道は百に通じますか？プライバシーインフラの究極を探る

著者: EQ Labs 出典: equilibrium 翻訳: Shanoba, Golden Finance

私たちのプライバシーシリーズ第1部は、「プライバシー」の意味、ブロックチェーンネットワークにおけるプライバシーとweb2のプライバシーの違い、そしてなぜブロックチェーンでのプライバシー実現が難しいのかについて説明します。

本文の主なポイントは、理想的な最終状態がプログラム可能性を持つプライバシーインフラであり、共有されたプライベートステートを単一の障害点なしで処理できる場合、すべての道はMPCに繋がるということです。また、MPCの成熟度と信頼性の仮定、代替手法の強調、トレードオフの比較、業界の概要についても探求します。

過去の束縛から解放され、未来を迎える

ブロックチェーンに存在するプライバシーインフラストラクチャーは、個人的な支払いや投票など非常に具体的なユースケースを処理するために設計されています。これはかなり狭い視点であり、主に現在のブロックチェーンの用途（トランザクション、送金、およびスペキュレーション）を反映しています。Tom Walpo の言うように、暗号資産はフェルミのパラドックスに苦しんでいます：

個人の自由を拡大するだけでなく、プライバシーは現在の推測的なメタデータを超えてブロックチェーンのデザインスペースを拡大するための前提条件です。多くのアプリケーションは、正常に動作するためにいくつかのプライベートな状態と/または非表示のロジックが必要です：

• 非公開の状態：ほとんどの金融ユースケースは、他のユーザーに秘密にする必要があります（少なくとも）し、いくつかの非公開の状態がないと、多くのマルチプレイヤーゲームの面白さが大幅に低下するでしょう（例えば、ポーカーテーブルの全員がお互いのカードを見ることができる場合）。
• 隠しロジック：一部のユースケースでは、マッチングエンジン、オンチェーン取引戦略などを含め、他の人がアプリケーションを使用できるようにしながら、一部のロジックを隠す必要があります。

証拠分析（web2およびweb3からのもの）は、プライバシーを高めるために追加費用を支払ったり、追加の手続きをスキップしたりすることをほとんどのユーザーが望んでいないことを示しています。私たちはプライバシー自体がセールスポイントではないと同意します。ただし、それは新しい（希望する）意味のあるユースケースがブロックチェーン上で存在できるようにするのに役立ちます-フェルミの逆説から抜け出すことです。

プログラム可能性密码（PET）とモダンな暗号解決策*（“プログラム可能性パスワード”）は、このビジョンを実現するための基本的な構築ブロックです（利用可能なさまざまな解決策とそのバランスについての詳細については付録*） 。

私たちの視点に影響を与える3つの仮定

3つの重要な仮定が、ブロックチェーンプライバシーインフラの発展に対する私たちの見解を決定しています：

1. 暗号化技術はアプリケーション開発者から抽象化されます：ほとんどのアプリケーション開発者は、プライバシーに必要な暗号化技術を処理したくない（またはその方法を知らない）場合があります。彼らに自分自身の暗号化技術を実装し、プライベートなアプリケーション専用チェーン*（例：ZcashやNamada）または公共チェーン*（例：Tornado Cash）上でのプライベートなアプリケーションを構築することは合理的ではありません。これは非常に複雑であり、多くの開発者の設計空間を制限しています（一部のプライバシー保護が必要なアプリケーションを構築することができません）。したがって、暗号化部分の複雑さをアプリケーション開発者から抽象化する必要があると考えています。ここでの2つのアプローチはプログラム可能性隐私インフラ（共有プライベートL1/L2）または“機密即服务”*であり、後者は機密計算の外部委託を可能にします。
2. 多くのユースケース（想像以上に多いかもしれません）では、プライベートな状態を共有する必要があります：前述のように、多くのアプリケーションは、正常に動作するためにいくつかの非公開の状態や/またはロジックが必要です。共有プライベート状態は、同じプライベート状態に対してロングが計算を行うもののサブセットです。中央集権化された第三者に依存してこの問題を解決することもできますが、最小限の信頼を要する方法でこの問題を解決したいと考えています。ゼロ知識証明（ZKP）だけではこれを実現することはできません-信頼できる実行環境（TEE）、完全同型暗号化（FHE）、および/またはロング計算（MPC）など、他のツールを活用する必要があります。
3. より大きなシールドセットはプライバシーを最大限に保護します：情報のほとんどはシールドセットに入るか出る際に漏洩する可能性があるため、このような状況をできるだけ減らす必要があります。複数のプライベートアプリケーションを同じブロックチェーン上に構築することで、同じシールドセット内のユーザー数と取引数を増やすことでプライバシー保護を強化することができます。

プライバシーインフラの終わり

上記の仮定を考慮すると、ブロックチェーンのプライバシーインフラの最終目標は何ですか？すべてのアプリケーションに適した方法はありますか？すべてのアプリケーションを包括できるプライバシーエンハンステクノロジーはありますか？

完全ではないです。これらすべてには異なるトレードオフがありますが、それらが様々な方法で組み合わされていることを見てきました。全体的に、私たちは11種類の異なる方法を特定しました。

現在、ブロックチェーンでプライバシーインフラを構築するための2つの最もポピュラーな方法は、ZKPまたはFHEを利用することです。しかし、どちらも基本的な欠陥が存在しています：

• ZKに基づくクライアント証明を持つプライバシープロトコルは強力なプライバシー保護を提供しますが、同じプライベートステータスに対するロングは許可されません。これにより、開発者が構築できるアプリケーションの種類が制限されます。
• FHEは、暗号化されたデータと共有プライベート状態の計算をサポートしますが、誰がその状態を所有しているか、つまり復号化の秘密鍵を持っているかという問題を提起しています。これは、プライバシー保護の強度を制限し、今日信頼できるプライバシーが明日も同じであることを保証することができない程度のものです。

理想的な最終的な状態が、プログラム可能性を持つプライバシーインフラであり、共有されたプライベートステートを処理することができ、単一障害点が発生しない場合、MPCへの2つのアプローチが可能です。

これら2つの方法は最終的に融合する傾向があるにもかかわらず、MPCの用途は異なります。

• ZKPネットワーク：MPCは共有プライベートステートの計算を実現することで表現力を向上させます。
• FHEネットワーク：MPCは、解読された秘密鍵を個々の第三者ではなく、MPC委員会に配布することによってセキュリティを向上させ、プライバシーを強化します。

議論はより詳細な観点に移りましたが、これら異なる手法の背後にある保証はまだ十分に探索されていません。信頼の仮定がMPCの仮定に還元されることを考慮すると、提起されるべき3つの重要な問題があります：

1. ブロックチェーンにおけるMPCプロトコルが提供するプライバシー保護の強さはどの程度ですか？
2. 技術は十分に成熟していますか？不十分な場合、ボトルネックは何ですか？
3. 保証の強度と導入コストを考慮して、他の方法と比較して意味がありますか？

これらの質問について、より詳しく説明しましょう。

MPCを使用してリスクと弱点を分析する

FHEを使用する解決策があるたびに、人々は常に「誰が復号の秘密鍵を持っていますか？」と尋ねる必要があります。もし答えが「ネットワーク」であるなら、次に尋ねるべきは「このネットワークを構成する実際のエンティティはどれですか？」という問題です。この後者の問題は、あらゆる形式でMPCに依存するユースケースに関連しています。

出典:座間氏のETH CCに関するプレゼンテーション

MPCの主なリスクは、共謀です。つまり、十分な参加者が悪意を持ってデータを解読したり、計算を盗んだりすることです。共謀はオフチェーンで合意でき、悪意のある者が明らかな行動（ランサムウェア攻撃、トークンの無断ミントなど）を取った場合にのみ暴露されます。疑いようのないことですが、これはシステムが提供できるプライバシー保護に重大な影響を与えます。共謀のリスクは次の要因に依存します。

• プロトコルはいくつの悪意のある当事者を許容できますか?
• ネットワークはどのようなパーティーで構成されていますか？彼らの信頼性はどのようですか？
• ネットワークに参加するさまざまなパーティの数とその分布-一般的な攻撃媒体は存在しますか？
• ネットワークは許可が必要ですか、それとも許可は必要ありませんか（経済利益と評判/法的基盤）？
• 悪意行為に対する罰則は何ですか？共謀ゲームは理論的に最適な結果ですか？

1. MPCプロトコルは、ブロックチェーン上でどの程度プライバシー保護を提供できるのでしょうか？

要約すると：私たちが望むほど強力ではありませんが、中央集権的な第三者に依存するよりも強力です。

解読に必要な閾値は選択したMPCスキームによって決まります-主にアクティビティ（「出力の配信を保証する」）とセキュリティのバランスです。非常に安全なN/Nスキームを採用することもできますが、1つのノードがオフラインになるとシステムがダウンしてしまいます。一方、N/2またはN/3スキームはより堅牢ですが、共謀リスクが高くなります。

平衡すべき2つの条件は:

1. 秘密情報は永遠に漏洩しない（例えば、解読鍵） 2.秘密情報は消えない(当事者の1/3が突然去ったとしても)。

選択されたプランは実装によって異なります。たとえば、ZamaのターゲットはN/3であり、Arciumは現在N/Nプランを実施していますが、より高い活性保証（およびより大きな信頼仮定）を備えたプランも後でサポートする予定です。01928374656574839201

このバランスのとれた境界では、妥協案としてハイブリッドソリューションを採用することが一つの選択肢です：

• 高い信頼委員会は、例えば N/3 閾値で秘密鍵処理を行います。
• 計算委員会はローテーションされます。たとえば、N-1のしきい値（または異なる特徴を持つ複数の計算委員会）があり、ユーザーは選択できます。

理論的には魅力的ですが、高信頼委員会との相互作用など、追加の複雑さも導入されます。

信頼されたハードウェア内でMPCを実行して、秘密鍵を安全な領域に共有および保存する別のセキュリティ強化方法です。これにより、秘密鍵共有の抽出や使用をプロトコル定義外の操作に対してより困難にします。ZamaとArciumは少なくともTEEの観点から検討しています。

より微妙なリスクには、社会工学などの周辺事例が含まれます。例えば、MPCクラスタのすべての企業が10年から15年以上の経験を持つ高級エンジニアを雇用しています。

2. 技術は十分に成熟していますか？もし成熟していない場合、ボトルネックは何ですか？

性能の観点から見ると、MPCは通信コストという重要な課題に直面しています。計算の複雑さやノード数の増加に伴い上昇し（より多くの往復通信が必要となります）。ブロックチェーンのユースケースにおいて、これには実際に2つの影響があります：

1. 小規模な演算子セット：通信コストを制御するため、ほとんどの既存のプロトコルは現在、小規模な演算子セットに限定されています。たとえば、Zamaの解読ネットワークは現在、最大で4つのノードしか許容していません（将来的には16に拡張する予定です）。 Zamaがその解読ネットワーク（TKMS）について公開した最初のベンチマークによると、4つのノードだけのクラスタでも、解読には0.5〜1秒かかります（完全なe2eプロセスにはさらに長い時間がかかります）。別の例は、Worldcoinの虹彩データベースに実装されたMPCであるTaceoが実施した3者（2/3が誠実な場合）です。

出典:座間氏のETH CCに関するプレゼンテーション 2. 3. 認可されたオペレーターセット：ほとんどの場合、オペレーターセットは認可されています。これは、私たちが経済的または暗号化のセキュリティではなく、評判や法的契約に依存していることを意味します。無許可のオペレーターセットの主な課題は、人々がオフチェーンで不正をしているかどうかを把握できないことです。また、定期的なキーの再配布や再割り当てが必要で、ノードがネットワークに動的に参加/退出できるようになります。無許可のオペレーターセットは最終目標であり、閾値 MPC（例：Zama）を実現するためにPoSメカニズムをどのように拡張するかについて研究が進められていますが、現時点での最良の進化方向は認可されたルートのようです。

代替案

包括全面的プライバシーパッケージ：

• FHEはプライバシー計算の委任に使用されます
• ZKPは、FHEの計算が正しく実行されているかを検証するために使用されます
• 閾値復号化のためのMPC
• すべてのMPCノードはTEE内で実行され、セキュリティが強化されています

これは非常に複雑であり、多くの未知の極端な状況を導入し、大きな費用がかかり、将来数年間実現することができないかもしれません。 もう1つのリスクは、複数の複雑な概念を重ね合わせることで虚偽の安全感が生じる可能性があることです。 追加される複雑さと信頼の仮定が多ければ多いほど、総合的な解決策の安全性を推論することがより困難になります。

それは価値があるのでしょうか？おそらく価値があるかもしれませんが、より良い計算効率をもたらす可能性のある他の方法を探索する価値があります。プライバシーの保証は少し弱くなるかもしれませんが。SeismicのLyronが指摘したように、私たちは必要なプライバシーレベルと受け入れ可能なトレードオフの基準を満たすために、単に過度に設計するためだけではなく、最も単純な解決策に焦点を当てる必要があります。

1. MPC を使用して汎用計算を直接行います

もしZKとFHEが最終的にMPCの信頼仮定に戻るなら、なぜ直接的にMPCを使用しないのですか？これは合理的な質問であり、Arcium、SodaLabs（Coti v2使用）、Taceo、Nillionなどのチームが試みていることです。注意してください、MPCにはさまざまな形式がありますが、ここでは秘密共有とガーブル回路（GC）に基づくプロトコルを指しており、FHEに基づいたプロトコルではありません。

MPCは既に分散署名やより安全なウォレットなどの簡単な計算に使用されていますが、MPCを用いた一般的な計算における主な課題は通信コストの増加です（計算の複雑さや関与するノードの数の増加に伴い増加します）。

いくつかの方法でコストを削減することができます。たとえば、事前にオフラインでプリプロセスを実行すること（つまり、プロトコルの中で最も費用のかかる部分）-ArciumとSodaLabsはどちらもこれを探求しています。それからオンライン段階で計算を実行し、オフライン段階で生成された一部のデータを消費します。これにより、通信全体のコストが大幅にドロップします。

SodaLabsの下表は、そのgcEVMで異なるオペレーションコードを1,000回実行するのにかかる初期ベンチマーク（マイクロ秒単位）を示しています。*これは正しい方向に進んだ一歩ですが、効率を向上させ、操作子セットを複数のノードに拡張するためにはまだ多くの作業が必要です。

出典:SodaLabs

ZK ベースの方法の利点は、共有プライベートステータスで計算が必要な場合にのみ MPC を使用することです。FHE と MPC の競争はより直接的であり、ハードウェアアクセラレーションに厳密に依存しています。

2. 信頼できる実行環境

最近、人々は TEE に再び興味を持っています。TEE は単独で使用することもできます（TEE ベースのプライベートブロックチェーンまたは協力プロセッサ）、または他の PET（ZK ベースのソリューションなど）と組み合わせて使用することもできます（TEE を使用して共有プライベートステートの計算を行うだけ）。

TEEはいくつかの面でより成熟しており、導入されるパフォーマンスのオーバーヘッドも少ないですが、完璧ではありません。まず、TEEには異なる信頼仮説（1/N）があり、ハードウェアベースのソリューションを提供します。過去のSGXの脆弱性に関する批判はよく聞かれますが、TEE≠Intel SGXであることに注意してください。TEEはハードウェアプロバイダーにも信頼する必要があり、ハードウェアの価格が高価です（多くの人々が手に入れることができません）。物理攻撃リスクを解決する1つの解決策は、重要なタスクを処理するために宇宙でTEEを実行することです。

全体的に見て、TEEは短期間のプライバシーのみが必要なプルーフやユースケース（閾値復号化、ダークプール台帳など）に適しているようです。永続的または長期的なプライバシーに対しては、セキュリティ保障があまり魅力的ではないようです。

3. プライベートDACおよび他のプライバシーを保護するために信頼できる第三者に依存する方法

仲介者のプライバシーは、他のユーザーがアクセスできないようにプライバシーを提供しますが、プライバシーの保証は完全に第三者への信頼に基づいています（単一障害点）。これは「web2のプライバシー」と似ていますが、追加の保証（暗号化または経済的な手段）によって強化され、正しい実行を検証することができます。

Private Data Usability Council(DAC)はその一例です。 DACのメンバーはデータをオフチェーンに保存し、ユーザーはDACがデータを適切に保存し、状態遷移の更新を実行することを信頼します。 もう1つの形式は、Tom Walpoが提案した譲歩シーケンサです。

この方法はプライバシーの観点から大きなトレードオフを伴っていますが、コストとパフォーマンスの観点からは、低価値で高パフォーマンスなアプリケーションにとって唯一の実行可能な代替手段かもしれません（少なくとも現時点では）。例えば、Lens ProtocolはプライベートDACを使用してプライベート情報フローを実現することを計画しています。オンチェーンソーシャルなどのユースケースにおいて、プライバシーとコスト/パフォーマンスのトレードオフは現時点では合理的な選択かもしれません（代替手段のコストと負担を考慮して）。

4. 隠しアドレス

隠れたアドレスは、各トランザクションに新しいアドレスを作成することでプライバシーを保護しますが、このプロセスはバックエンドで自動的に行われ、ユーザーには公開されません。詳細については、Vitalikの概要または異なるアプローチ方法についての深い議論を参照してください。この領域の主要な参加者には、UmbraとFluidkeyが含まれます。

シークレットアドレスは比較的単純なソリューションを提供しますが、主な欠点は、トランザクション(支払いと転送)のプライバシー保証のみを追加でき、汎用コンピューティングには追加できないことです。 これは、上記の他の3つのソリューションとは一線を画しています。

また、隠れたアドレスが提供するプライバシー保護は、他の代替策ほど強力ではありません。匿名性は単純なクラスター分析によって崩壊する可能性があり、特に入金および出金の取引が類似していない場合（たとえば、10,000ドルを受け取るが、毎日の取引平均が10〜100ドルの範囲内）。隠れたアドレスの別の課題は、秘密鍵のアップグレードであり、現在は各ウォレットごとに個別にアップグレードする必要がある（秘密鍵の集約保存はこの問題を解決するのに役立つ場合があります）。ユーザーエクスペリエンスの観点から、例えばETHのような料金トークンがアカウントにない場合、隠れたアドレスプロトコルはアカウントの抽象化または支払人が料金を支払う必要があります。

私たちの主張にはリスクがあります

急速な開発ペースとさまざまな技術的解決策の一般的な不確実性を考慮すると、MPC が最終的な解決策となるという主張にはいくつかのリスクが存在すると見ています。MPC のある形態が最終的に必要とされない可能性があり、その主な理由は次のとおりです。

1. 共有されたプライベートステータスは、私たちが想像するほど重要ではありません：この場合、ZKベースのインフラストラクチャがFHEよりもプライバシー保証が強く、コストが低いため、勝利する可能性がより高くなります。Payyなど、いくつかのユースケースは、ZKベースのシステムが孤立したケースでうまく動作することを示しています。
2. プライバシー保護の利点に値する性能上のトレードオフ：2-3の許可された当事者を持つMPCネットワークの信頼仮定は、単一の中央集権的参加者とほとんど変わらないと主張する人もいますが、コスト/負担の大幅な増加はそれに値しないということがあります。多くのアプリケーション、特に低価値でコストに敏感なアプリケーション（例：ソーシャルまたはゲーム）には、それが正しいかもしれません。ただし、法的問題や調整上の摩擦のために、多くの高価値ユースケースがあり、現在は非常に高価（または不可能）です。後者は、MPCおよびFHEベースのソリューションが大いに活躍する場所です。
3. 専門化は一般的な設計よりも優れています：新しいチェーンの構築とユーザーおよび開発者コミュニティの導入は非常に困難です。そのため、一般的なプライバシーインフラ（L1/L2）はフォローされにくい場合があります。もう1つの問題は専門化に関するもので、単一のプロトコル設計ではトレードオフの空間全体をカバーするのは難しいです。この世界では、既存のエコシステム（プライバシーアズサービス）または特定のユースケース（例：支払い）に対してプライバシーソリューションを提供することが優位になります。ただし、後者には懐疑的な姿勢を持っています。なぜなら、それはアプリケーション開発者に複雑さをもたらし、彼らは自分でいくつかの暗号化技術を実装する必要があるからです（それを抽象化するのではなく）。
4. 規制はプライバシーソリューションの実験を妨げ続ける：プライバシーインフラを構築し、一部のプライバシー保護を備えたアプリケーションを開発する人々にとって、これはリスクです。非金融のユースケースは規制リスクが小さいが、許可なしでプライバシーインフラ上に何を構築するかを制御するのは困難（不可能）です。おそらく、技術上の問題を解決する前に規制上の問題を解決する可能性が高いです。
5. 多くのユースケースにとって、MPCおよびFHEベースのソリューションはまだコストが高すぎます：MPCは主に通信コストの影響を受けますが、FHEチームはそのパフォーマンスを向上させるためにハードウェアアクセラレーションに深く依存しています。ただし、ZK専用ハードウェアの開発が進むと推測できる場合、実用的なFHEハードウェアが利用可能になるまでには、多くの人が想像するよりもはるかに長い時間がかかるでしょう。FHEハードウェアアクセラレーションに取り組んでいるチームには、Optalysys、fhela、およびNiobiumが含まれます。

一般化

*根本的には、チェーンの強度は最も弱いリンクに依存します。プログラム可能なプライバシーインフラストラクチャがある場合、共有されたプライベートステータスを処理することができ、単一障害点が発生しないようにするために、信頼保証はMPCの保証に帰着します。

この記事はMPCに対して批判的に聞こえますが、実際にはそうではありません。MPCは中央集権的な第三者に依存している現状を大幅に改善しています。私たちは、業界全体に虚偽の信頼が存在し、問題が隠されていると考えています。それに対して、問題に直面し、潜在的なリスクを評価することに重点を置くべきです。

しかし、すべての問題を解決するために同じツールを使用する必要はありません。MPCが最終目標だと考えていても、MPCに基づくソリューションのコストがまだ高い場合、他の方法も選択肢として有効です。私たちは常に、解決しようとしている問題の特定の要件/特性に最適な方法、およびどのような妥協を行うかを考慮する価値があります。

世界で最高のハンマーを持っていても、すべてのものが釘であるとは限らない。