私たちはZKの技術史を研究し、次の1000億アプリケーションがその上に秘められていることを発見しました。
イーサリアムのスケーリングシナリオでは、ZKがL2を実現し、Rollup技術の路線が他の競合相手に勝利し、zk-STARKsも徐々に発展してきており、マイニング、GameFi、NFTなどのより一般的な使用シーンを活性化することが期待されています。著者:R3PO
暗号の世界の焦点は、ビットコイン、イーサリアム、DeFi、NFT、メタバース、Web3の間で何度も変遷を経てきましたが、暗号技術そのものへの関心は欠けています。ビットコインの楕円曲線暗号アルゴリズム(ECC)を除けば、他の暗号アルゴリズムは基本的に研究者や開発者の自己満足に留まっています。
R3POは、これでは十分に分散化されておらず、Web3のさらなる拡張を著しく妨げると考えています。暗号学はブロックチェーンの基盤であり、少数の人々に掌握されるべきではなく、より広い分野に広がるべきです。
R3POは、新しい書き方のパラダイムを用いて用語の意味を説明し、専門性と可読性の両立を図り、機関投資家、プロジェクト側が発展の中に潜む投資機会、起業方向、切り口を見出し、未発掘のα収益を探し出すことに尽力しています。
最近注目を集めているゼロ知識証明技術は、依然として進化し続ける細分化された分野ですが、その技術自体は十分に広範な応用シーンを持っています。したがって、その全景を整理することは非常に重要です。
ゼロ知識証明技術(Zero-Knowledge Proof)は新しい概念ではなく、詳細に整理すると、これまでに40年の発展を経て、多くのモデルと応用が誕生しています。
Web3時代に入ると、2017年にはV神がイーサリアムにおけるZK技術の使用潜力に注目していました。最近、Starkwareが1億ドルの資金調達を行い、総資金調達額は2.25億ドルに達しました。これは、機関が公チェーンレベルの評価と潜在能力でZK技術を見ていることを示しています。これは長期的な激闘の分野となり、より多くの投資機会が明らかになるでしょう。
20年を遡ると、R3POはZKの発展が少なくとも一甲子の寿命を持つと考えています。したがって、ZKの発展の全体像を描くには、根本に立ち返り、その発展の論理を明確にし、次の潜在的な機会を見つける必要があります。
本シリーズの初回は、ゼロ知識証明から始まり、ZKがL2領域にのみ適用されるという固有の観念を超え、皆さんに新しい体系的な認識を提供します。
ゼロからの出発:ZKの組み立てプロセス
1982:財は外に出さず、高低を分ける
富の追求は古くから存在し、項羽は「富貴は故郷に帰らず、衣を錦にして夜行する」と言いましたが、あまりにも多くの富は他人の嫉妬を引き起こします。では、富の量を暴露せずに比較する方法はないのでしょうか?
1982年、後のチューリング賞受賞者である姚期智はこの問題を考えました。これが有名な百万長者問題であり、数学的な過程は省略しますが、概ねの運用モデルは以下の通りです。
アリスとボブは、自分の富の量を表す数字iとjを選び、値の範囲は1-10の間です。
アリスはiを一方向暗号化し、暗号化された結果kをボブに送信します。ボブはiに関連する新しい値を得ます。
ボブはkを計算して新しい値mを得て、それをアリスに返します。この時、アリスはmとiの関係を判断できます。
このプロセスは続けられ、双方は情報を暴露することなく最終的に比較を完了できます。
もちろん、上記のプロセスは完全ではありませんが、私たちは確かに二者間で、情報を暴露することなく計算を行うことができることを示しています。もし二者を多者に拡張し、範囲を広げれば、これは典型的な多者安全計算MPC(Secure Multi-party Computation)問題となります。
百万長者問題はZK議論の出発点です:
富の情報を暴露せず、ゼロ知識の定義に合致する。
第三者を介さず、二者または参加者間の直接的な相互作用を考察する。
1985:ゼロ知識証明の登場
1985年、Goldwasser、Micali、Rackoffは初めてZero-Knowledge Proofモデルを提案しました。正確には「インタラクティブゼロ知識証明」モデルであり、簡単に言えば、複数回の相互作用の前提の下で、ZK技術を用いて真偽や大きさを検証することを許可します。
ここでのゼロ知識は完全に正確ではありません。アリスとボブの相互作用を例にとると、アリスとボブは互いに検証者と証明者になれますが、二者間で伝達される情報は富の量そのものに関係してはいけません。ここでのゼロ知識は、関連性がゼロであることを指し、情報を伝達しないことではありません。
また、インタラクティブとは、複数回の相互作用が可能であり、このプロセスは正しい結果が得られるまで繰り返されます。
これにより、現在知られているZK技術は形を成す第一歩を踏み出しました。その後のすべての発展は、これに基づいて削減や変更が行われます。
1991:非インタラクティブゼロ知識証明
1991年、Manuel Blum、Alfredo Santis、Silvio Micali、Giuseppe Persianoは非インタラクティブゼロ知識証明を提案しました。名前からもわかるように、このアップグレードの重点は非インタラクティブな証明プロセスにあります。つまり、双方間で相互作用を行わずに定理や仮説の真偽を検証することです。これは直感に反するように見えますが、素晴らしい例で説明できます。
アリスとボブは富を得た後、数学者に変身します。アリスはWeb2を離れ、Web3を旅し、その間にZKの研究を続けます。
私たちは、アリスが新しい定理の証明を発見した際に、ボブに明信片を書くことができると仮定します。これにより、彼女が研究で新たな進展を遂げたことを証明します。
これは非インタラクティブなプロセスであり、正確には一方向の相互作用です:アリスからボブへのみ。ボブが返事をしたくても、彼には不可能です。なぜなら、アリスには安定した(または予測可能な)住所がなく、どんな郵便も彼女に届く前に引っ越してしまうからです。
私たちは、ボブが郵便を受け取った時、郵便の内容を確認する必要はなく、「アリスは研究で新たな進展を遂げた」という命題が真であることを確認できます。
非インタラクティブゼロ知識証明は、相互作用の回数を最大1回に減らし、オフライン検証と公開検証を実現します。前者はRollupsの有効性の基盤を築き、後者はブロックチェーンのブロードキャストメカニズムと結びつき、複数回の計算によるリソースの浪費を避けることができます。
これにより、私たちが現在見ているZKはすでに成熟した理論モデルとなりましたが、この時点でのZKは主に数学や暗号学の研究対象であり、ブロックチェーンとはあまり関係がありませんでした。ビットコインの登場後、暗号技術とブロックチェーンが研究の方向性となり、ZKはその中でも際立った存在となりました。
注目すべきは、中本聡自身はビットコインネットワークでのZK技術の使用を排除していなかったことです。むしろ当時のZK技術が未成熟だったため、より安全なECCアルゴリズムを選択しました。ZK自体はLayer1ブロックチェーンに直接適用でき、Zcash、Mina、イーサリアムのイスタンブールアップグレードはすべてゼロ知識証明の関連分野に関わっています。
出会い:SNARKがブロックチェーンに介入
2010-2014 Zcash: SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) の実用化シーン
ビットコインネットワークの登場後、安全性とプライバシーは人々のブロックチェーンに対する初期の認識となりました。市場には、Zerocash/Zcashが使用するSNARKsや、Moneroで使用されるバレット証明Bulletproofs(BP)など、プライバシーに基づく公チェーンとアプリケーションの一連が登場しました。
2010年、Grothは初のECCアルゴリズムに基づくO(1)定数級のZKを実現しました。すなわち、ZK-SNARKsまたはZK-SNARGsです。
SNARGs: Succinct Non-Interactive Arguments
SNARKs: Succinct Non-Interactive Arguments of Knowledge
応用の観点から見ると、今回の改良は「簡潔」Succinct機能にあります。具体的には、SNARKは情報自体のサイズを圧縮することに取り組んでいます。ZCashでは、プログラム回路が固定されているため、多項式検証も固定されており、設定は一度実行するだけで済み、取引の後は入力を変更するだけで再利用できます。
2013年、Pinocchioプロトコルは効率を分単位の証明、ミリ秒単位の検証時間に向上させ、コストは300バイト以内に抑えられました。これがZK-SNARKs技術が初めてブロックチェーン分野に実装された瞬間です。
これにより、ZK技術がプライバシーシーンで機能することが証明され、R3POは今後のプライバシー路線がL2から独立して存在する潜在能力を持つと判断しています。AztecはプライバシーDeFi路線の実現可能性を証明しましたが、tornadoが制裁を受けた後、オンチェーンの金融プライバシーは依然として強い需要があり、この方向の投資機会はまだ広く発掘されていません。今後の期待が寄せられます。
さらに、プライバシーコインプロジェクトZerocashは関連アルゴリズムをさらに改良し、SCIPR Labが最適化したzk-SNARKsアルゴリズムを使用しています。理論的条件下で、支払いの出所、受取人、金額を隠し、取引を1KB以内に抑え、検証時間を6ms以内にすることができます。
Mina:再帰的ZKによるデータ圧縮
MinaはイーサリアムL2とは異なり、L1レベルの高性能公チェーンであり、その運行ノードはわずか22KBです。このように小さくできる理由は、再帰を大幅に利用してZK確認の有効性を証明するからです。すなわち、各情報は以前の確認結果を伴います。
ステップ1:zk-SNARKsがノードの有効性を証明し、その証明結果のみを保存します。
ステップ2:再帰呼び出しを通じて、ノードの有効性の正しい伝達と検索を確保し、すべての履歴データを保持する必要がなく、極限のデータ圧縮効果を実現します。
伝達結果の有効性を確保し、全ノードデータを保存するのではなく、これがMinaの有効な証明手段です。一方、イーサリアムL2では、ZK-Rollupが複数の取引データをパッケージ化し、一度の決済で有効性証明を完了することができます。さらに推論を進めると、L2の上にL3やDappアプリケーションを重ねることができ、これらはZKが発展できる細分化されたトラックです。例えば、dYdXは現在Starkex上で運営されており、Starkware上に構築されたL2 ImmutableXもZKの使用潜在能力を証明しています。このトラックの価値は現在も完全には掘り起こされておらず、長期的な投資価値が残っています。
これにより、ZK-Rollupに関するすべての技術要件は基本的に整いました。私たちは十分なZKの基礎知識を装備し、ZKの以下の特徴をまとめることができます。
非インタラクティブ:複数回の検証は不要で、一度の検証で全ネットワークにブロードキャストできます。
ゼロ知識:情報そのものの特性を明かす必要がなく、全ネットワークで公開されることができます。
知識:知識は公開されている、容易に得られる情報ではなく、独自の価値を持つ必要があります。例えば、経済的価値やプライバシー価値などです。
証明:証明は数学的手段によって確認され、安全性は長年の研究と実践によって検証されています。
これらの技術的特徴を組み合わせると、ZKはL2の拡張に自然に適しており、L2に限定されることはありません。ZK技術の他の応用については後文で引き続き発表しますので、皆さんの注目をお待ちしています。
双龍会:STARKが最終的にSNARKに取って代わる
ZK-STARK:開発難易度が10年に及ぶ種選手
両者の違いを比較すると、主にSTARKのSはスケーラビリティを意味し、より大規模なデータの複雑な使用シーンを対象としていますが、全体としてはまだ発展途上の技術路線です。
この記事では具体的なL2間の違いにはあまり触れませんが、一つ明らかなことがあります。StarkWareを除く他のL2プロジェクト、例えばzkSync、Aztec、Loopring、ScrollなどはすべてSNARKs技術路線を採用しています。
その理由は、STARKの開発難易度が非常に高く、現在自社開発が可能なのはStarkWareのみですが、その利点は非常に明確です。SNARKに比べて、より大きな計算量を処理でき、大規模データを扱う際の安全性が高まります。例えば、ゲーム、ソーシャル、NFTなどの方向性です。
さらに、STARK路線は量子攻撃に対する耐性を持つ特性を備えており、今後10年で業界の構図を覆す能力を持つ可能性があります。ビットコインが採用しているECCアルゴリズムは量子解読に対する完全な耐性を持っていませんが、zk-STARKs技術を導入することで、その安全性は大幅に向上します。
イーサリアムL2の構図をまとめると、短期的にはOptimistic Rollup、5年後にはzk-SNARKs路線、10年後にはzk-STARK路線が最終的に勝利するでしょう。
ZK-Rollup:データの上探り、情報の下掘り
zk-STARKsの紹介が終わると、L2拡張のすべての技術的特徴が完備され、Rollupの紹介が欠けています。実際、RollupはZKの検証メカニズムを利用し、データ量の要求から解放されます。L1が合意と決済を担当する前提の下、L2がアプリケーションの日常運営を担当し、ユーザーはL1と直接相互作用する必要がなく、その体験は現在のアプリに非常に近いものになります。
さらに言えば、Rollupは情報のパッケージ化を完了した後、検証された情報を知識として暗号化し、その後L1に伝達します。これにより、安全性、分散化、拡張性の不可能な三角形を打破します。
まとめ
私たちは百万長者問題から出発し、MPC問題を経てゼロ知識証明の領域に移行しました。経済的理由から、インタラクティブなゼロ知識証明はチェーン上の活動には完全には適用できず、非インタラクティブゼロ知識証明が徐々に主流となっています。
Zcashの発展に伴い、SNARKs技術が次第にその中に適用され、ZK技術は単なる暗号学の研究対象からブロックチェーン分野で使用されるエンジニアリング手段へと変貌を遂げ、プライバシー、安全性、効率の面でその役割を果たしています。
イーサリアムの拡張シーンは、ZKがL2を実現し、Rollup技術路線が他の競合を打ち負かし、zk-STARKsも徐々に発展し、マイニング、GameFi、NFTなどのより一般的な使用シーンを活性化することが期待されています。
イーサリアムの外でも、カスタマイズ可能なモジュール化Rollup路線や、1500万ドルの資金調達を完了したEclipseなど、新しいモデルが次第に登場しています。これらのロードマップはMove言語とSolonaネットワークをサポートし、3000万ドルの資金調達を完了したScrollはEVM等価のZK-Rollupを構築することを目指しています。
新しい物語の背後にある推進力はZK技術の認識であり、広く言えば、ZKは「大きくて全体的、長くて遠い」分野です。大規模な資金調達のニュースが次々と発表されることは、市場の受容度が徐々に高まっていることを示していますが、全体的にはまだ新しい分野であり、技術路線だけを見ても「内巻き」の流派が存在します。その中の投資機会は長期的に存在し、基盤インフラに組み込まれるか、具体的な応用シーンに落とし込まれるか、私たちは常に発掘し続ける必要があります。
