原文タイトル：《"ZKP+Bitcoin"は何をもたらすのか？》

著者：Kyle Liu, Bing Ventures投資マネージャー

重要なポイント

• ゼロ知識証明はビットコインのプライバシーを向上させることができ、取引の詳細（例えば、金額、アドレス、入力、出力など）を隠しつつ、取引の有効性と完全性を保持することができるため、第三者による追跡やユーザーの取引活動の分析を防ぐことができます。
• ゼロ知識証明はビットコインのスケーラビリティを向上させることができ、取引データのサイズと検証時間を削減します。例えば、ZK-STARKsやその改良版を使用することで、複数の取引をまとめて、ゼロ知識証明を用いてそれらを検証することができ、スペースと時間を節約できます。
• ゼロ知識証明はビットコインの革新性を向上させることができ、より多くの機能やアプリケーションをサポートします。例えば、ZK-SNARKsを使用することで、情報を公開せずに、より複雑で柔軟な契約を実行することができます。
• 最終的に、ゼロ知識証明はビットコインをより信頼不要で分散型にし、そのコアバリューに合致させます。技術の進化と改善が進むにつれて、ビットコインとZKPの可能性も引き続き探求されるでしょう。

ますます多くのチームがブロックチェーンインフラストラクチャやdAppにゼロ知識証明技術を採用しています。しかし、ほとんどのプロジェクトはイーサリアムを基盤に開発されています。しかし、ビットコインとゼロ知識証明は実際には天然の結合遺伝子を持っており、この分野は現在、必要な注目を欠いています。ゼロ知識証明技術とビットコインの結合は、ビットコインネットワークにどのような力をもたらす可能性があるのでしょうか。本号のBing Ventures研究記事では、技術原理と応用の展望の観点からこのテーマを探求します。

ゼロ知識証明（ZKP）は、ある一方（証明者）が他方（検証者）に対して、証明に関する情報を提供することなく、事実を証明することを可能にする数学的手法です。この手法はプライバシーを保護するのに非常に効果的で、証明者は証明を提供しながら、証明自体に関する情報を漏らすことはありません。

ビットコインはゼロ知識証明と天然に結合する遺伝子を持っています。ビットコインは分散型の仮想通貨で、取引を記録するためにブロックチェーンを使用し、すべての取引情報は公開されています。しかし、これはビットコインの取引情報が誰でも見ることができることを意味し、プライバシー漏洩のリスクがあります。ゼロ知識証明はこの問題を解決できます。

ゼロ知識証明を使用することで、ビットコインユーザーは取引情報を暗号化し、情報を漏らすことなくその有効性を証明することができ、より高いレベルのプライバシー保護を実現できます。ゼロ知識証明はビットコインのスケーラビリティも向上させることができます。現在、ビットコインの取引速度はブロックチェーンのサイズとネットワークの混雑によって制限されており、大規模な商業アプリケーションでの使用が制限されています。しかし、ゼロ知識証明を使用することで、ビットコインユーザーは大量の取引情報をバッチ処理し、その証明のサイズを極小に圧縮することができ、ビットコインのスケーラビリティと効率を向上させることができます。

背景と基本原理：

ZK-SNARKsとZK-STARKs

ZK-SNARKsとZK-STARKsはゼロ知識証明の変種であり、共通点は敏感な情報を漏らすことなく、特定のデータや操作の有効性を証明することです。しかし、実装方法、性能、応用範囲には違いがあります。

ZK-SNARKs（Zero-Knowledge Succinct Non-Interactive Argument of Knowledge）は、楕円曲線暗号学に基づくゼロ知識証明技術です。これは、複雑な計算問題を単純な証明に変換し、証明のサイズが非常に小さく、相互作用を必要としません。これは、ZK-SNARKsが計算情報を漏らすことなく計算の正確性を検証できることを意味します。ZK-SNARKsの応用分野は主に暗号通貨とプライバシー保護です。

ZK-STARKs（Zero-Knowledge Scalable Transparent Argument of Knowledge）は新しいタイプのゼロ知識証明技術で、ZK-SNARKsよりも柔軟で安全です。ZK-STARKsの実装方法は楕円曲線暗号学に依存せず、ハッシュ関数と多項式補間技術を使用しています。これにより、ZK-STARKsはより信頼性が高く、予測不可能な数学的難題に依存せず、ハッシュ関数の不可逆性に依存します。また、ZK-STARKsの証明サイズはZK-SNARKsよりも大きいですが、証明の検証性が優れているため、分散計算やIoTセキュリティなど、より広範な分野に応用できます。

ビットコインにおけるゼロ知識証明の採用の難しさ

Zcashを例にとると、Zcashはゼロ知識証明技術の一つであるZK-SNARKsを採用しており、取引の詳細情報（取引金額、参加者の身元など）を隠すことができ、より良いプライバシー保護を実現します。ZcashがZK-SNARKSの技術原理を採用しているのは大まかに以下の通りです：

• Zcashには2種類のアドレスがあります：透明アドレス（t-address）と隠しアドレス（z-address）。透明アドレスはビットコインアドレスに似ており、ブロックチェーン上で取引金額と参加者が公開されます。隠しアドレスはゼロ知識証明を使用して取引金額と参加者のプライバシーを保護します。
• ユーザーが隠しアドレスから別の隠しアドレスに資金を送信する際、十分な資金を持っていることを示し、既に使用された資金を使っていないことを証明するためにZK-SNARKS証明を生成する必要があります。このプロセスには、公開パラメータの生成、ハッシュの計算、算術回路の構築など、いくつかの複雑な数学的および暗号学的操作が含まれます。
• ZK-SNARKS証明の生成には大量の計算リソースと時間が必要ですが、ZK-SNARKS証明の検証は非常に迅速かつ簡単です。検証者は取引がブロックチェーンのルールに従っているかどうかを確認するだけで、取引金額や参加者に関する情報を知る必要はありません。
• ZK-SNARKSを使用することで、Zcashは完全に匿名で検証可能な取引を実現し、ブロックチェーンの安全性と分散性を維持しつつ、ユーザーのプライバシーと利便性を向上させます。

しかし、Zcashが採用しているゼロ知識証明技術にはいくつかの限界もあります。まず、ZcashはUTXOに基づいているため、取引情報は完全には隠蔽されず、単に遮蔽されています。したがって、攻撃者は取引情報のパターンや流量を分析することで、有用な情報を推測することができます。これにより、Zcashのプライバシー保護の程度は完全に信頼できるものではありません。

次に、Zcashはビットコインの独立したネットワークに基づいているため、他のアプリケーションとの統合が難しくなります。これにより、より広範な範囲での応用の可能性が制限され、さらなる発展が妨げられます。Zcashはプライバシー取引を実現しましたが、実際の使用率は高くありません。その理由の一つは、プライバシー取引のコストが公開取引よりもはるかに高いため、応用範囲が制限されることです。

ZK-STARKsの技術的利点

ビットコインにZK-SNARKs技術を採用することで、取引の匿名性とプライバシー保護を実現できますが、この技術にはいくつかの欠点があります。例えば、信頼できる設定やデバイスが必要であり、大量の計算およびストレージリソースが必要です。これらの問題を解決するために、ZK-STARKs技術などの新しいゼロ知識証明技術が登場しました。

簡単に言えば、ZK-STARKsのプロセスは以下のいくつかのステップを含みます：

• 証明者は証明したい計算を多項式方程式の集合に変換し、秘密情報を変数として使用します。
• 証明者はこの方程式の集合に一連の変換と簡略化を行い、より簡単な方程式の集合を得ます。
• 証明者はこの簡略化された方程式の集合をサンプリングおよびエンコードし、低次元のベクトルを得ます。
• 証明者はこのベクトルをハッシュ化し署名し、短い文字列を得て、これを証明とします。
• 検証者はこの文字列を受け取った後、いくつかの公開パラメータとアルゴリズムを使用してそれが正しいかどうかを検証できますが、秘密情報や元の計算を知る必要はありません。

ZK-SNARKs技術と比較して、ZK-STARKs技術には以下の利点があります：

1. ZK-STARKs技術は信頼できる設定を必要とせず、特定の生成器を信頼する必要がないため、技術の安全性が向上します。
2. ZK-STARKs技術は必要な計算およびストレージリソースが少ないため、軽量デバイスやより広範な応用シナリオに適応しやすくなります。これは、ZK-SNARKsで必要とされる複雑な暗号化および復号化のプロセスに比べて、証明生成プロセスがより効率的であるためです。さらに、ZK-STARKs技術は並列計算や分散計算の能力をより良く活用できるため、特定の状況では計算タスクをより効率的に処理できます。
3. ZK-STARKs技術はハッシュ関数や多項式演算など、より多くのアルゴリズムや操作をサポートできるため、技術の拡張やアップグレードの可能性が広がります。

ビットコインとZK-STARKsの結合

EC-STARKs技術

STARKs技術は新しいタイプの暗号学的証明技術で、データを第三者と通信しながら、データのプライバシーを保持することができます。この技術は、計算およびストレージの検証データをオフチェーンに移動させることで、スケーラビリティを向上させます。ZK-SNARKs技術と比較して、STARKs技術はより先進的で、量子コンピュータからの攻撃に対抗できます。

EC-STARKs技術はSTARKs技術の次世代であり、ハッシュ関数を楕円曲線に置き換えることでビットコインのスケーラビリティと安全性を向上させることを目指しています。この技術により、すでにイーサリアムに存在するスケーラビリティソリューションがビットコインと互換性を持つことができます。EC-STARKs技術を使用することで、ビットコインプロトコルをオフチェーンで実行し、証明をSTARKに保存することができます。

簡単に言えば、ビットコインはSTARK内でシミュレーションされ、同じ楕円曲線の鍵を使用してビットコインに基づくトークンの高度に複雑なプロトコルを構築することを許可します。EC-STARKs技術の使用により、ビットコインのオフチェーンプロトコルを実行しつつ、証明をSTARK内に保持することができます。この方法は、ビットコインのスケーラビリティを向上させるだけでなく、ビットコイン上に高度に複雑なプロトコルを構築することができ、より高いプライバシーを持つことができます。

この技術はビットコインのスケーラビリティとプライバシーを新しいレベルに引き上げ、ビットコインをより良いプラットフォームにします。これにより、開発者はビットコイン上により複雑なアプリケーションを作成でき、ビットコインの暗号通貨市場での地位をより強固にします。

ZK-STARKsのビットコインにおける応用の展望

ZK-STARKsの応用はビットコインの保守的な設計哲学にも合致しており、信頼できる集合を必要とせず、ハッシュ関数、マークルツリー、多項式などの技術を使用して、ビットコインの透明性と安全性を向上させます。EC-STARKSのビットコインにおける一つの利点は、取引の詳細を公開する必要がないため、ビットコインのプライバシーを向上させることができる点です。もう一つの利点は、ビットコインのストレージ要件を削減できることで、大量のデータを小さな証明に圧縮できます。EC-STARKSのビットコインにおける一つの課題は、複雑な数学的計算を実行する必要があるため、より多くの計算リソースが必要です。もう一つの課題は、ビットコインの既存のプロトコルやインフラストラクチャと互換性を持たせるために、より多くの調整と標準化が必要であることです。

技術実装の観点から見ると、ZK-STARKsの応用は軽ノード、フルノード、検証方法などの側面に分けることができます。軽ノードはstark証明を利用してブロックヘッダーの状態を実現し、迅速な同期を行います。フルノードはUTXO状態を通じて有効性証明を実現し、utreexo技術を使用して新しい形式でUTXO状態を表現し、全体のUTXO状態を確認する必要がありません。検証方法に関しては、utreexoルート+最終状態を指定するだけで、受信したブロックの検証を開始できます。

さらに、ZK-STARKsの応用には多くの潜在的な方向性があります。例えば、Taroプロトコルと組み合わせることで、ビットコインをより汎用的な資産にし、ビットコインの応用シナリオをさらに拡大することができます。ZK-STARKsとTAROを組み合わせることで、TAROプロトコルのスケーラビリティを向上させ、より多くの取引を処理し、より大規模なアプリケーションをサポートできるようになります。これにより、TAROプロトコルのマルチチェーン展開の扉が開かれます。また、ビットコインのプライバシーは常に問題であり、ZK-STARKs技術の応用はビットコインのプライバシーを大幅に向上させることができます。ZK-STARKs技術を使用することで、取引の履歴全体を単一の取引に圧縮し、ユーザーの取引情報を効果的に隠すことができます。

未来の展望

さらに進んで、ZK-STARKsはビットコイン取引の検証に使用でき、ビットコイン取引のシリアル化、二重SHA計算、secp256k1操作などを含みます。これらの操作はビットコイン取引検証の核心であり、ZK-STARKsを使用することでビットコイン取引の検証プロセスが高度に安全で信頼性のあるものになります。ZK-STARKsはビットコインの加速Cairo内蔵機能の検証にも使用できます。Cairoは効率的なゼロ知識証明システムであり、ビットコインの加速Cairo内蔵機能と組み合わせて使用することで、高効率のビットコイン取引検証と安全保障を実現できます。

ZK-STARKsはTaro原語と資産TLVシリアル化、MS-SMTの実装と検証などを実現するためにも使用できます。これらの操作はビットコイン取引のプライバシーと安全性を効果的に保護し、ビットコイン取引の信頼性と信頼性をさらに向上させます。ライトニングネットワークはビットコイン取引の二次解決策として、ZK-STARKs技術を組み合わせることで、より効率的で安全なビットコイン取引を実現できます。ZK-STARKs技術を利用することで、取引のプライバシーを犠牲にすることなく、ライトニングネットワーク上のビットコイン取引を迅速に検証できます。

私たちはますます多くのチームがブロックチェーンインフラストラクチャやdAppにゼロ知識証明技術を採用しているのを見ています。その中には、ゼロ知識証明のブロックチェーン空間における応用を加速し、プライバシーとスケーラビリティをより良く支援する可能性のある新しいソリューションもあります。しかし、ほとんどのプロジェクトはイーサリアムを基盤に開発されており、ビットコインはゼロ知識証明の分野で必要な注目を欠いています。さらに悪いことに、エンジニアリングの実践はある意味で学術的な成果に追いついていません。この分野での実施と探求をさらに進める必要があり、同時にこの分野への関心と支援を増やすべきです。