ZK技術の歴史:次なる千億規模アプリケーションがその上に宿る
TechFlow厳選深潮セレクト
ZK技術の歴史:次なる千億規模アプリケーションがその上に宿る
本シリーズの第一回では、ゼロ知識証明から出発し、ZKがL2分野にしか応用できないという従来の観念を超え、皆様にまったく新しい体系的認知を提供します。
Web3業界の深掘り報道に専念し潮流を洞察暗号化世界の注目はビットコイン、イーサリアム、DeFi、NFT、メタバース、Web3と幾度も移り変わってきたが、暗号技術そのものに対する関心だけが欠けていた。ビットコインの楕円曲線暗号(ECC)が多少の認知を得ているに過ぎず、他の暗号アルゴリズムは研究者や開発者の間でしか話題にならないままだった。
R3POはこれを非中央集権的ではないと考えており、これはWeb3のさらなる拡張を著しく妨げる。暗号学はブロックチェーンの基盤技術であり、ごく少数の人々だけのものではなく、より広範な領域へと広がるべきである。
R3POは新たな記述スタイルによって専門用語の意味を解説し、専門性と読みやすさの両立を目指している。機関投資家やプロジェクトチームに対して、発展の中に潜む投資機会、起業の方向性、参入ポイントを見出し、未発掘のαリターンを追求することを目的としている。
最近注目されているゼロ知識証明(ZK)技術は、依然として進化と革新が続く細分化された分野だが、その技術自体は非常に広い応用可能性を持っているため、全体像を整理することが極めて重要である。
ゼロ知識証明(Zero-Knowledge Proof)という概念自体は新しいものではなく、過去40年にわたり発展を遂げ、複数のモデルと応用が生まれてきた。
Web3時代に入ると、2017年にはV神(ビタリック・ブテリン)がすでにZK技術のイーサリアム上での活用可能性に着目していた。また最近ではStarkwareが1億ドルの資金調達を行い、累計調達額が2.25億ドルに達した。これは機関がZK技術をパブリックチェーンレベルの評価とポテンシャルで見ていることを示している。この分野は長期的な戦いの場となり、さらに多くの投資機会が明らかになるだろう。
未来20年を見据えると、R3POはZKの発展期間は少なくとも一甲子(60年)はあると考えており、そのためZKの全体像を描くには起源に遡り、発展の論理を明確にし、次の潜在的チャンスを見つけ出す必要がある。
本シリーズの第1回目はゼロ知識証明から始め、ZKがL2に限定されるという固定観念を超えて、皆様に新たな体系的理解を提供する。
ゼロからのスタート:ZKの構築プロセス
1982年:財産を隠しながら優劣を競う
富への追求は古来より存在する。項羽はかつて「富貴還郷せずんば、錦を着て夜行すが如し」と述べたが、あまりに大きな富は他人のねたみを買う。財産の額を明かさずに、どちらが豊かかを比較する方法はあるだろうか?
1982年、後にチューリング賞を受賞する姚期智(ヤオ・チーチー)はこの問題を考えた。これが有名な「百万長者問題」である。数学的プロセスを省略すると、おおまかな仕組みは以下の通り:
アリスとボブがそれぞれの財産額を表す数字iとjを選び、値の範囲は1~10とする;
アリスがiを一方向暗号化し、暗号化された結果kをボブに送信。ボブはiに関連した新しい値を得る;
ボブがkを計算して新しい値mを得て、それを再びアリスに返信。この時点でアリスはmとiの関係を判断できる;
このプロセスを繰り返すことで、双方が情報を完全に開示せずに最終的に比較を完了できる。
もちろん、以上のプロセスは簡略化したものだが、重要な点を示している。つまり、情報を開示しない状態で、二者間で計算が可能であるということだ。これを多方に拡張し、数値範囲を大きくすれば、典型的なマルチパーティ安全計算(MPC: Secure Multi-party Computation)の問題となる。
百万長者問題はZK議論の出発点である:
財産情報を開示しない前提で、ゼロ知識の定義を満たしている;
第三者を介さずに、参加者同士の直接インタラクションで検証を行う。
1985年:ゼロ知識証明の登場
1985年、Goldwasser、Micali、Rackoffの3人が初めて「ゼロ知識証明(Zero-Knowledge Proof)」モデルを提唱した。正確には「インタラクティブゼロ知識証明」モデルであり、簡単に言えば、複数回のやり取りを通じてZK技術で真偽や大小を検証できるというものだ。
ここでいう「ゼロ知識」は完全に正確ではない。アリスとボブのやり取りを例にすると、二人は互いに検証者と証明者になり得るが、やり取りされる情報は財産額そのものとは無関係でなければならない。つまり「相関性がゼロ」であることが求められるのであり、情報伝達がないわけではない。
「インタラクティブ」とは、複数回のやり取りが可能であり、このプロセスを繰り返すことで正しい結果を得ることを指す。
これにより、現在よく知られているZK技術が最初の形を成した。以降のすべての発展は、この基礎の上での改良・変更である。
1991年:非インタラクティブゼロ知識証明
1991年になると、Manuel Blum、Alfredo Santis、Silvio Micali、Giuseppe Persianoらが「非インタラクティブゼロ知識証明」を提案した。名前から分かるように、このアップデートの重点は「非インタラクティブ」な証明プロセスであり、つまり双方がやり取りしない状態でも、ある定理や仮説の真偽を検証できる。これは直感に反するように思えるが、以下のような巧妙な例がある:
アリスとボブは財産自由後、数学者になる。アリスはweb2を離れてweb3を旅しながら、引き続きZKの研究を行う。
アリスが新しい定理の証明を発見したとき、ボブに絵ハガキを送ることで、研究の新進展を報告すると仮定する。
これは非インタラクティブなプロセスであり、正確には一方向のやり取り:アリスからボブへのみ。たとえボブが返信したいと思っても、アリスの住所が不安定(または予測不可能)なため、届けることはできない。
ボブがメールを受け取った瞬間、中身を確認しなくても、「アリスは研究で新たな進展を得た」という命題が真であると確定できる。
非インタラクティブゼロ知識証明は、やり取りの回数を最大1回まで削減し、オフライン検証および公開検証を実現する。前者はRollupの有効性の基盤を築き、後者はブロックチェーンのブロードキャスト機構と結合することで、複数回の計算によるリソース浪費を回避できる。
これにより、我々が現在目にしているZKは成熟した理論モデルとなった。しかし当時のZKは主に数学・暗号学の研究対象であり、ブロックチェーンとの関連は薄かった。ビットコインの登場後、「暗号技術+ブロックチェーン」が研究テーマとなり、ZKはその中でも特に注目された。
なお、中本聡本人はZK技術をビットコインネットワークに使うことに反対していないが、当時のZK技術が未熟であったため、より安全なECCアルゴリズムを選択した。一方、ZK自体はLayer1ブロックチェーンに直接適用可能であり、Zcash、Mina、そしてイーサリアムのイスタンブールアップグレードなどもゼロ知識証明に関連している。
出会い:SNARKがブロックチェーンに参入
2010-2014年 Zcash:SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) の実用化
ビットコインネットワークの登場後、「セキュリティ」と「プライバシー」は人々がブロックチェーンに対して持つ最初の認識となった。市場にはプライバシー重視のパブリックチェーンやアプリが多数登場し、例えばZerocash/Zcashが採用するSNARKs、Moneroが使用するバレットプルーフ(Bulletproofs:BP)などがある。
2010年、GrothはECCアルゴリズムに基づき、O(1)定数時間のZKを初めて実現した。つまりZK-SNARKsまたはZK-SNARGsである。
SNARGs: Succinct Non-Interactive Arguments
SNARKs: Succinct Non-Interactive Arguments of Knowledge
応用面では、この改善のポイントは「簡潔性(Succinct)」にある。具体的には、SNARKは情報自体のサイズを圧縮することを目指しており、ZCashではプログラム回路が固定されているため、多項式検証も固定され、設定は一度だけ実行すればよく、その後の取引は入力値を変えるだけで再利用できる。
2013年、Pinocchioプロトコルにより証明時間を数分、検証時間をミリ秒単位まで短縮し、オーバーヘッドを300バイト以内に抑えた。これによりZK-SNARKs技術が初めてブロックチェーン分野に実装された。
これはZK技術がプライバシー用途に活用できることを証明した。R3POは今後のプライバシールートがL2から独立して存在する可能性があると判断しており、AztecはプライバシーDeFiの実現可能性を示した。tornadoが制裁を受けた後も、オンチェーン金融におけるプライバシーは依然として強いニーズである。この方向の投資機会はまだ十分に発掘されておらず、今後の展開に期待がかかる。
さらに、プライバシーコインプロジェクトのZerocashは関連アルゴリズムを改良し、SCIPR Labが最適化したzk-SNARKsアルゴリズムを使用している。理論的には、送金元、受取人、金額をすべて隠蔽でき、取引データを1KB以下に抑え、検証時間を6ms以内にできる。
Mina:再帰的ZKによるデータ圧縮
MinaはイーサリアムL2とは異なり、L1レベルの高性能パブリックチェーンである。そのノードはわずか22KBしかなく、これほど小さい理由は、ZKの有効性を証明するために再帰的手法を大幅に利用しているためであり、つまり各メッセージが以前の検証結果を含んでいる。
Step1:zk-SNARKsでノードの有効性を証明し、その証明結果のみを保存する;
Step2:再帰的呼び出しにより、ノード有効性の正しさを継承・検索可能とし、全履歴データを保持せずにデータを極限まで圧縮する;
全ノードデータを保存するのではなく、検証結果の有効性を伝達する——これがMinaの有効な手段である。一方、イーサリアムL2では、ZK-Rollupは複数の取引データをまとめて一括決済することで有効性を証明できる。さらに拡大解釈すれば、L2の上にL3やDappアプリを重ねることも可能であり、これらはすべてZKが発展可能なサブフィールドである。例えばdYdXは現在Starkex上で動作しており、Starkware上に構築されたL2であるImmutableXも、ZKの活用可能性を証明している。この分野の価値はまだ完全に発掘されておらず、長期的な投資価値が残っている。
以上により、ZK-Rollupに必要な技術要素は基本的に整った。我々は十分なZKの基礎知識を備え、以下のZKの特徴をまとめることができる:
非インタラクティブ:複数回の検証不要。一度の検証でネットワーク全体にブロードキャスト可能;
ゼロ知識:情報自体の特徴を開示せず、ネットワーク全体で公開伝播可能;
知識:公開的・容易に得られる情報ではなく、経済価値やプライバシー価値などの独自価値を持つ必要がある;
証明:数学的手法で安全性が保証され、長年の研究と実践で検証済み;
これらの技術的特徴を組み合わせると、ZKはL2スケーリングに天然的に適しており、それだけでなく、ZK技術の他の応用については後続の記事で紹介していくので、ぜひご期待いただきたい。
双竜会:STARKが最終的にSNARKに取って代わる
ZK-STARK:開発難易度が10年単位の有望株
二つの違いを比較すると、STARKのSはScalability(拡張性)を意味し、より大規模データの複雑な使用シーンを想定しているが、全体としてはまだ発展途上の技術ルートである。
本稿では個別のL2間の差異には深入りしないが、一点明らかに言えるのは、StarkWare以外のL2プロジェクト(zkSync、Aztec、Loopring、Scrollなど)はすべてSNARKs技術ルートを採用していることだ。
その理由は、STARKの開発難易度が非常に高く、現時点ではStarkWareだけが独自開発の能力を持っている。しかし利点も非常に明確で、SNARKよりも大きな演算量を扱え、大規模データ処理時における安全性が高くなる。例えばゲーム、ソーシャル、NFTなどの分野に適している。
さらに、STARKルートは量子攻撃耐性を持つ。これは今後10年間で業界の構造を変える可能性を秘めている。ビットコインが採用するECCアルゴリズムは完全な耐量子性を持たないが、zk-STARKs技術を導入すれば、安全性が著しく向上する。
要するに、イーサリアムL2の構図は短期的にはOptimistic Rollup、5年後はzk-SNARKsルート、10年後にはzk-STARKルートが最終的に勝ち抜くだろう。
ZK-Rollup:データの上昇、情報の深掘り
zk-STARKsの紹介を終えると、L2スケーリングの全技術的特徴が整い、あとはRollupの説明が残るのみである。実際、RollupはZKの検証メカニズムを利用し、データ量の要求からは脱却している。つまりL1がコンセンサスと決済を担い、L2がアプリの日常運用を担当する。ユーザーはL1と直接やり取りせず、体験は現在のAppに非常に近くなる。
さらに言えば、Rollupは情報をパッケージ化した後、検証済み情報を暗号化して「知識」としてL1に伝達し、セキュリティ、非中央集権性、拡張性の「不可能三角」を突破する。
まとめ
我々は百万長者問題から出発し、MPC問題を経てゼロ知識証明の領域へと移行した。経済的理由から、インタラクティブ型ゼロ知識証明はオンチェーン活動に完全には適していないため、非インタラクティブ型が主流となっていった。
Zcashの発展とともに、SNARKs技術が徐々に応用され、ZK技術は純粋な暗号学的研究対象から、ブロックチェーン分野での工学的ツールへと変貌を遂げ、プライバシー、セキュリティ、効率性の面でその役割を果たしている。
イーサリアムのスケーリング用途では、ZKはL2を成功させ、Rollup技術ルートが他の競合に勝利した。zk-STARKsも徐々に発展し、マイニング、GameFi、NFTなど、より普遍的な用途を活性化させる可能性を秘めている。
イーサリアム以外でも、ますます多くの新しいモデルが登場している。例えばカスタマイズ可能なモジュラーRollupルート、あるいは最近1500万ドルの資金調達を終えたEclipse(Move言語とSolanaネットワークをサポート予定)、3000万ドルの資金調達を果たしたScroll(EVM同等のZK-Rollup構築を目指す)などがある。
新ストーリーの背後にある原動力はZK技術への信頼である。広く言えば、ZKは「大規模かつ包括的、長期的かつ遠大」な分野であり、大規模な資金調達ニュースが相次いでいることも、市場の受け入れが高まりつつあることを示している。しかし全体として見れば、これはまだ新しい分野であり、技術ルートにおいてさえ「内巻き」的な流派が存在する。そこに長期的な投資機会があり、基盤インフラに組み込まれるか、具体的な応用シーンに落とし込まれるかに関わらず、我々が不断に探求していく必要がある。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
