ゼロ知識証明技術の応用:ブロックチェーン発展史における第三の技術革新
TechFlow厳選深潮セレクト
ゼロ知識証明技術の応用:ブロックチェーン発展史における第三の技術革新
本稿は、ゼロ知識証明がブロックチェーン分野において広く応用されている状況、技術的アプローチ、発展のトレンドおよび直面している課題について主に紹介する。
Web3業界の深掘り報道に専念し潮流を洞察著者:
新躍社科大学包摂的金融ノード SUSS NiFT リサーチャー @Jesse_meta
Beosin リサーチャー @EatonAshton2
Least Authority セキュリティリサーチャー @kaplannie
情報がインターネット上に保存されているか、オフラインのアーカイブ室にあるかに関わらず、意図的であるか偶発的であるかを問わず、情報漏洩は今日では珍しくなく、説明するまでもない。情報が中央集権的に保管されていれば、単一障害点(Single Point of Failure)からの攻撃リスクが常に存在する。検証プロセスに信頼できる第三者が必要であれば、倫理的リスクが生じ、効率も低下する。情報セキュリティの解決は極めて重要であり、差し迫った課題である。ゼロ知識証明技術は、ユーザーが自身のプライバシーを守りながら、より効率的かつ安全に検証を完了することを可能にする。ビットコインが現実世界に与えた最初の大発明として価値の保存手段を提供したとすれば、イーサリアムのスマートコントラクトは革新の可能性を解き放つ第二のマイルストーンであった。そして、ゼロ知識証明の応用は、ブロックチェーン発展史上における第三の技術的革新であり、プライバシー保護とスケーラビリティをもたらす。これはWeb3エコシステムの重要な一部であるだけでなく、社会変革を推進する可能性を持つ基盤技術でもある。
本稿は非技術者の視点から、ゼロ知識証明の応用シナリオ、動作原理、現状および将来のトレンドを紹介し、技術的背景を持たない読者がゼロ知識証明がもたらす重大な変化を理解できるようにすることを目指している。
1. ゼロ知識証明とは何か
ゼロ知識証明(ZKP)は、1985年にShafi Goldwasser、Silvio Micali、Chales Rackoffが共著した論文『The knowledge complexity of interactive proof systems』で初めて提唱された数学的プロトコルであり、証明したい事実以外の情報を一切開示しない。検証者は証明の生成に使われた秘密情報を得ることはできない。例を挙げて説明しよう。ある人の電話番号を知っていることを証明したい場合、その人の電話番号を公表せずに、その人へ実際に電話をかけることで、自分が番号を知っていることを証明できる。ゼロ知識証明は、このようなリスクのほとんどないデータ共有方法を提供する。これにより、データに対する所有権を保持しつつ、プライバシー保護を大幅に強化でき、将来的にはデータ漏洩事件を過去のものにする可能性がある。
ゼロ知識証明は以下の三つの特性を持つ:
完全性(Completeness)
声明が真である場合、正直な検証者は正直な証明者によって納得させられる。つまり、「正しいことは間違えない」。
健全性(Soundness)
声明が偽である場合、大抵のケースで、不正な証明者は正直な検証者を騙して偽の主張を信じさせることはできない。つまり、「間違ったことは正しくならない」。
ゼロ知識性(Zero-Knowledge)
声明が真である場合、検証者は「それが真である」ということ以外、余分な情報を得ることができない。
ゼロ知識証明には健全性の誤差が極小の確率で生じる。つまり、不正な証明者が検証者を騙して誤った主張を信じさせる可能性がある。ゼロ知識証明は決定的な証明ではなく確率的な証明であるが、いくつかの技術的手法によってこの健全性誤差を無視できるほどまでに低減することが可能である。
2. ゼロ知識証明の応用
ゼロ知識証明の最も重要な二つの応用分野は、プライバシー保護とスケーラビリティ拡張である。
2.1 プライバシー
ゼロ知識証明は、個人の詳細情報を開示せずに必要な情報を安全に共有することで商品やサービスを得ることを可能にする。これにより、ハッキングや個人識別情報の漏洩から守られる。デジタル空間と物理空間が融合する中で、ゼロ知識証明のプライバシー保護機能は、Web3のみならずそれ以外の情報セキュリティにとっても極めて重要となる。ゼロ知識証明がなければ、ユーザー情報は信頼された第三者のデータベースに置かれ、ハッキングのリスクに晒される。ゼロ知識証明のブロックチェーン上での最初の応用事例は、取引詳細を隠すプライバシーコインZcashである。
2.1.1 身元情報の保護と検証
オンライン活動において、私たちはしばしば名前、生年月日、メールアドレス、複雑なパスワードなどを提示し、正当な利用者であることを証明する必要がある。そのため、意図せず機密性の高い情報をネット上に残してしまうことが多い。今や名前を呼び捨てにした詐欺電話が頻繁にかかってくるようになっており、個人情報の漏洩が深刻な問題であることがうかがえる。
ブロックチェーン技術を活用することで、各人に個人データを含む特殊な暗号化されたデジタル識別子を付与できる。この識別子は改ざん不可能な分散型身元(Decentralized Identity)を構築し、所有者の承認なしに偽造または変更することはできない。ユーザーは自らがアクセス権を制御でき、パスポートの詳細を開示せずに市民権を証明したり、認証プロセスを簡素化したりできる。また、パスワードの忘れによるアクセス喪失も減少する。ゼロ知識証明は、ユーザーの公開可能なデータとプライベートな個人情報を組み合わせて生成され、サービス利用時の本人確認に使用される。これにより、煩雑な検証手順が削減され、ユーザーエクスペリエンスが向上するとともに、ユーザー情報の中央集権的保管を回避できる。
さらに、ゼロ知識証明はプライベートな評判システムの構築にも使える。機関はユーザーの身元を明かさずに、一定の信用基準を満たしているかどうかを検証できる。ユーザーはFacebook、Twitter、Githubなどのプラットフォームから、具体的なアカウント情報を隠蔽したまま、匿名で評判を出力できる。
2.1.2 匿名決済
クレジットカード決済の取引詳細は通常、決済プロバイダー、銀行、政府など複数の関係者に可視であり、一般市民のプライバシーが一定程度暴露される。ユーザーはこれら関係者が悪用しないことを信頼しなければならない。
暗号資産は第三者を排除し、直接的なP2P取引を可能にする。しかし、現在主流のパブリックチェーン上の取引はすべて公開されており、ユーザーのアドレスは匿名であっても、チェーン上の関連アドレスやKYC情報、Twitter情報などのオフチェーンデータ分析によって、現実世界の身元を特定される可能性がある。誰かのウォレットアドレスを知ってしまえば、まるでその人の銀行口座残高をいつでも閲覧できる状態となり、ユーザーの身元や財産に脅威を与える可能性がある。
ゼロ知識証明は、プライバシーコイン、プライバシーDApp、プライバシーチェーンという三つのレイヤーで匿名決済を提供できる。プライバシーコインのZcashは、送信者・受信者のアドレス、資産種別、数量、時刻などの取引詳細を隠匿する。Tornado Cashはイーサリアム上の分散型アプリケーション(DApp)で、ゼロ知識証明を使って取引内容を混同し、プライベート送金を実現している(ただし、多くの場合ハッカーによるマネロンに利用されている)。AleoはL1ブロックチェーンとして、プロトコルレベルでアプリケーションにプライバシー機能を提供することを目指している。
2.1.3 正当な行動の促進
ゼロ知識証明は、プライバシーを保持しながら誠実な行動を促進できる。プロトコルはユーザーにゼロ知識証明を提出させることで、その行動が誠実であることを要求できる。ゼロ知識証明の健全性(間違ったことは正しくならない)により、ユーザーはプロトコルの要件に従って正しく行動しなければ、有効な証明を提出できない。
MACI(Minimal Anti-Collusion Infrastructure:最小反談合インフラ)は、チェーン上での投票や意思決定プロセスにおける談合を防ぐ応用例である。このシステムは鍵ペアとゼロ知識証明技術を活用している。MACIでは、ユーザーが自分の公開鍵をスマートコントラクトに登録し、暗号化されたメッセージで投票を送信する。MACIの談合防止機能により、投票者は自分の公開鍵を変更でき、他人に投票内容を知られにくくできる。投票期間終了後、調整者がゼロ知識証明を用いて、すべてのメッセージが正しく処理され、最終的な投票結果がすべての有効票の合計であることを証明する。これにより、投票の完全性と公正性が保証される。
2.1.4 個人情報の検証
ローンを申請する際、会社から収入証明書を取得して提出することが一般的である。この証明の正当性は暗号学的に容易に検証できる。銀行はゼロ知識証明を用いて、私たちの収入が最低基準を満たしているかを検証できるが、具体的な敏感な情報は得られない。
2.1.5 機械学習との統合によるプライベートデータの潜在力の発掘
機械学習モデルの訓練には通常大量のデータが必要である。ゼロ知識証明を利用することで、データ所有者は自らのデータがモデル訓練の要件を満たしていることを証明できる一方で、データそのものを公開する必要はない。これにより、プライベートデータの活用とマネタイズが可能になる。
さらに、モデル作成者はゼロ知識証明を通じて、自らのモデルが特定の性能指標を満たしていることを証明できるが、モデルの詳細は開示せず、他者によるコピー・改ざんを防げる。
2.2 スケーラビリティ
ブロックチェーンユーザーの増加に伴い、チェーン上で膨大な計算が必要となり、取引の混雑が生じている。一部のブロックチェーンはシャーディングによるスケーリングを選択するが、これには基礎層の大幅な修正が必要で、セキュリティを損なう可能性がある。もう一つの現実的な選択肢はZK-Rollupであり、検証可能な計算(verifiable computation)を利用して、計算を別のチェーン上の主体に委託し、その後、ゼロ知識証明と検証可能な結果をメインチェーンに提出して真偽を検証させる。ゼロ知識証明により取引の真実性が保証され、メインチェーンは結果をステートに反映するだけでよく、詳細なデータの保存や計算の再実行を行う必要がなく、他の参加者との議論も不要となるため、効率とスケーラビリティが大きく向上する。開発者はゼロ知識証明を活用して、スマホのような普通のハードウェアで動作する軽量ノードのdAppsを設計でき、Web3の普及に貢献する。
ゼロ知識証明のスケーラビリティ拡張は、Mina Protocolのようなレイヤー1ネットワークでも、ZK-Rollupのようなレイヤー2ネットワークでも利用できる。
3. ゼロ知識証明の仕組み
Dmitry Laverenov(2019)は、ゼロ知識証明の構造をインタラクティブ型と非インタラクティブ型に分類している。
3.1 インタラクティブ型ゼロ知識証明
インタラクティブ型ゼロ知識証明の基本構造は三つのステップからなる:証拠提示、チャレンジ、応答
証拠提示:隠された秘密情報が証明者の証拠となる。これらの証拠に基づいて、その情報を知っている者だけが正しく答えられる一連の問題が設定される。証明者はランダムに問題を選び、その計算結果を検証者に送信して証明を開始する。
チャレンジ:検証者は問題セットからランダムに別の問題を選び、証明者に回答を求める。
応答:証明者は問題を受け取り、計算を行い、結果を検証者に返信する。この応答により、検証者は証明者が証拠を知っているかを確認できる。
このプロセスは、証明者が秘密情報を知らずに正解を当てる確率が十分に低くなるまで繰り返される。簡単な数学的例で言えば、証明者が秘密情報を知らずに正解を当てる確率が1/2の場合、10回繰り返せば、すべて当てる確率は約0.0097%となり、検証者が偽の証明を誤って受け入れる可能性は極めて低い。
3.2 非インタラクティブ型ゼロ知識証明
インタラクティブ型ゼロ知識証明には限界がある。まず、証明者と検証者が同時に存在し、繰り返しやり取りを行う必要がある。また、新しい証明ごとに証明者と検証者の間で情報のやり取りが必要であり、証明を独立した検証で再利用できない。
このインタラクティブ型の限界を克服するために、Manuel Blum、Paul Feldman、Silvio Micaliらは非インタラクティブ型ゼロ知識証明を提案した。これは証明者と検証者が共有鍵を持ち、一度だけの検証で済ませることで、ゼロ知識証明をより効率的にするものである。証明者は秘密情報を特殊なアルゴリズムで計算し、ゼロ知識証明を生成して検証者に送信する。検証者は別のアルゴリズムで、証明者が秘密情報を知っているかを検証する。一度生成されたこの証明は、共有鍵と検証アルゴリズムを持つ誰でも検証できる。
非インタラクティブ型ゼロ知識証明はゼロ知識証明技術の大きな飛躍であり、今日のゼロ知識証明システムの発展を促進した。主要な手法にはZK-SNARKsとZK-STARKsがある。
4. ゼロ知識証明の主要技術経路
Alchemy(2022)は、ゼロ知識証明の技術経路をZK-SNARKs、ZK-STARKs、再帰的ZK-SNARKsに分類している。
4.1 ZK-SNARKs
ZK-SNARKs は「ゼロ知識」「簡潔」「非インタラクティブ」な証明である。
パブリックチェーンはネットワーク上で取引が正しく実行されたことを保証するために、他のコンピュータ(ノード)が各取引を再実行する必要がある。しかし、この方法では各ノードがすべての取引を再実行するため、ネットワークの速度が低下し、スケーラビリティが制限される。ノードは取引データも保存しなければならず、ブロックチェーンの規模が指数関数的に増大する。
こうした制限に対し、ZK-SNARKが役立つ。これはオンチェーン外で行われた計算の正当性を証明するもので、ノードが計算のすべてのステップを再実行する必要がない。これにより、ノードが余分な取引データを保存する必要もなくなり、ネットワークのスループットが向上する。
SNARKs を使ってオフチェーン計算を検証する際、計算は有効性証明を構成するための数学的式に符号化される。検証者は証明の正当性をチェックする。もし証明がすべてのチェックを通過すれば、基盤となる計算は有効と見なされる。有効性証明のサイズは、それを検証する計算よりも何倍も小さいため、「簡潔(succinct)」と呼ばれる。
ZK-SNARKs を使用するZK Rollupの多くは以下の手順を踏む。
1. L2のユーザーが取引に署名し、バリデータに提出する。
2. バリデータは暗号技術を使って複数の取引を圧縮し、対応する有効性証明(SNARK)を生成する。
3. L1チェーン上のスマートコントラクトが有効性証明を検証し、その取引群がメインチェーンに掲載されるかどうかを決定する。
なお、ZK-SNARKs には「信頼できるセットアップ(trusted setup)」が必要である。この段階で、鍵生成装置がプログラムと秘密パラメータを取り込み、証明の生成と検証に使う二つの公開鍵を生成する。この公開鍵は信頼できるセットアップ儀式で一度だけ共通パラメータを生成すれば、ゼロ知識プロトコルに参加したいすべての当事者が繰り返し利用できる。ユーザーはこのセットアップ儀式の参加者が悪意を持たず、正直であることを信頼しなければならないが、その誠実性を評価する手段はない。秘密パラメータを知れば偽の証明を作成し、検証者を騙すことができるので、潜在的なセキュリティリスクが存在する。現在、研究者はZK-SNARKsの信頼前提を不要とする方式を探っている。
利点
1. セキュリティ
ZK rollupはOP rollupよりも安全なスケーリングソリューションと見なされており、ZK-SNARKsは高度な暗号セキュリティ機構を使用しており、検証者を騙したり悪意のある行為を行うのは非常に難しい。
2. 高スループット
ZK-SNARKsはイーサリアムのベース層の計算量を削減し、メインネットの混雑を緩和する。オフチェーンでの計算により取引手数料が分担され、より高速な取引が可能になる。
3. 小さい証明サイズ
SNARK証明のサイズが小さいため、メインチェーンでの検証が容易になり、オフチェーン取引のガス代が低くなり、ユーザーのコストが削減される。
限界
1. 相対的な中央集権化
ほとんどの場合、信頼できるセットアップに依存している。これはブロックチェーンの非信頼(trustless)という本来の趣旨に反する。
ZK-SNARKsによる有効性証明の生成は計算量の多いプロセスであり、証明者は専用ハードウェアへの投資が必要となる。こうしたハードウェアは高価であり、少数の人しか負担できないため、ZK-SNARKの証明プロセスは高度に集中化されている。
2. ZK-SNARKsは楕円曲線暗号(ECC)を用いて有効性証明の生成に使う情報を暗号化しており、現時点では比較的安全だが、量子コンピューティングの進展によりそのセキュリティモデルが崩壊する可能性がある。
ZK-SNARKs を使用するプロジェクト
Polygon Hermez
Polygonは2021年、2億5000万ドルでHermezを買収し、二つのブロックチェーンネットワークの完全合併の初事例となった。HermezはPolygonの急速に成長するユーザーベースにZK技術とツールを提供し、zkEVM開発の支援を果たした。Hermez 1.0は支払いプラットフォームで、一括の取引をオフチェーンで実行し、ユーザーがERC-20トークンを一つのHermezアカウントから別のアカウントに簡単に移動できるようにする。1秒あたり2000件の取引を処理可能。Hermez 2.0はゼロ知識検証付きのスマートコントラクトを含むイーサリアム取引を透明に実行するzkEVMである。イーサリアムと完全互換であり、スマートコントラクトコードに大きな変更を加えることなく、L1のプロジェクトをPolygon Hermezに展開できる。Hermez 1.0はSNARK-proofsを使用し、2.0ではSNARK-proofsとSTARK-proofsの両方を使用する。2.0では、STARK-proofでオフチェーン取引の有効性を証明する。しかし、STARK-proofのメインチェーン上での検証コストは高いため、SNARK-proofを導入してSTARKを検証する。
zkSync
Matter Labsが2020年にリリースしたzkSync 1.0はスマートコントラクト非対応で、主に取引や送金に使用された。スマートコントラクト対応のzkSync 2.0は2023年3月にメインネットで公開された。
zkSyncはイーサリアムのスマートコントラクト言語SolidityをYulにコンパイルすることでEVM互換性を実現している。Yulは異なるEVM向けのバイトコードにコンパイル可能な中間言語である。LLVMコンパイラフレームワークを使えば、YulコードをzkSyncのzkEVM向けに設計されたカスタムの、回路互換なバイトコードセットに再コンパイルできる。この方法により、高レベル言語からEVM実行の全ステップをzk証明する必要がなくなり、高性能を維持しつつ証明プロセスの分散化が容易になる。今後、Rust、JavaScriptなどの新たな言語サポートを追加するコンパイラフロントエンドを構築することで、zkEVMアーキテクチャの柔軟性と開発者層の拡大が可能になる。
Aztec
Aztecは、パブリックとプライベートのスマートコントラクトを同一環境で実行できる初のハイブリッドzkRollupである。これはzkEVMではなく、ゼロ知識実行環境である。パブリックとプライベートの実行を単一のハイブリッドロールアップに統合することで機密性を実現する。例えば、公開AMMでのプライベート取引、公開ゲーム内の秘話、公開DAOでのプライベート投票などが可能になる。
4.2 ZK-STARKS
ZK-STARKsは信頼できるセットアップを必要としない。ZK-STARKsは「Zero-Knowledge Scalable Transparent Argument of Knowledge」の略称。ZK-SNARKsと比べ、より優れたスケーラビリティと透明性を持つ。
利点
1. 非信頼性(Trustlessness)
ZK-STARKsは、信頼できるセットアップの代わりに公開可能な検証可能な乱数を使用し、参加者への依存を減らし、プロトコルの安全性を高める。
2. より高いスケーラビリティ
基盤となる計算の複雑さが指数関数的に増加しても、ZK-STARKsは証明と検証時間の増加が小さく抑えられる。一方、ZK-SNARKsは線形に増加する。
3. より高いセキュリティ保証
ZK-STARKsは、ZK-SNARKsで使われる楕円曲線方式ではなく、衝突耐性ハッシュ値を暗号化に使用するため、量子コンピュータ攻撃に耐性がある。
限界
1. 大きな証明サイズ
ZK-STARKsの証明サイズは大きいので、メインネットでの検証コストが高くなる。
2. 採用率の低さ
ZK-SNARKsはブロックチェーンにおけるゼロ知識証明の最初の実用化例であり、多くのZK rollupがこれを採用しているため、成熟した開発者エコシステムとツールが整っている。ZK-STARKsもイーサリアム財団の支援を受けているが、それに比べて採用率が低く、基盤ツールの整備もまだ途上である。
ZK-STARKs を使用するプロジェクトは?
Polygon Miden
Polygon Midenは、イーサリアムL2のスケーリングソリューションで、zk-STARKs技術を活用して多数のL2取引を単一のイーサリアム取引に統合し、処理能力の向上と取引コストの削減を実現している。シャーディングなしでも、5秒でブロックを生成でき、TPSは1000以上に達する。シャーディング導入後はTPS1万まで到達可能。ユーザーは15分でPolygon Midenからイーサリアムに資金を引き出せる。Polygon Midenの核となるのは、STARKベースのチューリング完全仮想マシン「Miden VM」であり、これによりコントラクトの形式的検証が容易になる。
StarkEx と StarkNet
StarkExは、特定アプリケーション向けにカスタマイズされた許可型のスケーリングソリューションのフレームワークである。プロジェクトはStarkExを使って低コストでオフチェーン計算を行い、実行の正当性を証明するSTARK証明を生成できる。この証明には12,000~500,000件の取引が含まれる。最後に、証明はチェーン上のSTARK検証器に送られ、検証後にステート更新が受け入れられる。StarkEx上に展開されたアプリには、永続オプションdYdX、NFT L2 Immutable、スポーツデジタルカード取引市場Sorare、マルチチェーンDeFiアグリゲータrhino.fiなどがある。
StarkNetは、誰でもCairo言語で開発したスマートコントラクトを展開できる非許可型L2である。StarkNet上に展開されたコントラクトは相互にやり取りでき、新たなコンポーザブルプロトコルを構築できる。StarkExと異なり、アプリが自ら取引を提出するのではなく、StarkNetのオーダラーが取引をまとめて処理と証明を行う。StarkNetは、他のプロトコルと同期してやり取りする必要がある、あるいはStarkExの適用範囲を超えるプロトコルに適している。StarkNetの開発が進めば、StarkExベースのアプリはStarkNetに移植され、コンポーザビリティを享受できるようになる。
ZK-SNARKs と ZK-STARKs の比較
4.3 再帰的 ZK-SNARKs
通常のZK rollupは一つの取引ブロックしか処理できないため、処理可能な取引数に制限がある。再帰的ZK-SNARKsは複数の取引ブロックを検証でき、異なるL2ブロックから生成されたSNARKsを一つの有効性証明に統合し、L1チェーンに提出できる。L1チェーン上のコントラクトが証明を受け入れれば、すべての取引が有効となり、ゼロ知識証明で最終確定できる取引数が大幅に増加する。
Plonky2は、Polygon Zeroが開発した再帰的ZK-SNARKsを用いて取引を増加させる新しい証明メカニズムである。再帰的SNARKsは複数の証明を一つの再帰的証明に集約することで、証明生成プロセスを拡張する。Plonky2は同じ技術を用いて、新しいブロック証明の生成時間を短縮している。Plonky2は数千の取引を並列に証明生成し、再帰的にそれらを一つのブロック証明に集約するため、生成速度が非常に速い。一方、通常の証明メカニズムはブロック全体の証明を一度に生成しようとするため、効率が低い。さらにPlonky2は、コンシューマー向けデバイスでも証明を生成できるため、SNARK証明に伴うハードウェア集中化の問題を解決する。
5. ゼロ知識ロールアップ vs オプティミスティックロールアップ
ZK-SNARKsとZK-STARKsは、特にゼロ知識ロールアップ(ZK-Rollup)において、ブロックチェーン拡張プロジェクトのコアインフラストラクチャとなっている。ゼロ知識ロールアップとは、ゼロ知識証明技術を用いてすべての計算をオフチェーンに移転し、ネットワークの混雑を緩和するイーサリアムのレイヤー2スケーリングソリューションである。主な利点は、イーサリアムの取引スループットを大幅に向上させつつ、低い取引手数料を維持できること、また取引がロールアップにパッケージ化されると即座に確定されることにある。
現在、イーサリアムのL2スケーリングソリューションにはゼロ知識ロールアップ以外に、オプティミスティックロールアップもある。オプティミスティックロールアップでは、取引はデフォルトで有効と見なされ、即座に実行される。不正な取引が発見された場合(誰かが不正証明を提出した場合)のみ、その取引が取り消される。したがって、セキュリティはゼロ知識ロールアップよりも低い。不正取引を防ぐため、オプティミスティックロールアップにはチャレンジ期間が設けられており、この期間が終わらないと取引が確定しない。これにより、ユーザーが資金を引き出す際に待機時間が生じる可能性がある。
当初EVMはゼロ知識証明技術を考慮して設計されていなかった。イーサリアム創設者Vitalikは、短期的にはゼロ知識ロールアップに技術的複雑さがあるものの、最終的にはスケーリング競争でオプティミスティックロールアップに勝つと考えている。以下にゼロ知識ロールアップとオプティミスティックロールアップの比較を示す。
出典:SUSS NiFT、ChatGPT
6. ゼロ知識証明技術の将来展望
ゼロ知識証明技術は独特な立場にある。近年、この分野の研究推進に多大な努力が注がれており、暗号学および安全通信分野においても多くの成果が生まれている。したがって、学術界や開発者コミュニティにとって興味深い多くの課題が未だに残されている。同時に、ゼロ知識証明技術はさまざまなプロジェクトで活用され、その挑戦と要求を広げ続けている。
注目すべき分野の一つは、ゼロ知識証明技術の「ポスト量子安全性」に関する議論である。公開検証可能なSNARK(簡潔な非インタラクティブ知識証明)は、ゼロ知識技術の中心的要素である。しかし、広く使われている多くの公開検証可能なSNARKスキームは、量子安全性があるとは見なされていない。例えばGroth16、Sonic、Marlin、SuperSonic、Spartanなどがある。これらスキームが依拠する数学的問題は、量子コンピュータの助けを借りて効率的に解けるため、ポスト量子時代の安全性が大きく損なわれる。
学術界では、前処理フェーズのないさまざまな文に対して使用可能な量子安全なゼロ知識証明の探索が活発に行われている。現在最先端の量子安全ゼロ知識証明の例としては、Ligero、Aurora、Fractal、Lattice Bulletproofs、LPK22などが挙げられる。Ligero、Aurora、Fractalはハッシュ関数に基づき、Lattice BulletproofsとLKP22は格子関数に基づいている。いずれの関数も量子安全と見なされている。これらのスキームの普及と効率改善がトレンドとなっている。
ゼロ知識技術の将来に対するもう一つの期待は、攻撃に対する耐性と関連コードの成熟度の向上である。コード量の増加に伴い、さまざまなゼロ知識証明技術向けの安全で審査済みのライブラリやベストプラクティスが増えるだろう。もちろん、今後も発見され、共有されるべき一般的なミスも多く存在する。この分野が成熟し、広く採用され、プロトコルの標準化と異なる実装間の相互運用性が確保されることを期待している。ZKProofというプロジェクトがすでにその取り組みを始めている。
ゼロ知識技術コミュニティで続くもう一つのトレンドは、効率的なアルゴリズムと特殊ハードウェアへのさらなる注力である。近年、証明サイズの縮小や、証明者・検証者の効率化が進んでいる。アルゴリズム、特殊ハードウェア、計算最適化の進歩により、より高速でスケーラブルな実装が可能になるだろう。
既存アルゴリズムの効率化はゼロ知識証明技術の将来のユーザーにとって有利だが、ゼロ知識証明の機能拡大も期待される。過去にはプリプロセッシング型zk-SNARKの実装が多くあったが、今ではアップグレード可能なzk-SNARKの事例も増えている。また、一部のゼロ知識証明技術は、ゼロ知識性よりもその「簡潔性」のために使われることが多い。
最後に、ゼロ知識証明技術のもう一つのトレンドは、機械学習とゼロ知識証明の交差点(ZKML)である。これは、複数の当事者が関与する環境で大規模言語モデルを訓練し、ゼロ知識技術で計算を検証するというアイデアである。これは現在のAIにとって非常に有用であり、この分野では新規プロジェクトの台頭が予想される。
おわりに
本稿を通じて、ゼロ知識証明のブロックチェーン分野での幅広い応用、技術的経路、発展動向、及び直面する課題について理解できたことと思う。ハードウェア技術と暗号学の進展に伴い、ゼロ知識証明は今後さらなる突破を遂げ、デジタル世界にさらなる高速かつ安全なアプリケーションサービスを提供していくだろう。
SUSS NiFTブロックチェーンエコセキュリティアライアンスについて
国際的にリードするブロックチェーンセキュリティ企業BeosinとSUSS NiFTが共同で立ち上げた「SUSS NiFTブロックチェーンエコセキュリティアライアンス」は、大学機関、ブロックチェーンセキュリティ企業、業界協会、フィンテックサービスプロバイダーなど、多様な業界背景を持つ複数の団体によって設立された。初代理事機関にはBeosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、ParityBit、Huawei Cloudが含まれる。今後、アライアンスメンバーは力を合わせ、エコパートナーの力を借りながら、技術的優位性を発揮し、グローバルなブロックチェーンエコシステムにセキュリティ価値を提供し続ける。また、理事会はブロックチェーン関連分野の有識者のさらなる参加を歓迎し、共にブロックチェーンエコシステムの安全を守っていく。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@sussblockchain
