暗号プライバシー技術の進化

執筆：milian

翻訳：AididiaoJP，Foresight News

原題：暗号分野におけるプライバシー発展史

あらゆる重要な技術の波は、専用または単一のグループから始まり、その後、汎用または複数グループへと発展します。

初期のコンピュータは一度に一つのことしかできませんでした：暗号解読、国勢調査の処理、弾道軌道の計算など、長い時間を経てようやく共有・プログラム可能なマシンとなりました。

インターネットも最初は小規模なピアツーピア研究ネットワーク（ARPANET）に過ぎませんでしたが、後に世界規模のプラットフォームへと発展し、何百万人もの人々が共有状態で協働できるようになりました。

人工知能も同じ道を辿っています：初期システムは狭い専門モデルで、特定分野（チェスエンジン、レコメンドシステム、スパムフィルターなど）専用に構築されていましたが、後に汎用モデルへと進化し、分野横断的に作業し、新しいタスクに微調整され、他者がアプリケーションを構築するための共有基盤となりました。

技術は常に狭い、または単一ユーザーモードから始まり、一用途または一人のために設計され、その後多ユーザーモードへと拡張されます。

これこそが、今日のプライバシー技術が位置する場所です。暗号世界のプライバシー技術は、「狭い」および「単一ユーザー」の枠を本当に超えたことがありませんでした。

今までは。

要約：

• プライバシー技術は、計算、インターネット、人工知能と同じ発展軌跡を辿る：システムは専用・単一ユーザーから始まり、後に汎用・多ユーザーへ。

• 暗号プライバシーは初期ツールが共有状態をサポートできなかったため、狭い単一ユーザーモードに閉じ込められていた。

• プライバシー1.0は表現力が限られた単一ユーザープライバシー：共有状態なし、主にゼロ知識証明に依存、クライアント側で証明生成、開発者はカスタム回路を記述する必要があり、体験は困難。

• 初期のプライバシーは2013年のbitcoinのCoinJoinから始まり、2014年のMonero、2016年のZcash、そして後のEthereumツールであるTornado Cash（2019）やRailgun（2021）へと続いた。

• ほとんどのプライバシー1.0ツールはクライアント側ゼロ知識証明に依存し、「プライバシーのためのゼロ知識証明」と「検証のためのゼロ知識証明」が混同されているが、現在多くの「ゼロ知識」システムはプライバシーではなく検証のために設計されている。

• プライバシー2.0はマルチパーティ計算または完全同型暗号に基づく暗号共有状態の多ユーザープライバシーであり、ユーザーはEthereumやSolanaのパブリック共有状態と同様にプライベートに協働できる。

• 暗号共有状態は、暗号世界がついに汎用暗号計算機を持つことを意味し、新たな設計空間を切り開く：ダークプール、プライバシープール、プライベートレンディング、ブラインドオークション、機密トークン、新しいクリエイティブマーケットなど、既存の透明チェーン上でも実現可能。

• bitcoinはパブリック分離状態をもたらし、Ethereumはパブリック共有状態をもたらし、Zcashは暗号分離状態をもたらした。プライバシー2.0は最後のピースである暗号共有状態を埋める。

• Arciumはこのような暗号計算機を構築しており、Succinctなどの証明ネットワークに似たアーキテクチャだが、ゼロ知識証明の代わりにマルチパーティ計算を用い、ArcisツールはRustをマルチパーティ計算プログラムにコンパイルし、多ユーザー暗号計算を実現する。

• プライバシー2.0に基づく新興アプリケーションには、UmbraがArciumを使った機密残高と交換のプライバシープール、Pythiaのプライベートオポチュニティマーケット、Meleeが間もなくリリースするプライベートオッズと裁定の意見市場などがある。

私たちがどのように今日に至ったのか、そしてなぜ暗号共有状態がこれほど重要なのかを理解するには、プライバシー技術の起源から語る必要があります。

プライバシー1.0

暗号プライバシーの最初の嵐はここから始まりました。

ユーザーはミキサー、プライバシープール、プライバシー暗号通貨を通じて、ついに取引プライバシーを手に入れました。その後、一部のアプリケーションは法的問題に直面し、プライバシーツールが違法行為をどのように、または扱うべきかについて議論が巻き起こりました。

プライバシー1.0は単一ユーザープライバシーモードを開きました。人々は協調はできても、プログラム可能なブロックチェーンのように動的な協働はできず、プライバシーの表現力は制限されていました。

プライバシー1.0の主な特徴：

• 共有状態なし、プライバシーは「単一ユーザーモード」にあり、アプリケーション範囲は限定的

• 主にゼロ知識証明技術に依存

• クライアント側ゼロ知識証明はプライバシー性が最も高いが、複雑なアプリケーションでは速度が遅い

• 開発者体験は困難で、プライバシーアプリを構築するにはカスタム回路の記述が必要

暗号プライバシーは実はbitcoinで最初に登場し、ゼロ知識証明などの高度な暗号技術が暗号分野に入るよりも何年も早かった。初期のbitcoinプライバシーは本当の「暗号学的プライバシー」ではなく、パブリック台帳の決定的な関連性を断ち切るための巧妙な協調テクニックでした。

最初は2013年のCoinJoinで、ユーザーが取引のインプットとアウトプットを合成し、支払い関係を混乱させました。これはほとんど暗号学を使っていませんが、取引レベルのプライバシーを導入しました。

その後、CoinShuffle（2014）、JoinMarket（2015）、TumbleBit（2016）、Wasabi（2018）、Whirlpool（2018）などのアプリケーションが登場し、いずれもミキシングプロセスに基づきbitcoinの追跡を困難にしました。インセンティブを追加したもの、階層的暗号化やユーザー体験を改善したものもあります。

これらはいずれも強力な暗号学的プライバシーを提供していません。関連性を曖昧にするだけで、後のゼロ知識証明システムがもたらす数学的保証やトラストレスなプライバシーはありません。これらは協調、ヒューリスティック、ミキシングのランダム性に依存し、形式的な匿名性証明には依存していません。

プライバシー暗号通貨

Moneroは2014年に登場し、完全なプライバシーブロックチェーンを真剣に構築しようとした最初の試みであり、プライベート送金を実現するためのものでした。モデルはリング署名による確率的プライバシーに基づき、各取引はデフォルトで16個のダミー署名に本物のインプットを混ぜます。実際には、この設定はMAPデコーダなどの統計攻撃やネットワーク層攻撃によって匿名性が低下する可能性があります。将来のアップグレードであるFCMPは、匿名セットをチェーン全体に拡張することを目指しています。

Zcashは2016年に登場し、Moneroとは全く異なる道を選びました。確率的プライバシーに依存せず、設計当初からゼロ知識証明トークンとして位置付けられています。zk-SNARKsによるプライバシープールを導入し、ユーザーに暗号学的プライバシーを提供します。正しく使えば、Zcash取引は送信者、受信者、金額情報を漏らさず、匿名性はプール内の取引ごとに強化されます。

Ethereumにおけるプログラム可能なプライバシーの登場

Tornado Cash（2019）

Tornado Cashは2019年に登場し、Ethereumで初めてプログラム可能なプライバシーを実現しました。プライベート送金に限定されていましたが、ユーザーは資産をスマートコントラクトミキサーに預け、後でゼロ知識証明で引き出すことで、透明な台帳上で本物のプライバシーを得ることができました。Tornadoは広く合法的に利用されましたが、DPRKによる大規模なマネーロンダリング活動が行われた後、深刻な法的トラブルに巻き込まれました。これにより、プールの完全性を維持するために違法行為者を排除する必要性が浮き彫りになり、現代のプライバシーアプリの多くはこの対策を実施しています。

Railgun（2021）

Railgunは2021年にやや遅れて登場し、Ethereumのプライバシーを単なるミキシングからプライベートDeFiインタラクションへと進化させることを目指しました。単なる入出金のミキシングだけでなく、ユーザーがゼロ知識証明を使ってスマートコントラクトとプライベートにやり取りでき、残高、送金、オンチェーン操作を隠しつつEthereum上で決済できます。これはTornadoモデルより大きな前進で、スマートコントラクト内で持続的なプライベート状態を提供します。Railgunは今も活発で、一部のDeFiコミュニティで採用されています。Ethereum上で最も野心的なプログラム可能プライバシーの試みの一つですが、ユーザー体験が主な障壁となっています。

先に進む前に、今も広く存在する誤解を明確にしておく必要があります。ゼロ知識証明システムが普及するにつれ、多くの人が「ゼロ知識」と付けばプライバシーがあると考えています。しかしこれは正しくありません。現在「ゼロ知識」と謳う技術の多くは有効性証明であり、スケーリングや検証には非常に強力ですが、プライバシーは全く提供しません。

マーケティングと現実のギャップにより、「プライバシーのためのゼロ知識証明」と「検証のためのゼロ知識証明」が混同され、全く異なる問題を解決しているにもかかわらず、長年誤解されてきました。

プライバシー2.0

プライバシー2.0は多ユーザーモードのプライバシーです。ユーザーはもはや単独で行動するのではなく、プログラム可能なブロックチェーンのようにプライベートに協働できます。

プライバシー2.0の主な特徴：

• 暗号共有状態、プライバシーは「多ユーザーモード」へ

• マルチパーティ計算と完全同型暗号に基づく

• プライバシーの信頼仮定はマルチパーティ計算に依存。完全同型暗号も同じ仮定で、共有状態のしきい値復号にはマルチパーティ計算が必要

• 回路は抽象化され、開発者は（必要な場合を除き）カスタム回路を書く必要がない

これは暗号計算機によって実現され、複数人が暗号状態上で協働できます。マルチパーティ計算と完全同型暗号がコア基盤技術であり、どちらも暗号データ計算をサポートします。

これは何を意味するのか？

EthereumやSolanaを駆動する共有状態モデルが、今やプライバシー条件下でも存在できるようになりました。これは一度きりのプライベート取引でも、何かをプライベートに証明するだけのツールでもなく、汎用の暗号計算機です。

これにより暗号分野に全く新しい設計空間が解放されます。その理由を理解するには、暗号世界の状態進化を振り返る必要があります：

• bitcoinはパブリック分離状態をもたらした

• Ethereumはパブリック共有状態をもたらした

• Zcashは暗号分離状態をもたらした

ずっと欠けていたのは暗号共有状態です。

プライバシー2.0はこの空白を埋めました。新しい経済、新しいアプリケーション、前例のない新領域を生み出します。私の見解では、これはスマートコントラクトやオラクル以来、暗号分野で最も重要なブレークスルーです。

Arciumはこのような技術を構築しています。

そのアーキテクチャはSuccinctやBoundlessなどの証明ネットワークに似ていますが、ゼロ知識証明による実行検証ではなく、マルチパーティ計算による暗号データ計算を実現しています。

SP1やRISC ZeroがRustをゼロ知識証明プログラムにコンパイルするのとは異なり、ArciumのArcisはRustをマルチパーティ計算プログラムにコンパイルします。簡単に言えば暗号計算機です。

もう一つの例えは「プライバシー分野のChainlink」です。

チェーンや資産に依存しないプライバシー

Arciumはブロックチェーンに依存しない設計で、既存のどんなブロックチェーンにも接続でき、EthereumやSolanaなどの透明チェーン上でも暗号共有状態を実現できます。ユーザーは慣れ親しんだエコシステムを離れることなくプライバシーを得られます。まずSolanaでローンチされ、メインネットAlpha版は今月リリース予定です。

ZcashやMoneroはプライバシーを自らの通貨に組み込みました。これは効果的ですが、独立したボラティリティを持つ通貨世界も生み出しました。Arciumは資産非依存の道を選び、ユーザーが既に持つ資産にプライバシーを追加します。アプローチとトレードオフは異なりますが、柔軟性はユーザーにとって重要です。

これにより、ほぼあらゆるプライバシーが必要なユースケースが暗号計算上で動作可能となります。

Arciumの影響は暗号分野を超えます。これはブロックチェーンではなく、暗号計算機です。同じエンジンは伝統産業にも明確に適用可能です。

ゼロからイチへのアプリケーションと機能

暗号共有状態は暗号世界に前例のない設計空間をもたらします。そのため、以下のようなアプリケーションが登場しています：

@UmbraPrivacy：Solanaプライバシープール。UmbraはArciumを使い、Railgunでは実現できなかった機能を提供し、機密残高とプライベート交換をサポートしつつ、ゼロ知識証明で送金処理を行います。最低限の信頼仮定で、単なるプライベート送金を超える機能を提供し、統一プライバシープールSDKを備え、どのプロジェクトでもSolana取引プライバシーを実現可能です。

@PythiaMarkets：スポンサーにプライベートウィンドウを提供するオポチュニティマーケット。新しい情報市場で、スカウトが未開拓のチャンスに賭け、スポンサーはアルファを漏らさずに情報を発見できます。

@MeleeMarkets：バインディングカーブ付き予測市場。Pumpfunに似ていますが、予測市場向けです。早く参加するほど価格が有利。意見市場を開発し、ユーザーは本音を表明でき、オッズはプライベートに保たれ、裁定もプライベートに行われ、群集崩壊やオラクル操作問題を解決します。Arciumは意見市場とプライベート裁定に必要なプライバシーを提供します。

ダークプール：@EllisiumLabs、@deepmatch_enc、Arciumダークプールデモなどのプロジェクトは、暗号共有状態を使ってプライベート取引を実現し、フロントランやクオート消失を防ぎ、最良執行価格を得られます。

オンチェーンゲーム：Arciumは暗号共有状態内で隠し状態とCSPRNG乱数を動作させ、秘密性と公正なランダム性を回復します。ストラテジーゲーム、カードゲーム、霧の戦争、RPG、ブラフゲームもついにオンチェーンで動作可能に。複数のゲームがArcium上で稼働中です。

プライベートパーペチュアル、プライベートレンディング、ブラインドオークション、暗号機械学習予測や協調型AIトレーニングも、今後のエキサイティングなユースケースです。

これらの例以外にも、ほぼあらゆるプライバシーが必要なプロダクトが構築可能です。Arciumは汎用暗号実行エンジンで開発者に完全なカスタマイズ能力を提供し、Umbraは現在Solanaの送金・交換用SDKも提供しています。両者の組み合わせで、Solana上でのプライバシー実現が複雑なシステムでもシンプルな統合でも直接可能となります。

Confidential SPL：Solana新プライバシートークン標準

Arciumは同時にC-SPL、すなわちSolanaの機密トークン標準も構築しています。これは従来のSolana「プライバシー1.0」トークン標準の課題（統合困難、機能制限、オンチェーンプログラムで利用不可）を解決します。C-SPLはこれを改善し、プライバシートークン普及の障壁を取り除きました。

これにより、プライバシートークンはどんなアプリにも簡単に統合でき、ユーザーの負担も増えません。

SPL Token、Token-2022、プライバシー送金拡張、Arcium暗号計算を統合することで、C-SPLはSolanaの機密トークンに実用的かつ完全に組み合わせ可能な標準を提供します。

結語

私たちはまだこの発展の初期段階にあり、分野はどんな単一のアプローチよりも広大です。ZcashやMoneroはそれぞれの分野で重要な課題を解決し続け、初期のプライバシーツールはその可能性を示しました。暗号共有状態は、多ユーザーが同じ状態でプライベートに操作し、既存エコシステムを離れることなく利用できることで、全く異なる次元の課題を解決します。これは空白を埋めるものであり、過去を置き換えるものではありません。

プライバシーは徐々に、オプションの専門機能からアプリケーション構築のコア要素へと変わりつつあります。もはや新しい通貨、新しいチェーン、新しい経済システムを必要とせず、開発者の能力範囲を拡張するだけです。前の時代はパブリック共有状態を基盤とし、次の時代は暗号共有状態によってこの基盤を拡張し、これまで欠けていたレイヤーを加えるでしょう。