暗号化分野におけるプライバシーの発展史
TechFlow厳選深潮セレクト
暗号化分野におけるプライバシーの発展史
暗号化世界のプライバシー技術は、これまで「狭隘」で「単一ユーザー」の枠を真に超えることはできなかった。
Web3業界の深掘り報道に専念し潮流を洞察執筆:milian
翻訳:AididiaoJP,Foresight News
すべての主要な技術的波は、専用または単一群体から始まり、その後、汎用または多群体へと発展する。
初期のコンピュータは一度に一つのことしかできなかった。暗号解読、国勢調査処理、弾道軌道計算などであり、共有可能でプログラマブルなマシンになるのはずっと後のことだった。
インターネットは当初、小規模なピアツーピア研究ネットワーク(ARPANET)にすぎず、後に何百万人もの人々が共有状態で協働できるグローバルプラットフォームへと進化した。
人工知能も同じ経路をたどっている。初期のシステムは特定分野専用の狭域エキスパートモデル(チェスエンジン、推薦システム、スパムフィルターなど)であり、後に複数分野にまたがって動作し、新しいタスクに対してファインチューニング可能で、他者がアプリケーション構築の基盤として利用できる汎用モデルへと進化した。
技術は常に狭域またはシングルユーザー・モードから始まり、一人または一用途向けに設計された後、マルチユーザー・モードへと拡大する。
これがまさに、今日のプライバシー技術が置かれている位置である。暗号世界のプライバシー技術は、これまで真に「狭域」や「シングルユーザー」の枠を脱していなかった。
今こそその時である。
概要:
-
プライバシー技術は、コンピューティング、インターネット、AIと同じ発展経路をたどる:システムは専用・単一ユーザーから始まり、後に汎用・多ユーザーへと進化する。
-
暗号によるプライバシーは、早期のツールが共有状態をサポートできなかったため、狭域なシングルユーザー・モードに閉じ込められていた。
-
プライバシー1.0とは、表現力に制限のあるシングルユーザー・プライバシーである。共有状態なし、主にゼロ知識証明に依存し、クライアント側で証明を生成、開発者はカスタム回路を記述する必要があり、使い勝手が困難。
-
初期のプライバシー技術は2013年のビットコインにおけるCoinJoinから始まり、続いて2014年のMonero、2016年のZcash、そしてその後のイーサリアム用ツール(Tornado Cash(2019年)、Railgun(2021年))などが登場した。
-
多くのプライバシー1.0ツールはクライアント側のゼロ知識証明に依存しており、「プライバシー用のゼロ知識証明」と「検証用のゼロ知識証明」が混同されている。実際、現在多くの「ゼロ知識」システムはプライバシーではなく検証のために設計されている。
-
プライバシー2.0とは、マルチパーティ計算(MPC)または完全準同型暗号(FHE)に基づく、暗号化された共有状態を持つマルチユーザー・プライバシーであり、ユーザーはイーサリアムやSolanaの公開共有状態上で協働するように、プライベートな状態でも協働できる。
-
暗号化された共有状態とは、暗号世界がついに汎用暗号コンピュータを手に入れたことを意味し、ダークプール、プライベートプール、機密貸付、ブラインドオークション、機密トークン、新たなクリエイティブ市場といった全く新しい設計空間を開く。これらは既存の透明なブロックチェーン上でも実現可能である。
-
ビットコインは公開隔離状態をもたらした。イーサリアムは公開共有状態をもたらした。Zcashは暗号化隔離状態をもたらした。プライバシー2.0は最後のピースを埋める:暗号化共有状態である。
-
Arciumはこのような暗号コンピュータを構築している。Succinctなどの証明ネットワークと類似したアーキテクチャを持つが、ゼロ知識証明の代わりにマルチパーティ計算を使用する。そのArcisツールはRustをマルチパーティ計算プログラムにコンパイルし、マルチユーザーによる暗号化計算を実現する。
-
プライバシー2.0に基づく新興アプリには、UmbraがArciumを使って機密残高と交換を可能にするプライベートプール、Pythiaのプライベート機会市場、Meleeが近日リリース予定の私的なオッズと裁定を行う意見市場などが含まれる。
我々がどのようにここまで来たのか、そしてなぜ暗号化共有状態がこれほど重要なのかを理解するには、プライバシー技術の起源から振り返る必要がある。
プライバシー1.0
暗号プライバシーの第一の波がここに起きた。
ユーザーはミキサー、プライバシープール、プライバシー暗号通貨を通じて、ようやく取引のプライバシーを獲得した。しかし一部のアプリケーションは後に法的問題に直面し、プライバシーツールが違法活動をどう扱うべきかという議論を巻き起こした。
プライバシー1.0はシングルユーザー・プライバシーの時代を開いた。人々は調整することはできたが、プログラマブルなブロックチェーン上で動的に協働することはできず、プライバシーの表現力は制限されていた。
プライバシー1.0の主な特徴:
-
共有状態なし。プライバシーは「シングルユーザー・モード」にあり、応用範囲が限定される
-
主にゼロ知識証明技術に依存
-
クライアント側ゼロ知識証明はプライバシー性が高いが、複雑なアプリでは速度が遅くなる
-
開発者体験が困難。カスタム回路を記述してプライバシー・アプリを構築する必要がある
暗号によるプライバシーの最初の試みは実はビットコインにさかのぼり、ゼロ知識証明のような高度な暗号技術が暗号領域に入るよりも何年も前のことだった。初期のビットコイン・プライバシーは真の「暗号学的プライバシー」ではなく、公開帳本上の確定的関連を破断する巧妙な調整手法であった。
最初は2013年のCoinJoinであり、ユーザーがトランザクションの入出力を結合することで支払い関係を曖昧にするものだった。ほとんど暗号技術を使わず、トランザクションレベルのプライバシーを導入した。
その後、CoinShuffle(2014)、JoinMarket(2015)、TumbleBit(2016)、Wasabi(2018)、Whirlpool(2018)などが登場し、いずれもミキシングプロセスによってビットコインの追跡を難しくしたものだった。インセンティブの導入、階層的暗号化、UXの改善などが行われた。
これらはいずれも強力な暗号学的プライバシーを提供していない。関連性をぼかすことはできても、後に登場するゼロ知識証明システムがもたらす数学的保証や非信頼性のプライバシーは提供しない。形式的な匿名性の証明ではなく、調整、ヒューリスティック、ミキシングのランダム性に依存している。
プライバシー暗号通貨
Moneroは2014年に登場し、透明なブロックチェーンに後付けされるプライバシーツールではなく、完全にプライベートなブロックチェーンとして私人送金を実現しようとする初めての真剣な試みだった。そのモデルは環署名に基づく確率的プライバシーであり、各トランザクションで実際の入力がデコイ署名16個に混ぜられる。実際にはMAPデコーダーなどの統計攻撃やネットワーク層攻撃により有効匿名性が低下する可能性がある。将来のアップグレードFCMPは、匿名集合を全チェーンにまで拡大することを目指している。
Zcashは2016年に登場し、Moneroとはまったく異なるアプローチを採った。確率的プライバシーに依存せず、初めからゼロ知識証明トークンとして設計された。zk-SNARKs駆動のプライバシープールを導入し、ユーザーにデコイ署名の中への隠蔽ではなく、暗号学的プライバシーを提供した。正しく使用すれば、Zcashのトランザクションは送信者、受信者、金額を一切漏らさず、プライバシープール内の各取引によって匿名性がさらに高まる。
イーサリアムにおけるプログラマブルプライバシーの登場
Tornado Cash(2019)
Tornado Cashは2019年に登場し、イーサリアムに初めてプログラマブルプライバシーをもたらした。私人送金に限定されるものの、ユーザーは資産をスマートコントラクトのミキサーに預け、後にゼロ知識証明を使って引き出すことで、透明な帳本上でも真正なプライバシーを獲得できるようになった。Tornadoは広く合法的に利用されたが、DPRKの大規模なマネーロンダリングがこれを利用して行われたことで深刻な法的問題に巻き込まれた。これは資金プールの整合性を維持するために違法行為者を排除する必要性を浮き彫りにした。現代のプライバシーアプリの多くはすでにこの対策を実施している。
Railgun(2021)
Railgunは2021年後半に登場し、イーサリアムのプライバシーを単なるミキシングを超えて、プライベートDeFiインタラクションを実現しようとした。預入・出金のミキシングだけでなく、ユーザーがゼロ知識証明を使ってスマートコントラクトとプライベートにやり取りし、残高、送金、オンチェーン操作を隠しながらもイーサリアム上で決済できるようにした。これはTornadoモデルより大きく前進し、単純な混合→引き出しサイクルではなく、スマートコントラクト内で継続的なプライベート状態を提供する。Railgunは現在も活動中で、特定のDeFiコミュニティ内で採用されている。ユーザーエクスペリエンスが主な障壁ではあるが、イーサリアム上での最も野心的なプログラマブルプライバシーの試みの一つである。
ここで、今なお広く存在する誤解を明確にしておく必要がある。ゼロ知識証明システムの普及に伴い、「ゼロ知識」と表示されているものはすべてプライバシーを意味すると考える人が多い。だがこれは正しくない。現在「ゼロ知識」と称される技術の多くは実際には有効性証明であり、スケーラビリティや検証には極めて優れているが、プライバシーをまったく提供しない。
マーケティングと現実の乖離により長年にわたり誤解が生じ、「プライバシー用のゼロ知識証明」と「検証用のゼロ知識証明」が混同されてきたが、これらはまったく異なる問題を解決している。
プライバシー2.0
プライバシー2.0はマルチユーザー・モードのプライバシーである。ユーザーは個別に行動するのではなく、プログラマブルなブロックチェーン上で協働するように、プライベートに協働できる。
プライバシー2.0の主な特徴:
-
暗号化された共有状態により、プライバシーが「マルチユーザー・モード」に入る
-
マルチパーティ計算(MPC)および完全準同型暗号(FHE)に基づく
-
プライバシーの信頼仮定はマルチパーティ計算に依存。完全準同型暗号も同様の仮定を共有する。なぜなら、暗号化共有状態の閾値復号にはマルチパーティ計算が必要だからである
-
回路が抽象化され、開発者はカスタム回路を書く必要がない(必要な場合を除く)
これは暗号コンピュータによって実現され、複数の人が暗号化された状態上で共同作業できる。マルチパーティ計算と完全準同型暗号が中心的な基盤技術であり、どちらも暗号化データの計算を可能にする。
これはどういう意味か?
イーサリアムやSolanaを駆動する共有状態モデルが、今やプライバシー条件のもとでも存在できるようになった。これは単なる一回限りのプライベート取引でも、何かを秘密に証明するツールでもなく、汎用の暗号コンピュータなのである。
これにより、暗号領域にまったく新しい設計空間が解放される。その理由を理解するには、暗号世界の状態進化を振り返る必要がある:
-
ビットコインは公開隔離状態をもたらした
-
イーサリアムは公開共有状態をもたらした
-
Zcashは暗号化隔離状態をもたらした
ずっと欠けていたのは、暗号化共有状態だった。
プライバシー2.0はこの空白を埋める。それは新たな経済、新たなアプリケーション、かつてない新しい領域を生み出す。私にとって、これはスマートコントラクトとオラクル以来の暗号領域最大のブレイクスルーである。
Arciumはこのような技術を構築している。
そのアーキテクチャはSuccinctやBoundlessなどの証明ネットワークに似ているが、実行検証のためのゼロ知識証明ではなく、暗号化データ計算のためのマルチパーティ計算を使用する。
SP1やRISC ZeroがRustをゼロ知識証明プログラムにコンパイルするのに対し、ArciumのArcisはRustをマルチパーティ計算プログラムにコンパイルする。簡単に言えば、暗号コンピュータである。
別の比喩としては、「プライバシー分野のChainlink」とも言える。
チェーンや資産に依存しないプライバシー
Arciumはブロックチェーン非依存に設計されており、既存のどのブロックチェーンにも接続でき、イーサリアムやSolanaなどの透明チェーン上で暗号化共有状態を実現する。ユーザーは慣れ親しんだエコシステムを離れることなくプライバシーを獲得できる。まずSolana上でローンチされ、メインネットAlpha版は今月リリース予定。
ZcashやMoneroはプライバシーを自らの通貨に組み込んでいる。これは非常に効果的だが、独立したボラティリティを持つ通貨世界を生み出してしまった。Arciumは資産非依存のアプローチを取り、ユーザーが既に持っている資産にプライバシーを追加する。選択肢とトレードオフは異なるが、柔軟性はユーザーにとって重要である。
これを踏まえると、ほぼすべてのプライバシーを必要とするユースケースが暗号計算上で動作可能になる。
Arciumの影響は暗号領域を超えている。これはブロックチェーンではなく、暗号コンピュータである。同一のエンジンは伝統的産業にも明確に適用可能である。
ゼロからイチへのアプリと機能
暗号化共有状態は、暗号世界にかつてない設計空間をもたらす。そのため、以下のようなアプリが登場している。
@UmbraPrivacy:Solanaプライベートプール。UmbraはArciumを使ってRailgunでは不可能だった機密残高とプライベート交換を実現し、同時にゼロ知識証明で送金を処理する。最低限の信頼仮定のもとで、単なる私人送金を超える機能を提供し、統一されたプライベートプールSDKを提供することで、任意のプロジェクトがSolana上の取引プライバシーを統合できる。
@PythiaMarkets:スポンサーに秘匿ウィンドウを提供する機会市場。新たな情報市場で、スカウトが未開拓の機会に賭け、スポンサーはアルファを漏らすことなく情報を発見できる。
@MeleeMarkets:バウンディングカーブ付きの予測市場。Pumpfunに似ているが、予測市場向け。早く参加するほど価格が有利。意見市場を開発し、ユーザーが本音を表明でき、オッズが秘匿され、裁定も秘匿されるようにすることで、群集心理の崩壊やオラクル操作の問題を解決する。Arciumは意見市場と秘匿裁定に必要なプライバシーを提供する。
ダークプール:@EllisiumLabs、@deepmatch_enc、Arciumのダークプールデモなど、暗号化共有状態を使ってプライベート取引を実現し、フロントランニングやクォート消失を回避し、最適な執行価格を得る。
オンチェーンゲーム:Arciumは、暗号化共有状態内で隠し状態とCSPRNG乱数を実行することで、秘密性と公平なランダム性を回復する。戦略ゲーム、カードゲーム、戦争迷彩、RPG、ブラフゲームがついにオンチェーンで可能になる。すでに複数のゲームがArcium上で稼働している。
プライベートペルペット、プライベートレンディング、ブラインドオークション、暗号化機械学習予測、協働型AIトレーニングも、今後の有望なユースケースである。
これらの例以外にも、ほぼすべてのプライバシーを必要とする製品を構築できる。Arciumは汎用暗号実行エンジンにより開発者に完全なカスタマイズ能力を提供し、Umbraは現在Solanaの送金と交換用SDKも提供している。この二つを組み合わせることで、Solana上でのプライバシー実装が、複雑なシステムにもシンプルな統合にも容易になる。
機密SPL:Solanaの新たなプライバシートークン標準
Arciumは同時に、C-SPL(Solana機密トークン標準)を構築している。これは以前のSolana「プライバシー1.0」トークン標準の課題(統合困難、機能制限、オンチェーンプログラムでの使用不可)を解決する。C-SPLはこれを改善し、プライバシートークンの普及を妨げる摩擦を排除する。
これにより、プライバシートークンをあらゆるアプリに容易に統合でき、ユーザー負担も増えない。
SPL Token、Token-2022、プライベート送金拡張、Arciumの暗号計算を統合することで、C-SPLはSolanaの機密トークンに実用的で完全にコンポーザブルな標準を提供する。
結論
我々はまだこの発展の初期段階にあり、この分野は単一のアプローチよりもはるかに広大である。ZcashとMoneroはそれぞれの領域で重要な課題に継続して取り組んでおり、初期のプライバシーツールはその可能性を示してきた。暗号化共有状態は、既存エコシステムを離れることなく、複数ユーザーが同じ状態でプライベートに操作できるようにすることで、まったく異なる次元の問題を解決する。これは過去を置き換えるのではなく、空白を埋めるものである。
プライバシーは徐々に、選択可能な専門機能から、アプリ構築のコア要素へと変化している。新たな通貨、新たなチェーン、新たな経済システムを必要とせず、開発者の能力範囲を拡張するだけである。前の時代は公開共有状態を基盤として確立した。次の時代は暗号化共有状態によってこの基盤を拡張し、これまで欠けていた層を追加する。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@milianstx
