暗号分野におけるプライバシーの発展史

執筆：milian

翻訳：AididiaoJP、Foresight News

あらゆる大きな技術の波は、専用または単一の集団から始まり、その後、汎用または複数集団へと発展していきます。

初期のコンピューターは一度に一つのことしかできませんでした。暗号解読、国勢調査処理、弾道計算などが主な用途で、共有やプログラム可能なマシンとなるのはずっと後のことでした。

インターネットも最初は小規模なピア・ツー・ピアの研究ネットワーク（ARPANET）として始まり、やがて何百万人もの人が共有状態で協働できるグローバルなプラットフォームへと発展しました。

AIも同じ道をたどっています。初期のAIシステムは特定分野に特化したエキスパートモデル（チェスエンジン、レコメンドシステム、スパムフィルターなど）でしたが、やがて汎用モデルへ進化し、異なる分野で働き、新しいタスクに微調整し、他者がアプリケーションを構築するための共有基盤となりました。

技術は常に狭い用途や単一ユーザーのモードから始まり、やがて多ユーザーモードへと拡張されます。

これは、今日のプライバシー技術が正に位置している地点です。暗号世界のプライバシーテクノロジーは、「狭い」および「単一ユーザー」という枠を本格的に超えたことがありません。

今までは。

概要：

プライバシーテクノロジーは計算機、インターネット、AIと同じ発展軌跡をたどっている：専用・単一ユーザーから汎用・多ユーザーへ。

暗号プライバシーは、初期ツールが共有状態をサポートできなかったため、狭い単一ユーザーモードに閉じ込められていた。

プライバシー1.0は表現力の限られた単一ユーザープライバシー：共有状態なし、ゼロ知識証明に主に依存、クライアント側で証明生成、開発者はカスタム回路を記述する必要があり、体験も困難。

初期のプライバシーは、2013年のビットコインのCoinJoin、2014年のMonero、2016年のZcash、そして後のEthereumツールであるTornado Cash（2019年）、Railgun（2021年）から始まった。

多くのプライバシー1.0ツールはクライアントサイドのゼロ知識証明に依存しており、「プライバシーのためのゼロ知識証明」と「検証のためのゼロ知識証明」が混同されている。現在多くの「ゼロ知識」システムはプライバシーではなく検証のために設計されているにもかかわらず。

プライバシー2.0は、マルチパーティ計算や完全準同型暗号を用いた暗号化共有状態の多ユーザープライバシーであり、ユーザーはEthereumやSolanaのパブリック共有状態のように、プライベートに協働できる。

暗号化共有状態は、暗号世界に汎用的な暗号計算機をもたらし、ダークプール、プライバシープール、プライベートレンディング、ブラインドオークション、機密トークン、新しいクリエイティブ市場など、全く新しい設計空間を切り開く。しかも既存の透明チェーン上でも実現可能。

ビットコインがパブリック分離状態をもたらし、Ethereumがパブリック共有状態をもたらし、Zcashが暗号分離状態をもたらし、プライバシー2.0が最後のピース「暗号共有状態」を埋める。

Arciumはこのような暗号計算機を構築しており、アーキテクチャはSuccinctなどの証明ネットワークに似ているが、ゼロ知識証明の代わりにマルチパーティ計算を使い、そのArcisツールはRustをマルチパーティ計算プログラムにコンパイルし、多ユーザー暗号計算を実現する。

プライバシー2.0ベースの新興アプリケーションには、UmbraによるArciumを用いた機密残高と交換のプライバシープール、Pythiaのプライベートチャンスマーケット、Meleeが近日リリース予定のプライベートオッズと裁定の意見市場などがある。

私たちがどのようにここまで来て、暗号共有状態がなぜ重要なのかを理解するには、プライバシーテクノロジーの起源から始める必要がある。

プライバシー1.0

暗号プライバシーの第一の嵐はここで巻き起こった。

ユーザーはミキサー、プライバシープール、プライバシー暗号通貨を通じて、ついにトランザクションのプライバシーを手にした。後に一部のアプリケーションが法的問題に直面し、プライバシーツールが違法行為をどう扱うかについて議論が起こった。

プライバシー1.0は単一ユーザープライバシーモードを始動させた。人々は協調できても、プログラム可能なブロックチェーンのように動的協働はできず、プライバシーの表現力には制限があった。

プライバシー1.0の主な特徴：

共有状態なし、プライバシーは「単一ユーザーモード」、適用範囲に制限

主にゼロ知識証明技術に依存

クライアントサイドのゼロ知識証明はプライバシー性が高いが、複雑なアプリケーションでは速度が遅い

開発者体験が難しく、アプリ構築にはカスタム回路の記述が必要

暗号プライバシーの最初の出現は実はビットコイン上で、ゼロ知識証明など高度な暗号技術が暗号分野に登場するより何年も前である。初期のビットコインプライバシーは真の「暗号学的プライバシー」ではなく、パブリック台帳上の決定的関連性を断ち切る巧妙な協調テクニックに過ぎなかった。

最初は2013年のCoinJoinで、ユーザーはトランザクションのインプットとアウトプットを混ぜて支払い関係を難読化した。これはほとんど暗号技術を使わないが、トランザクションレベルのプライバシーを導入した。

その後、CoinShuffle（2014）、JoinMarket（2015）、TumbleBit（2016）、Wasabi（2018）、Whirlpool（2018）などが登場し、いずれもミキシングプロセスを通じてビットコインの追跡を難しくした。インセンティブや階層的暗号化、UX改善なども加えられた。

これらは強力な暗号学的プライバシーを提供していない。関連性をぼかすだけで、後のゼロ知識証明システムがもたらした数学的保証や非信頼型プライバシーはない。協調、ヒューリスティック、ミキシングのランダム性に依存しており、形式的な匿名性の証明はない。

プライバシー暗号通貨

Moneroは2014年に登場し、完全なプライバシーブロックチェーンでプライベートな送金を実現する初の本格的試みとなった。透明なブロックチェーンの付加的プライバシーツールではなく、それ自体が目的となっている。モデルはリング署名による確率的プライバシーで、各トランザクションはデフォルトで本物の入力を16個のダミー署名に混ぜる。実際にはMAPデコーダなどの統計的・ネットワーク層の攻撃で匿名性が弱まる場合もある。将来的なFCMPアップグレードでは匿名セットをチェーン全体に拡張予定。

Zcashは2016年に登場し、Moneroとは全く異なる道を選んだ。確率的プライバシーではなく、設計段階からゼロ知識証明トークンを目指していた。zk-SNARKsによるプライバシープールを導入し、ユーザーに暗号学的プライバシーを提供。正しく使えば送信者、受信者、金額情報を漏らさず、プールにトランザクションが多いほど匿名性が増す。

Ethereumのプログラマブルプライバシーの登場

Tornado Cash（2019）

Tornado Cashは2019年に登場し、Ethereumで初めてプログラム可能なプライバシーを実現した。プライベート送金に限定されていたが、ユーザーは資産をスマートコントラクトミキサーに預け、ゼロ知識証明で引き出し、透明な台帳上で真のプライバシーを得られた。Tornadoは広く合法に使われていたが、北朝鮮による資金洗浄に大量利用され、深刻な法的トラブルに陥った。これにより、資金プールの健全性維持のために違法行為者を排除する必要性が浮き彫りになり、現代のプライバシーツールの多くがこの措置を講じている。

Railgun（2021）

Railgunは2021年後半に登場し、Ethereumのプライバシーを単純なミキシングから一歩進め、プライベートなDeFiインタラクションを実現した。入出金のミキシングだけでなく、ユーザーはゼロ知識証明を使ってスマートコントラクトとプライベートにやり取りでき、残高、送金、オンチェーン操作を隠しつつEthereumで決済ができる。これはTornadoモデルから大きな進歩で、単純なミキシング-引き出しのサイクルではなく、スマートコントラクト内に継続的なプライベート状態を提供する。Railgunは今も活発で、一部のDeFiコミュニティで採用されている。Ethereum上で最も野心的なプログラマブルプライバシーの試みの一つだが、ユーザー体験が主な課題である。

先に進む前に、いまだ根強い誤解を明確にしておく必要がある。ゼロ知識証明システムが普及するにつれ、「ゼロ知識」と名が付けばプライバシーだと思う人が増えた。しかしそれは正しくない。現在「ゼロ知識」と名乗る技術の多くは実際は有効性証明であり、スケーリングや検証には強いが、プライバシーは全く提供しない。

マーケティングと現実の乖離から、長年「プライバシーのためのゼロ知識証明」と「検証のためのゼロ知識証明」が混同されてきたが、両者は全く別の問題を解決している。

プライバシー2.0

プライバシー2.0は多ユーザーモードのプライバシー。ユーザーはもはや単独で行動するのではなく、プログラム可能なブロックチェーンのようにプライベートに協働できる。

プライバシー2.0の主な特徴：

暗号化共有状態でプライバシーが「多ユーザーモード」に突入

マルチパーティ計算と完全準同型暗号に基づく

プライバシーの信頼仮定はマルチパーティ計算に依存。完全準同型暗号も同じ仮定で、暗号化共有状態の閾値復号にはマルチパーティ計算が必要

回路は抽象化され、開発者はカスタム回路を書く必要がない（必要な場合を除く）

これは暗号計算機を通じて実現され、複数人が暗号化状態で協働できる。マルチパーティ計算と完全準同型暗号が基盤技術で、どちらも暗号化データ上の計算をサポートする。

これは何を意味するのか？

EthereumやSolanaを駆動する共有状態モデルが、今やプライバシー条件下で実現できる。これは単発のプライベートトランザクションでも、単に何かをプライベートに証明するツールでもない。汎用の暗号計算機である。

これにより暗号分野に未曾有の設計空間が解放される。その理由を理解するには、暗号世界の「状態」進化を振り返る必要がある：

ビットコインがパブリック分離状態をもたらし

Ethereumがパブリック共有状態をもたらし

Zcashが暗号分離状態をもたらした

ずっと欠けていたのは暗号共有状態だった。

プライバシー2.0がこの空白を埋めた。新たな経済やアプリケーション、前例のない分野が生まれる。私見では、これはスマートコントラクトやオラクル以来、暗号分野最大のブレイクスルーだ。

Arciumはこの種の技術を構築している。

アーキテクチャはSuccinctやBoundlessのような証明ネットワークに似ているが、ゼロ知識証明による検証実行ではなく、マルチパーティ計算で暗号化データ計算を実現する。

SP1やRISC ZeroがRustをゼロ知識証明プログラムにコンパイルするのとは異なり、ArciumのArcisはRustをマルチパーティ計算プログラムにコンパイルする。簡単に言えば「暗号計算機」だ。

もう一つの例えは「プライバシー領域のChainlink」。

チェーンや資産に依存しないプライバシー

Arciumの設計はブロックチェーン非依存で、あらゆる既存のブロックチェーンに接続でき、EthereumやSolanaなど透明チェーン上で暗号化共有状態を実現できる。ユーザーは慣れ親しんだエコシステムを離れる必要なくプライバシーを得られる。まずSolanaでリリースされ、メインネットAlphaは今月公開予定。

ZcashやMoneroはプライバシーを自らの通貨に埋め込んでいる。それは有効だが、独自の変動性を持つ通貨世界をも生み出している。Arciumは資産非依存のアプローチで、ユーザーが既に保有する資産にプライバシーを付与する。アプローチもトレードオフも異なるが、柔軟性はユーザーにとって重要だ。

これにより、プライバシーが必要なほぼすべてのユースケースが暗号計算上で動作可能となる。

Arciumの影響は暗号分野を超える。ブロックチェーンではなく暗号計算機であり、同じエンジンは伝統産業にも明確に応用できる。

ゼロからイチへのアプリと機能

暗号化共有状態は、暗号世界に前例のない設計空間をもたらす。そのため、以下のようなアプリが次々と登場している：

@UmbraPrivacy：Solanaのプライバシープール。UmbraはArciumを使い、Railgunではできなかった機能（機密残高やプライベートスワップ）を実現し、送金はゼロ知識証明で処理する。最小限の信頼モデルで単なるプライベート送金を超える機能を提供し、統一されたプライバシープールSDKにより、どのプロジェクトもSolanaの取引プライバシーを統合可能。

@PythiaMarkets：スポンサーにプライベートウィンドウを提供するチャンスマーケット。新しい情報市場で、スカウトが未発掘のチャンスに賭け、スポンサーはアルファを漏らさずに情報を発見できる。

@MeleeMarkets：バインディングカーブ付き予測市場。Pumpfunに似ているが、予測市場用。早く参加するほど価格が良い。意見市場も開発予定で、ユーザーは本音を表明でき、オッズや裁定はプライベートに行われ、群集崩壊やオラクル操作の問題を解決。Arciumが意見市場・プライベート裁定の必要なプライバシーを提供。

ダークプール：@EllisiumLabs、@deepmatch_enc、Arciumのダークプールデモなどが、暗号共有状態を活用し、プライベートなトレードでフロントランやクオート消失を防ぎ、最良執行価格を実現。

オンチェーンゲーム：Arciumは暗号共有状態内で隠し状態やCSPRNG乱数を動かし、秘密性と公平なランダム性を回復。ストラテジーゲーム、カードゲーム、霧の中の戦争、RPG、ブラフゲームなどがついにオンチェーンで実現可能に。既に複数のゲームがArcium上で稼働中。

プライベートパーペチュアル、プライベートレンディング、ブラインドオークション、暗号機械学習予測や協働AIトレーニングも、今後有望なユースケースである。

これらの例以外にも、プライバシーが必要なほぼ全てのプロダクトが構築できる。Arciumは汎用暗号実行エンジンを通じて開発者に完全なカスタマイズ性を提供し、UmbraはSolanaの送金・スワップ用SDKも提供している。両者の組み合わせで、Solana上でのプライバシーは複雑システムにも単純統合にも直接実現できる。

機密SPL：Solana新プライバシートークン標準

Arciumは同時にC-SPL（Solana Confidential SPL Token Standard）も構築している。これは従来のSolana「プライバシー1.0」トークン標準の課題（統合困難、機能制限、オンチェーンプログラムで使えないなど）を解決。C-SPLはこれを改善し、プライバシートークン普及の障壁を取り除く。

これにより、プライバシートークンをどんなアプリにも容易に統合でき、ユーザー負担も増えない。

SPL Token、Token-2022、プライバシー送金拡張、Arciumの暗号計算を統合することで、C-SPLはSolanaの機密トークンに実用性と完全なコンポーザビリティを提供する。

まとめ

私たちはまだこの発展の初期段階にあり、領域はどの単一技術よりも広い。ZcashやMoneroは独自分野で重要な問題を解決し続けており、初期プライバシーツールもその可能性を示した。暗号共有状態は、多ユーザーが同一状態でプライベート操作でき、既存エコシステムを離れる必要がないことで、全く異なる次元の問題を解決する。これは空白を埋めるのであり、過去を置き換えるものではない。

プライバシーは、選択的な専門機能から、アプリ構築の中核要素へと徐々に変化している。もはや新しい通貨、新しいチェーン、新しい経済システムを必要とせず、単に開発者の能力の幅を拡張するものだ。前時代がパブリック共有状態を基盤としたなら、次の時代は暗号共有状態でその基盤を拡張し、今まで欠けていたレイヤーを加えることになる。