テクニカル分析｜ゼロ知識証明研究の振り返り

免責事項: この記事は個人的な意見を共有するものであり、投資アドバイスを構成するものではありません。

この記事は公開アカウント [GenesiSee] から転載されたものです、元の公開日: 2023 年 1 月 18 日

元リンク：ZK｜ゼロ知識証明研究のレビュー

過去 10 年間で、ブロックチェーン技術は急速に発展し、プライバシーと拡張はブロックチェーン分野における 2 つの大きな関心事となっています。ゼロ知識証明技術は、ブロックチェーン分野におけるプライバシー保護と拡張性における利点により、徐々に世間の注目を集めるようになりました。ゼロ知識テクノロジーにより、開発者はイーサリアムなどの基盤となるブロックチェーンのセキュリティを活用し、ユーザーのプライバシーを保護しながら、dApp トランザクションのスループットと速度を向上させることができます。この記事では、基本概念、理論開発、主流アルゴリズム、オープンソースライブラリ、典型的なアプリケーションなどの側面から開始し、ゼロ知識証明技術に関連するレビューを行います。

01｜基本的な考え方

ゼロ知識証明は本質的に 2 つ以上の当事者が関与する合意、つまり、タスクを完了するために 2 つ以上の当事者が実行する必要がある一連の手順です。ゼロ知識証明を使用すると、一方の当事者 (証明者) が、ステートメント自体の有効性を超える情報を明らかにすることなく、ステートメントが真実であることを別の当事者 (検証者) に証明できます。たとえば、乱数のハッシュが与えられると、証明者は、そのハッシュを持つ数値が実際に存在することを、それが何であるかを明かさずに検証者に納得させることができます。

02｜理論展開

現代のゼロ知識証明システムは、1985 年に Goldwasser、Micali、Rackoff が共同で提案し出版した論文「対話型証明システムの知識の複雑さ」(GMR85) から初めて誕生しました。この論文では、対話型システムでは、K ラウンドの対話の後、、証言が正しいことを証明するためにどれだけの知識を交換する必要があるか、交換する必要がある知識がゼロの場合、それはゼロ知識証明と呼ばれます。

しかし、初期のゼロ知識証明システムは効率性や使いやすさに欠けるため、理論レベルに留まり、急速に発展し始めたのはここ 10 年ほどです。重要な進歩は、Groth が 2010 年の論文「ショートペアリングベースの非対話型ゼロ知識引数」で現在のゼロ知識証明の重要な理論を提案し、ECC アルゴリズムに基づいて O(1) 定レベル ZK を実装したことです。彼は zk-SNARK の理論上の先駆者でもあります。

ゼロ知識証明の応用における重要な発展は、2015 年に Zcash によって使用された、取引と金額のプライバシーを保護するゼロ知識証明システムであり、その後、zk-SNARK とスマートコントラクト、および ZK の組み合わせに発展しました。テクノロジーはより広範囲のアプリケーションに参入しました。

この期間中に、次のようないくつかの重要な研究結果も明らかになりました。

2013 年、ピノキオのプロトコル「ピノキオ: ほぼ実用的な検証可能な計算」は、分レベルの証明、ミリ秒レベルの検証を実現し、証明サイズは 300 バイト未満で、ゼロ知識証明を理論から応用までもたらしました。ピノキオをベースにした改良版。
2016 年に、「Groth16: ペアリングベースの非対話型引数のサイズについて」アルゴリズムによって証明のサイズが合理化され、現在の主流の ZK アルゴリズムの基本アルゴリズムの 1 つになりました。
2017 年に、「Bulletproofs: Short Proofs for Confidential Transactions and More」アルゴリズムが提案され、信頼されたセットアップを必要としない非常に短い非対話型のゼロ知識証明を設計しました。そのため、証明プロバイダーと検証者は、信頼できるセットアップを必要としません。同時にオンラインになり、6か月後にブロックチェーンプロジェクトMoneroに適用されました。
2018 年の論文「zk-STARKs (BBHR18) Scalable, Transparent, and post-quantum secure computational integrity」では、信頼できる設定を必要としないアルゴリズムが提案され、zk-STARK の開発に新たなブレークスルーをもたらしました。重量級 L2 プロジェクト Starkware プロジェクトで使用されます。

さらに、Sonic、Halo、Marlin、Plonk などのアルゴリズムの導入により、zk-SNARK がいくつか改善されました。

2019 年、初期のユニバーサル zk-SNARK プロトコルである Sonic は、ユニバーサルでスケーラブルな参照文字列をサポートしています。Sonic の証明サイズは固定されていますが、検証コストは高くなります。理論的には、複数の証明をバッチで検証して、より良い結果を得ることができます。パフォーマンス。
2019. Fractal、回路の前処理を通じて透過的なセットアップを可能にする再帰対応の zk-SNARK。最大プルーフサイズは 250 KB で、これは他のビルドで生成されるプルーフよりもはるかに大きくなります。
2019 年、Halo は信頼できる設定を必要とせずに再帰的な証拠の組織化をサポートします。他の新しい zk-SNARK ビルドとは異なり、Halo の検証時間は直線的です。
2019 年には、Sonic の改良版である SuperSonic が、検証時間と証明データ量の点で初の実用的な透過型 zk-SNARK となりました。
2019 年、Sonic の改良版である Marlin は証明時間を 10 倍、検証時間を 4 倍短縮しました。
2019 年には、Sonic の改良版である Plonk により、証明時間が 5 分の 1 に短縮されました。

03｜技術概要

3.1 ゼロ知識証明アルゴリズム

現在、ゼロ知識証明の最も主流のアルゴリズムは、zk-SNARKS、zk-STARKS、および Bulletproofs です。以下に 3 つのアルゴリズムを簡単に紹介します。

zk-SNARKs

zk-SNARK（Zero-Knowledge Succinct Non-Interactive Argument of Knowledge）とは、Zero-Knowledge Succinct Non-Interactive Argument of Knowledgeの略で、2012年にカリフォルニア大学バークレー校のアレッサンドロ・キエーザ教授らによって提案されました。「抽出可能な衝突耐性から簡潔な非知識へ」という論文で「知識の対話型議論、そして再び戻る」で提案されており、これは最も初期で最も人気のあるゼロ知識証明実装の 1 つです。非対話型ゼロ知識証明（Non-interactiveproof）とは、証明者が証明情報を与えるだけで、検証者がそれを検証できることを意味し、この過程において検証者と証明者の対話は必要ありません。

zk-SNARK は暗号化に楕円曲線暗号 (ECDSA) を使用しており、ECDSA アルゴリズムは現時点では安全ですが、将来の量子コンピューターの開発により、そのセキュリティモデルが破られる可能性があります。さらに、zk-SNARKs の起動には信頼できるセットアップが必要です。信頼できるセットアップとは、複数の当事者がそれぞれネットワークを起動するための部分キーを生成し、その後そのキーを破棄することを意味します。信頼設定の作成に使用されたキーの秘密が破棄されていない場合、これらの秘密が悪用されて、誤った検証を通じてトランザクションが偽造される可能性があります。

zk-SNARKs は、ブロックチェーンで最も広く使用されているゼロ知識証明として、異なる特性を持つ多くのプロトコルアルゴリズムを開発しており、研究ルートは 2 つの方向に分かれており、1 つは Groth 16 と GKM+18 に基づいており、Sonic 19、PLONK 19 およびその他のアルゴリズムは、効果的な証明システムを維持しながら信頼できる設定を取り除くことに重点を置いており、もう 1 つのタイプは、Ligero 17、Aurora 18、Fractal 19 などのアルゴリズムに代表され、ポスト量子セキュリティに重点を置いています。その中でも、Groth 16 と PLONK 19 は、一定レベルの検証時間を提供するため、現在ブロックチェーン分野で最も広く使用されているゼロ知識証明ソリューションです。

zk-STARKs

zk-STARK (Zero-Knowledge Succinct Transparent Arguments of Knowledge) は、ゼロ知識の簡潔で透明な知識議論を表し、Eli-Ben Sasson によって論文「スケーラブル、透明、およびポスト量子安全な計算整合性」で提案されました。zk-STARK は、zk-SNARK アルゴリズムの技術的進化であり、信頼できる設定への依存という SNARK の弱点を解決し、信頼設定に依存せずにブロックチェーンの検証を完了できるため、ネットワークの立ち上げの複雑さが軽減され、共謀のリスクが排除されます。zk-STARK は、楕円曲線、ペアリング、指数関数の仮定の知識の必要性を回避し、代わりにハッシュと情報理論に依存する、より効率的な暗号化方式を使用するため、量子攻撃に耐性があります。結果として生じるコストは、zk-STARK 証明が zk-SNARK よりも数千倍大きくなりますが、信頼最小化要件または量子コンピューターのあるシナリオでは、このコストはそれだけの価値があります。

弾丸屋根

Bulletproofs (Short Non-interactive Zero-knowledge Proofs) は、スタンフォード応用暗号化グループによって 2017 年の論文「Bulletproofs: Short Proofs for Confidential Transactions and More」で提案された短い非対話型ゼロ知識証明プロトコルです。Bulletproof は SNARK と STARK の利点を考慮しており、信頼できるセットアップなしで実行でき、80% 以上の圧縮率で暗号証明のサイズを 10kB 以上から 1kB 未満に削減でき、同時にトランザクション手数料を削減します。 80%。ただし、Bulletproofs の証明および検証時間は SNARKs および STARKs よりも長くなります。2018年にBulletproofsがプライバシーコインMoneroに適用され、その比較的低い取引手数料、プルーフサイズ、信頼性の欠如により、この分野で大きな注目を集めました。

まとめ

以下は、Matter Labs が提供する 3 つの主流アルゴリズムのパフォーマンス比較表であり、全体として、zk-SNARK の利点がより明白です。

出典: Matter Labs の github コードベース https://github.com/matter-labs/awesome-zero-knowledge-proofs#learn

実験後の 3 種類のアルゴリズムの具体的なパフォーマンスは次のとおりです。

出典: https://docs.google.com/presentation/d/1gfB6WZMvM9mmDKofFibIgsyYShdf0RV_Y8TLz3k1Ls0/edit#slide=id.g443ebc39b4_0_110

以下では、ZK オープンソースライブラリと、ブロックチェーン分野における ZK の代表的なアプリケーションについて説明します。

3.2 オープンソースのアルゴリズムライブラリ

3.2.1 オープンソースライブラリの概要

次の表には、zk-SNARK、zk-STARK、さまざまな言語でサポートされている Bulletproofs オープンソースライブラリ、および複数のアルゴリズムを同時にサポートする Plonky2 など、ゼロ知識証明に関連する 10 を超えるオープンソースアルゴリズムライブラリがリストされています。リストされている ZK ライブラリのほとんどは zk-SNARKs アルゴリズムをサポートしており、その中で Groth16 と PLONK が大多数です。Spartan、Dizk、Nova、libSTARK などの一部のオープンソースライブラリは、特定のアルゴリズム論文の特定の実装であり、学術目的のみを目的としており、エンジニアリング用途には推奨されません。

3.2.2 ベストプラクティス

zk-SNARK などのアルゴリズムライブラリは、計算問題に直接適用することはできません。これを使用する前に、まず問題を正しい形式に変換する必要があります。その最初のステップは、問題を代数回路に変換することです。Circom は Rust で書かれたコンパイラで、代数回路を簡単に構築できます。したがって、ベストプラクティスは、circom ライブラリと ZK アルゴリズムライブラリを組み合わせて計算問題を解決することです。snarkjs を例として挙げると、実際の手順は次のとおりです。

専用の回路言語を使用して証明すべきロジック/制約を記述し、同時にCircomプロジェクトは直接導入できる一般的な安全なツール(楕円曲線点演算、署名検証、ハッシュ化など)のライブラリを提供しています。 ;
Circom のコンパイラを使用して、回路ロジックを低レベル表現 (R1CS) にコンパイルします。
Circom が提供する snarkjs ツールを使用して信頼を設定し、JS 証明コードと Solidity 契約検証コードを生成します。
その後、生成された証明コードを通じてオフチェーンで ZK 証明を生成でき、チェーン上のスマートコントラクトを通じて ZK 証明を検証できます。

出典: https://docs.circom.io/

04｜代表的な用途

現在、ブロックチェーン業界では、特に拡張性やプライバシー保護の観点から、ゼロ知識証明アプリケーションが次々と登場しており、多くの優れたプロジェクトが誕生しています。以下に、ブロックチェーン分野におけるゼロ知識証明の応用生態を、容量拡張とプライバシー保護の観点からまとめます。

4.1 拡張

ブロックチェーンは、自身のパフォーマンスの問題により現在のニーズを満たすことができず、ゼロ知識ベースの拡張ソリューションがブロックチェーンのパフォーマンスのボトルネックを解決すると期待されています。スケーリングとは、分散化とセキュリティを犠牲にすることなく、トランザクション速度とトランザクションスループットを向上させることを指します。

4.1.1 zk ロールアップ

ZK-Rollups は、ゼロ知識証明に基づくレイヤー 2 拡張ソリューションであり、計算をチェーンに転送する、つまり、多数のトランザクションをロールアップブロックにパッケージ化し、ブロックチェーンに有効なブロックを生成することで、ブロックチェーンのスループットを向上させます。レイヤ 1 のスマートコントラクトは、新しい状態を直接適用するための証明を検証するだけで済み、ガスの削減とオンチェーンのセキュリティの向上を実現できます。以下に、ZK テクノロジーに基づくいくつかのブロックチェーン L2 拡張ソリューションを要約します。

zkSync

zkSync は、Matter Labs によって開始されたレイヤー 2 拡張ソリューションであり、ゼロ知識証明に基づくロールアップを使用してイーサリアムネットワークのスケーラビリティを向上させます。現在、このプロジェクトは、決済目的に焦点を当てた 1.0 メインネットワークと、EVM と完全に互換性のある一般的な 2.0 メインネットワークを立ち上げています。

zkSync 2.0 は、イーサリアム上に構築された EVM 互換の L2 ソリューションであり、EVM コードを再コンパイルしてスマートコントラクトの機能を実装し (EVM の Solidity、Yul、Vvper、および zkSync 独自の言語 Zinc を SNARK 互換コードに変換)、ゼロ知識証明を使用します。ロールアップトランザクションを検証するため、zkEVM とも呼ばれます。zkSync 2.0 のアーキテクチャには、zk-Rollup と validium (zkporter) が含まれており、この 2 つの組み合わせは「volition」とも呼ばれ、ユーザーは zk-Rollup と validium のどちらかを自由に選択できます。zkSync 2.0 は、zk-Rollup を通じてオンチェーンデータの可用性を提供し、zkporter を通じてオフチェーンデータの可用性を提供することで、飛躍的なスケーラビリティを実現します。

zkSync の開発チームである Matter labs は合計 4 回の資金調達ラウンドを完了しており、最新ラウンドでは 2022 年 11 月に 2 億米ドルのシリーズ C 資金調達を完了し、資金調達総額は 4 億 5,800 万米ドルに達しました。

スターウェア

StarkWare は、zk-STARK の共同発明者である Eli Ben-Sasson らによって 2018 年に設立された、zkSynk の最大の競合企業です。そのプロジェクトには、starkEx と starkNet (それぞれ zksynk1.0 と 2.0 と比較) が含まれます。StarkEx は、zk-Rollup 用にカスタマイズされた SAAS サービスの提供に重点を置いています。StarkNet は、許可のない分散型ユニバーサル zk-Rollup です。

StarkEx: STARK テクノロジーを活用して、スケーラブルなセルフホスト型トランザクション (トランザクションと支払い) を提供し、DeFi やゲームなどのアプリケーションに SAAS 料金を請求します。主な顧客には、dYdX、ImmutableX、DeversiFi、その他の企業顧客が含まれます。StarkWareは2021年だけでも最大顧客であるdYdXから5,000万ドル以上の収益を受け取ることになるが、dYdXが将来的にStarkWareを離れるというニュースもある。
StarkNet: zk-Rollups に基づくイーサリアム L2 プラットフォームは、starkEx よりも柔軟なオフチェーン拡張機能を提供し、ユーザーは L2 上で直接コントラクトを作成できます。StarkNet は、イーサリアムネットワークと同じ計算と操作を、同程度のセキュリティと優れたスケーラビリティでサポートしており、独自のプログラミング言語 Cairo (STARK 証明可能なプログラムを作成するためのプログラミング言語) をリリースしており、開発者がアプリケーションを作成してデプロイできるようにしています。 StarkNet 上にありますが、既存のイーサリアムエコシステムとは互換性がありません。

StarkWar は 7 回の資金調達ラウンドで総額 2 億 7,300 万米ドルを受け取り、最新のラウンドでは 5 月 22 日に評価額 80 億米ドルで 1 億米ドルのシリーズ D 資金調達を完了しました。

ポリゴン

Polygon は、JayntiKanani らによって 2018 年にインドで設立され、独自のイーサリアムスケーリングツールセットを開発しました。Polygon は ZK (Zero Knowledge) 戦略を積極的に展開しており、ZK テクノロジーの研究と探索に 10 億米ドル以上を投資することを約束しています。彼らは多くの L2 ソリューションを持っていますが、そのほとんどは Hermez、Zero、Miden、Nightfall などの独立したチームやプロジェクトを買収したものであり、4 つの製品には異なる技術的ルートがあります。

Hermez は SNARK テクノロジーに基づいており、主に支払いと送金に重点を置いています。
Zero は、Plonky2 テクノロジーに基づいて、イーサリアム EVM 互換の仮想マシンを提供しており、その主な特徴は、高速プルーフ生成 (通常のコンピュータで 170 ミリ秒) とわずか 45kb のプルーフサイズです。
Miden は STARK テクノロジーに基づいており、トラストレス設定とポスト量子セキュリティが主な特徴で、イーサリアム EVM 互換の仮想マシンを提供します。
Nightfall は、OP-Rollup と ZK-Rollup の技術的利点を組み合わせることにより、スケーラビリティとプライバシーを実現し、より高い実行効率とスループットを実現します。各トランザクションに必要なのは 12kGas のみで、ZK テクノロジーを使用してトランザクションデータのプライバシーを保護します。

2022 年 2 月 7 日、Polygon はネイティブ MATIC トークンのプライベートセールを通じて約 4 億 5,000 万ドルを調達しました。Sequoia Capital India が主導するこの資金調達ラウンドは、Polygon がイーサリアム拡大路線における主導的地位を強化するのに役立ちます。

スクロール

Scroll は、Ethereum 用のネイティブ zkEVM Layer2 ソリューションを構築し、zk-Rollup を使用して Ethereum を拡張し、Ethereum トランザクションをオフチェーンにバンドルし、より多くのトランザクションをより低コストでサポートすることを目指しています。

zkSync と Starkware と比較すると、最初の 2 つのアーキテクチャでは、スマートコントラクトコードを ZK フレンドリーな IR にコンパイルするために特殊なコンパイラが必要です。このアプローチは、ネイティブ EVM 互換ではなく言語互換ですが、Scroll はゼロ知識を構築しています証拠イーサリアム仮想マシン (EVM) は、Scroll エコシステムの開発者が Ethereum 仮想マシンと同等のエクスペリエンスを享受できることを意味します。つまり、ゼロ知識証明 L1 で実行されている dApp はすべて Scroll にデプロイできます。

Scroll は 2021 年初頭に設立され、2022 年 4 月にシリーズ A で 3,000 万米ドルの資金調達を完了し、2022 年 7 月に公開テスト用のプレアルファ版をリリースしました。ロードマップによれば、2023 年にメインネットでリリースされる予定です。。

出典：スクロール公式

zkスペース

zkSpace は、ZKSwap、ZKSea、zkSquare を含む、DEX、NFT、支払いをカバーするフル機能のレイヤー 2 プラットフォームです。その中で、zkSwapは、ZK-Rollup技術とAMMモデルに基づくレイヤー2分散型取引プロトコルであり、分散型取引のコア価値を確保しながらリアルタイム取引を実現することができ、Uniswapのすべての機能をレイヤー2で実現することを目標としています。。ただし、Uniswap と比較して、zkSwap の TPS は数桁向上しており、ユーザーは取引プロセス中にガス料金をほとんど消費する必要がありません。技術的な詳細に関しては、zkSwap は Plonk ゼロ知識証明アルゴリズムに基づいており、より効率的で信頼できる設定を更新できます。

4.2 プライバシー保護

ゼロ知識証明を使用すると、一方の当事者が、その情報の本当の性質を明らかにすることなく、秘密を知っていることを別の当事者に証明できます。ブロックチェーンのコンテキストでは、ゼロ知識証明を使用して、トランザクションの送信者、受信者、金額、その他の機密データを明らかにすることなく、トランザクションの正当性を検証できます。したがって、ゼロ知識証明は、オンチェーンのデータプライバシーを保護する上で大きな役割を果たします。以下に、プライバシー L2、プライバシーパブリックチェーン、プライバシーコインなど、プライバシー保護における ZK テクノロジーのいくつかのアプリケーションをまとめます。

4.2.1 プライバシー L2

アステカネットワーク

Aztec は、イーサリアム初のレイヤー 2 プライバシーブロックチェーンプロジェクトであり、集中型アプリケーションにプライバシーとスケーラビリティを提供することを目的としており、PLONK および zk-SNARK プロトコルの共同発明者でもある著名な暗号学者 Zac Williamson によって設立されました。Aztec は、PLONK ゼロ知識証明メカニズムを使用して、zk-Rollup でゼロから構築された唯一のプロジェクトであり、ユーザーがレイヤー 1 で完全なプライバシーを保ったまま dApps にアクセスできるようにします。10 月 22 日、Aztec は、開発者による ZK アプリケーションの迅速な構築をサポートするために、ゼロ知識汎用言語である Noir を発表しました。

Aztec は、ビットコインのアカウント原則と同様の UTXO モデルを使用します。このモデルでは、紙幣ノートはプロトコル操作の基本単位です。資産が取引されるとき、紙幣の価値は暗号化され、紙幣の所有権が変更され、紙幣レジストリに各紙幣のステータスが記録されます。ユーザーの AZTEC 資産このユーザーアドレスが所有する有効なチケットの合計。イーサリアムの口座モデルとは異なり、UTXO モデルに基づく資産取引は、取引の両当事者の口座の残高ステータスの更新ではなく、紙幣の所有権の変更とみなすことができ、両当事者のみが更新されます。取引に関与している人は、所有権が変更されたことを知っています。

2022年12月、Aztecはa16zが主導し、A Capital、King River、Variant、SV Angel、Hash Key、Fenbushi、AVGの参加を得て1億米ドルのシリーズB資金調達を完了した。

4.2.2 プライバシー L1

来て

Aleo は、完全なプライバシー保護アプリケーションを提供する最初のプラットフォームであり、ゼロ知識証明プライバシー保護に基づくパブリックチェーンです。Aleo の中核は ZEXE (分散型プライバシーコンピューティング台帳システム) であり、ZEXE の中核は暗号化プリミティブに依存して台帳上の計算を実行します。つまり、計算とコンセンサスを分離する分散型プライベートコンピューティング DPC (分散型プライベートコンピューテーション) です。 zkCloud がオフチェーンでトランザクションを実行し、トランザクションの実行後に証明をチェーンに送信することを提供します。証明のみがチェーンに送信されるため、誰もがトランザクションの詳細を確認したり悪用したりすることは技術的に不可能であり、トランザクションのプライバシーが確保されます。Aleo は、zkCloud で実行されるスマートコントラクト (ゼロ知識フレンドリー) を作成するための leo 言語を提供します。マーリンアルゴリズムを使用してプライバシー保護を実現します。これは効率が Groth16 に近く、普遍的で更新可能な CRS をサポートします。このプロジェクトの現在の累計資金調達額は2億2,800万ドルに達し、評価額は約14億5,000万ドルに達します。

パルチザン

Partisia Blockchain は、信頼性、透明性、プライバシー、および公開情報と個人情報のユニバーサルな調整のための高速性を目的として構築された、半許可型のプライバシーパブリックチェーンです。Partisia はブロックチェーン上に追加のデータ保護層を提供し、ユーザーはゼロ知識計算 (ZK 計算) を通じてデータへのアクセスを制御できます。ゼロ知識コンピューティングは、ゼロ知識証明、安全なマルチパーティ計算、完全準同型暗号化およびその他のテクノロジーを統合して、ブロックチェーンにプライバシーと機密性を追加します。MPCプロトコルに基づいて計算当事者のクラスターを構築し、複数の計算ノード上でスマートコントラクトを実行することで、分散データ上であらゆる計算を安全に実行することができ、データがサーバーから流出することがないため、漏洩してはいけない機密情報が漏洩することはありません。漏れた。このプロセスでは、ZK テクノロジーによりプロトコルの正しい実行が保証され、セキュリティしきい値を超える正直なノードが存在する限り、トランザクションの入出力のセキュリティが保証されます。

出典: https://partisiablockchain.com/

マンタネットワーク

Manta Network は、Polkadot のプライバシーパラチェーンです。プライベートトランザクションの原理は、ZK および UTXO モデルに基づいています。資産トランザクション中、受信者の公開キーと一時秘密キーを使用して暗号化されたトランザクションが構築されます。その後、受信者は自分の公開キーを使用して復号化します。成功した場合、トランザクション資産が受信者の資産であることを意味します。このプロセスでは、ZK テクノロジーにより、特に Groth16 ゼロ知識証明アルゴリズムを使用して、送信者が非常に多くの資産を所有していることを確認できます。現在、Manta は信頼できるゼロ知識証明をすでに設定しており、プライバシー決済製品 MantaPay を立ち上げようとしています。今後さらに多くのプライバシー製品が立ち上げられる予定です。

半影

Penumbra は Cosmos 上のプライベートクロスチェーンネットワークであり、Snark アルゴリズムを使用してプライベートトランザクションを実装し、ターゲットを絞った方法で詳細を開示できます。Aztec と同様に、Penumbra は UTXO のようなアカウントモデルを使用します。メモの詳細はチェーンに保存されません。メモの所有権を証明するためにメモのコミットメントのみが保存されます。ただし、それは 1 つのメモから別のメモにのみ導出できます。準同型コミットメントにより、転送の前後で合計値が変わらないことを確認します。トークンを他のチェーンに転送するための IBC プロトコルをサポートします。

ミナプロトカル

ミナは、高度な暗号化と再帰的ゼロ知識証明に基づいた軽量ブロックチェーンを設計しました。snark-Pickles ゼロ知識証明システムに基づいて実装された Pickles は、任意の分岐再帰をサポートする唯一のトラストレス設定 zk-SNARK であり、証明をより小さくし、再帰的証明をより効率的にします。mina はブロックデータをチェーン上に保存せず、代わりにチェーン上にステータスプルーフを保存し、オフチェーンサービスにデータを保存し、トランザクション実行後に生成されたプルーフをチェーンに送信してプルーフを更新します。新しいブロックが生成されるたびに、ミナはブロックシーケンス全体を再検証する必要はありませんが、新しいブロックをサポートするために元の有効性証明に基づいて新しい証明を拡張するだけで済みます。つまり、ブロックチェーン全体の状態をスナップショットとしてキャプチャする必要があります。それを公開し、背景として使用します。新しいブロックのスナップショットを撮ります。したがって、無制限の量の証明情報をチェーンに含めることができますが、スナップショットのサイズは常に約 22 kb に維持され、検証時間は約 200 ミリ秒であるため、軽量のクライアントとモバイルデバイスでシステム履歴を完全に検証できます。また、Mina はプライバシーパブリックチェーンでもあり、証拠を生成するために独自のサービスを実行する必要がある場合に限り、トランザクションのプライバシーをある程度保護できます。

4.2.3 プライバシーコイン

ジーキャッシュ

Zcashはプライバシーコインの創始者とも呼ばれ、最高価格は4,293ドル（約3万元）に達した。Zcash は、ゼロ知識証明技術を導入した最初のプライバシープロジェクトであり、リアルタイムトランザクションと匿名トランザクションを実行できます。そのプロジェクトトークンは ZEC です。Zcash の機密トランザクションのプライバシーは、標準暗号化のハッシュ関数とストリーム暗号に依存しています。トランザクションレコードの送信者、受信者、トランザクション量はチェーン上で暗号化されます。ユーザーは閲覧キーを他の人に提供するかどうかを自分の裁量で選択できます。 (このキーを持つ人だけがトランザクションの内容を見ることができます。) トランザクションの有効性は、zk-SNARK を使用してオフチェーンで検証されます。2022 年 5 月に、Zcash は基礎となる暗号化をアップグレードし、Halo 2 ゼロ知識証明システムの採用を開始しました。Halo2 は、パフォーマンス目標を達成し、プライベートデジタル決済のスケーラブルなアーキテクチャを有効にしながら、信頼できる設定を削除する新しい zk-SNARK です。

トルネードキャッシュ

Tornado Cash は、イーサリアムトランザクションを匿名化するために使用できる、完全に分散化された非保管プロトコルです。実装原理に関して言えば、Tornado Cash は基本的に zk-SNARK ミキシングプールを使用しており、ZKP を使用してソースアドレスとターゲットアドレス間のオンチェーンリンクを切断することでプライバシーの問題を解決できます。信頼できる設定は Groth アルゴリズムに基づいています。

2022年8月、Tornado Cashの開発者Alexey Pertsev氏がマネーロンダリング容疑でオランダで逮捕・投獄され、オンチェーンスマートコントラクトがOFAC（外国資産局）から直接制裁を受けたのは史上初のことだった。コントロール）。

モネロ

Monero (XMR) は、最も初期の有名なプライバシーコインプロジェクトの 1 つであり、Bulletproof テクノロジーを導入した最初のプライバシーコインプロジェクトです。目に見えないアドレス、リング署名、リング機密取引などのテクノロジーを統合することで、Monero は取引の両当事者のアドレスと取引数量を隠すことができ、暗号化デジタル通貨の新たな章を開きます。このうちBulletproofは、リング機密取引については取引金額を隠している。Monero (XMR) は、かつて米国のダークネット取引によって時価総額でトップ 10、さらにはトップ 5 の仮想通貨の 1 つになりました。

ダッシュ

Dash はコイン混合システムを使用して、一定レベルのプライバシーを実現します。通貨混合システムを実装するために、Dash はビットコインネットワークを変革し、マスターノードとマイナーで構成される 2 層ネットワークを確立しました。第 1 層のネットワークでは、マイナーは POW マイニングを使用してネットワークセキュリティを説明し、保護します。第 2 層のネットワークは、プライベートトランザクション、インスタントトランザクション、ネットワーク管理の実行など、通貨混合関連の機能を実装します。Dashの通貨混合システムサービスでは、マスターノードが複数のユーザーの取引を混合し、複数の当事者からの資金を統合して一括して送金するため、取引履歴を追跡することが不可能です。ただし、Dash の通貨混合テクノロジーは取引アドレスを隠すことしかできず、取引金額を隠すことはできません。

セロ

SERO (Super Zero Protocol) は、ゼロ知識証明技術に基づいた新興のプライバシー保護通貨でもあります。匿名取引の分野では、SERO は Monero や Zcash と同じ特徴を持っています。SERO は、Solidity 仮想マシンをサポートすることにより、スマートコントラクトを比較的完全にサポートします。ゼロ知識証明の点では、SERO チームは、100% 匿名トランザクションを実現できる zk-SNARKs に基づく Super-ZK ゼロ知識証明暗号化システムを確立しました。現在の Super-ZK システムは、Zcash の既存のシステムよりも高速です。暗号化速度の点で、桁違いに向上しました。ブロックチェーン開発者は、SERO チェーン上で独自のプライバシートークンを発行して、独自のプライバシーエコシステムを構築でき、これらの新しく発行されたトークンは、SERO コインのようなゼロ知識証明に基づくプライベートトランザクション特性を持つことができます。

4.2.4 プライバシーKYC

zkパス

zkPass は、安全なマルチパーティ計算とゼロ知識証明に基づいた分散型 KYC ソリューションで、ユーザーが Web2 ID 発行者で保持している資格情報を通じて、匿名で第三者 (他のプロジェクト関係者/検証者) に自分の ID 主張を証明できるようにします。Web2 ID 認証情報を匿名認証情報に変換するプロセス全体には、集中サーバー (従来の KYC プラットフォーム) や信頼できるハードウェア (TEE) は必要ありません。zkPass プロトコルは、従来の KYC サービスプロバイダーに代わる完璧な代替品であり、企業とユーザーに高レベルの KYC ソリューションを提供できます。

4.3 上位層アプリケーション

上記のインフラストラクチャに基づいて、ゼロ知識証明テクノロジーは、ゲーム、Defi、NFT、デジタル ID およびその他のトラックの上位層アプリケーションでの拡張とプライバシー保護の能力も実証しています。いくつかのアプリケーションを次の表に示します。

コンテンツソース: https://github.com/ventali/awesome-zk

4.4 概要

上記のアルゴリズムとアプリケーションを組み合わせると、さまざまな典型的なゼロ知識プロジェクトで使用されるアルゴリズムがカウントされます。結果から判断すると、zk-Snarks は現在最も広く使用されているアルゴリズムであり、その中で最もよく使用されている基本アルゴリズムは Groth16 と PLONK であり、zk-Stark は主に StarkWare チームと Polygon チームによって使用されており、BulletProofs の代表的なアプリケーションは Monero です。また、Bulletproofs テクノロジーを適用した最初の主流デジタル通貨でもあります。

05｜概要

この記事の分析によると、ゼロ知識テクノロジーは理論研究と工学的実装の両方で良好な発展を遂げています。ゼロ知識技術を組み込んだプロジェクトが次々と登場しており、ゼロ知識証明技術はブロックチェーン分野において重要な基盤技術となっており、特にイーサリアムなどの基盤チェーンが直面する拡張性やプライバシー保護に関する問題を解決する重要な技術となっている。2022年はゼロ知識証明がブレークスルーを達成する年であり、商業投資の増加により、ゼロ知識は理論研究からより多くの分野に移行すると信じています。

参考文献

1.https://github.com/matter-labs/awesome-zero-knowledge-proofs

2.https://github.com/ventali/awesome-zk

3.https://ethereum.org/en/community/research/#scaling-and-performance

4.https://ethereum.org/en/developers/docs/scaling/

5.https://ethereum.org/en/developers/docs/scaling/zk-rollups/

6.https://zkpass.org/home

7.https://offshift.io/public/blog/2021-11-24-bulletproofs-zksnarks-zkstarks/

8.https://medium.com/minaprotocol/meet-pickles-snark-enabling-smart-contract-on-coda-protocol-7ede3b54c250

9.https://kb.delendum.xyz/zk-knowledge#foundations-of-zksnarks

10.https://docs.circom.io/

11.https://consensys.net/blog/blockchain-explained/zero-knowledge-proofs-starks-vs-snarks/

12.https://eprint.iacr.org/2018/046.pdf

13.https://crypto.stanford.edu/bulletproofs/

過去問題の復習

Polygon: 初のサークル外イーサリアム拡張ソリューション

あずき：NFTメタバースブランドの作成

Uniswap: 不屈の DEX ユニコーン (前編)

コスモス: 分散部族から経済共同体へ

ミラー: ユーザー作成、ユーザー所有

声明: この記事に含まれる内容とデータは、各プロジェクトの公式公開資料から得たものであり、出典が示されています。一部の画像や文章はインターネット上から引用しておりますが、権利を侵害するものがありましたら削除いたしますのでご連絡ください。