？

数ヶ月の厳しい努力の中で、GrothとSahaiはNIZK証明の複雑さを小さなスケールにまで継続的に低下させ、ペアリングに基づく暗号学の大部分の操作を表現する主張の一般的な記述を策定しました。

NIZK証明の要約 この研究は、暗号学がどのようにして私たちがデジタルデータに関する主張を、主張の真実性だけを開示する方法で証明できるかを探求しています。本質的に、ゼロ知識証明は、証明者が彼/彼女がプロトコルまたは期待される行動に従って行動していることを証明することを可能にし、彼/彼女の機密データを開示する必要がありません。NIZK証明が役立つ可能性のある実際の使用例は多数あります。たとえば、電子投票プロトコルでは、暗号化された投票が特定の候補者に対して有効であり、二重投票や反対票ではないことを証明したい場合があります。別の使用例は、資産構成を開示することなく、資金の管理において支払い能力を証明したい場合です。

応用 使用例が何であれ、ゼロ知識証明は効率的である必要があります。Groth-Sahaiゼロ知識証明は非対話型であり、これは証明者と検証者の間の往復通信を必要としません。証明者は、検証者に送信できる証明を1つのメッセージで構築するだけです。-----すべての黒いカードを一度に見せるように。それらのサイズも合理的で、文の複雑さに比例して増加します。さらに、これらは、暗号学者がペアリングに基づくプロトコルを設計する際に通常表現したい主張に直接適用できます。

GrothとSahaiが構築したNIZK証明システムは、リング署名、グループ署名、暗号スキームなど、ペアリングに基づく暗号スキームで使用されています。通常、1つのスキームにはいくつかのサブコンポーネントがあり、NIZK証明はコンポーネントの正しい構造と互いの一貫性を証明することによって、それらを結びつける接着剤として機能します。また、Groth-Sahai証明に特に適した純粋なペアリングに基づく暗号学の構造保持に関する研究もいくつかあります。

Grothとこの分野の他の研究者のその後の研究は、後にゼロ知識簡潔非対話型証明（zk-SNARKs）と呼ばれるものを使用して、より高い効率を得ることができることを示しています。Groth-Sahai証明は小規模な主張に適しており、zk-SNARKsは大規模な主張に理想的な選択肢です。SNARKsは、いくつかのプライバシー中心のブロックチェーンの核心を構成しています。また、zk-rollupsの基盤でもあり、これにより人々はオフチェーン計算を行い、最終結果とともに最終結果が正しい簡潔なNIZK証明をブロックチェーンに提出できます。SNARKはここで理想的です。なぜなら、それらはコンパクトであり、ストレージと通信コストが低く、検証にはほとんど計算が必要ないからです。

Grothとインターネットコンピュータ Grothは主にインターネットコンピュータプロトコルのセキュリティに焦点を当てており、分散型鍵生成プロトコルで使用される特別な用途のzk-SNARKsを設計しています。

DFINITY以外にも、インターネットコンピュータエコシステムには、プロトコルにゼロ知識証明を実装する開発者がいます。Demergent Labsのジョーダン・ラストは、zkWasmを使用してインターネットコンピュータ上のスマートコントラクトの正しい計算に追加の保証を提供することを強く推進しており、ICMEのワイアット・ベンノはプロトタイプを開発しています。

Grothの生活 Grothは、余暇に即興劇やバドミントンを楽しんでいます。彼が暗号学の証明やインターネットコンピュータのセキュリティについて考えていないとき、Grothの心には政治、経済、歴史の読書が満ちており、技術の進歩が社会にもたらす潜在的なポジティブな利点について考えています。現代社会の複雑さは私たちに大きな利益をもたらしますが、彼は誰もが現代社会を完全に把握することはできないと認識しており、これが民主主義の赤字を引き起こすことを懸念しています。Grothは、ゼロ知識証明がこの点で役立つことを望んでいます：

"哲学的に言えば、SNARKは、主張を検証するコストが主張自体の複雑さよりもはるかに小さい可能性があることを教えてくれます。この概念から推測すると、私たちが社会全体を把握できなくても、私たちにとって重要なことを検証できるかもしれません。特に誤情報は問題であり、ゼロ知識証明は解決策の一部である可能性があります。"

Jens Grothについて Jens Grothは著名な暗号学者であり、彼の作品は過去10年間にわたり、トップレベルの暗号学会議ASIACRYPT、EUROCRYPT、CRYPTOで発表されています。彼の研究はゼロ知識証明の分野を根本的に変え、実用的なペアリングに基づく非対話型ゼロ知識証明を発明し、これにより2007年にカリフォルニア大学ロサンゼルス校の学長のポスドク研究賞を受賞し、現在は2つのIACR時間考査賞を受賞しています。

IACR時間考査賞について IACR時間考査賞は、IACR会議（Eurocrypt、Crypto、Asiacrypt）で授与される年次賞です。これは、公開鍵暗号に持続的な影響を与え、15年前またはそれ以前に発表された優れた論文を表彰します。