zk-SNARKs：それらはどれほどの変革をもたらすのか？

によって書かれた: 0xKira

コンパイル：ブロックユニコーン

暗号学とブロックチェーンが進化し続ける中で、ゼロ知識証明（ZK）のように大きな注目を集める革新はほとんどありません。ゼロ知識証明はかつては計算機科学の理論論文における難解な学術概念に過ぎませんでしたが、今では迅速に実用化され、次世代の暗号インフラの基盤となっています。

ゼロ知識証明の核心は、デジタルシステムの中で長い間存在してきた仮定、つまり検証には情報の開示が必要であるという仮定に挑戦することです。アプリケーションへのログイン、身分の確認、取引の確認に関して、私たちは常に信頼を得るために何らかの情報を開示する必要がありました。ゼロ知識証明技術はこのトレードオフを打破し、基盤となる情報を漏らすことなく、身分、データ、または計算に関する事実を証明することを可能にします。

プライバシー保護に加えて、ゼロ知識証明は、グローバル規模でのスケーラビリティ、相互運用性、そして信頼不要の検証を実現できます。ブロックチェーンのスループットを拡張するZKロールアップから、プライバシーを保護するアイデンティティおよびコンプライアンスシステムまで、ゼロ知識証明は暗号分野の可能性を再定義しています。

概要

ゼロ知識（ZK）証明は、基盤となるデータを開示することなく、アイデンティティ、残高、または取引の有効性などの情報を検証することができます。

ゼロ知識証明技術は1980年代に最初に提唱されましたが、計算、暗号学、ブロックチェーン技術の進歩により、最近になって実用的になりました。

ZK証明はプライベートトランザクション、非中央集権的なアイデンティティ、DAO投票、クロスチェーン相互運用性をサポートし、ZKロールアップを通じて何千ものトランザクションを1つの証明にパッケージ化することで、イーサリアムのスケールを拡張します。

計算量は大きいものの、ZKロールアップアルゴリズムは即時の最終性、低コスト、そしてより強力なセキュリティを備えており、Optimisticタイプのソリューションに対して優れています。

ゼロ知識証明とは何ですか？

ゼロ知識（ZK）証明は、ある一方（証明者）が他の一方（検証者）に対してある主張が真であることを、その主張がなぜ真であるかやその他の追加情報を明らかにすることなく証明できる暗号学的方法です。

例えば、アリスはボブに洞窟の中にある隠し扉のパスワードを知っていることを証明したいが、直接パスワードを教えることはできない。彼女は洞窟に入り、扉を開けて、反対側から現れる。ボブは彼女がどうやってそれをしたのかは見えないが、彼女が確かにパスワードを知っていることは知っている。

ゼロ知識証明の古典的な比喩はChainlinkです

従来、検証にはいくつかの情報を開示する必要がありました：たとえば、身分情報、パスワード、またはデータです。ゼロ知識証明はこのモデルを覆し、データ自体を開示することなく身分、真実性、または所有権を証明することができます。

デジタルシステムでは、これはあなたができることを意味します：

生年月日を明らかにすることなく、18歳以上であることを証明できます。

ウォレットの残高を明らかにせずに資金が十分にあることを証明する

取引内容を漏らすことなく、取引の有効性を証明する

この「情報を漏らさずに証明する」能力は、プライバシー、安全性、透明性を維持するシステムの基礎であり、ゼロ知識証明はちょうどこの二つの特徴を同時に兼ね備えています。

それらはどのように機能しますか？

ゼロ知識証明は、奥深い数学的構造と暗号学的原則に依存していますが、概念的には、3つの基本的な属性に要約することができます。

完全性（Completeness）：もしその主張が真であれば、誠実な証明者は検証者を説得してそれが真であると信じさせることができる。

信頼性（Soundness）：もし主張が誤っている場合、いかなる不正な証明者も、検証者を説得してその主張が誤っていると信じさせることはできません。

ゼロ知識（Zero-Knowledge）：検証者は、その主張が真であることを知っている以外の情報は得られません。

実際、ゼロ知識証明にはいくつかのタイプがありますが、現在の議論の焦点は主に二つのタイプ、すなわちインタラクティブゼロ知識証明と非インタラクティブゼロ知識証明に集中しています。

初期の設計では、ゼロ知識証明はインタラクティブでした。証明者と検証者が双方向の対話を行い、検証者がランダムなチャレンジを提示し、証明者がそれに対する証明を提供して、ある声明の真実性に対する信頼を共同で構築します。このモデルは理論的には有効ですが、ブロックチェーン環境では、各当事者がリアルタイムで相互作用することが難しいため、効率は高くありません。

実用性を高めるために、暗号学者は非対話型ゼロ知識証明（NIZK）を開発しました。この証明は、証明者が検証者にメッセージを送信するだけで完了します。最も有名なのはzk-SNARKsで、非常にコンパクトな証明を生成し、ミリ秒内に検証を完了させることができます。もう一つのバリエーションはzk-STARKsで、信頼できる設定を必要とせず、ポスト量子安全レベルを提供します。

zk-SNARKsの仕組み - ミッドナイトネットワーク

本質的に、これらのシステムは証明者が有効な計算の数学的「指紋」を生成することを可能にします。検証者はその後、全体の計算を再実行することなく、その指紋をチェックできます。これが、ブロックチェーンのスケーラビリティにおいてこれらのシステムが非常に強力な理由です：単一の暗号証明をチェックするだけで、数千の取引を迅速かつ低コストで検証できます。

ゼロ知識証明はいつ発明されましたか？

ゼロ知識証明は1980年代中期に遡ることができ、研究者のシャフィ・ゴールドワッサー、シルビオ・ミカリ、チャールズ・ラッコフが彼らの画期的な論文「対話型証明システムの知識の複雑性」（1985年）でこの概念を導入しました。

彼らの初期の理論モデルは、その後の数十年にわたる暗号学の革新の基礎を築きましたが、2010年代まで計算効率の向上とブロックチェーン技術の台頭により、ゼロ知識証明が実用的になりました。

Zcashなどのプロジェクトは2016年に導入され、最初に大規模にゼロ知識証明を展開したプロジェクトの一つであり、zk-SNARKsを使用して公共台帳上でプライベート取引を実現しています。その後、ゼロ知識証明技術は顕著な進展を遂げ、効率が向上し、証明生成速度も速くなり、新しいフレームワーク（例えばzk-STARKs、Halo、PLONK）が登場し、開発者にとって使いやすく、実際のシステムの拡張にも適しています。

ゼロ知識証明は暗号分野でどのように応用されていますか？

最も直感的で広く知られているアプリケーションシナリオは、プライバシー保護取引です。ゼロ知識証明は、ユーザーが公共ブロックチェーン上で取引を行うことを可能にし、取引金額や取引相手などのセンシティブな情報を公開することなく行えます。Zcashはこの技術の先駆者であり、「シールド取引」（shielded transactions）メカニズムを導入して、ユーザーのプライバシーを保護しながら、チェーン上の検証可能な完全性を維持します。この基盤の上に、Tornado Cash、Aztec、Railgunなどのプロジェクトがゼロ知識証明技術をイーサリアムに拡張し、プライベートなスマートコントラクトの相互作用と機密性のあるDeFi取引を実現しました。

トルネードキャッシュの仕組み - エリプティック

プライバシー保護を除いて、ゼロ知識証明はデジタルアイデンティティや規制コンプライアンスの分野で革新をもたらしています。これにより、ユーザーは個人データを開示することなく特定の事実を証明できる選択的開示がサポートされています。例えば、ユーザーは自分の名前を明かさずにKYC認証を通過したことを証明したり、身分情報を提供せずに制裁リストに載っていないことを確認したりできます。この原則は、Worldcoinの人格証明、Polygon ID、zkPassなどの新興ゼロ知識アイデンティティシステムの基盤となっています。

Polygon ID：ゼロ知識証明をサポートするアイデンティティシステム - Polygon

ゼロ知識証明は、投票やガバナンスにおいても強力な応用価値を持っています。分散型自律組織（DAO）において、匿名でありながら検証可能な投票プロセスを促進し、結果の透明性を確保しつつ、個々の投票者のアイデンティティのプライバシーを保護します。これは、脅迫や報復のリスクを低減し、集団決定へのより誠実な参加を促し、分散型ガバナンスの民主的原則を強化するのに役立ちます。

ゼロ知識証明のもう一つの利点は、クロスチェーン検証の分野に現れます。マルチチェーン環境において、従来は異なるブロックチェーン間で信頼を構築するには、中間機関や複雑なブリッジメカニズムが必要でした。ゼロ知識証明は、より優雅な解決策を提供します：あるチェーン上で生成された証明は、その状態の有効性を証明でき、別のチェーンはその証明を独立して検証できます。これにより、信頼を必要としない相互運用性が実現し、異なるブロックチェーンが集中化された検証者に依存することなく安全に通信できるようになります。

ZK技術はZK Rollupを通じてEthereumのスケーラビリティを向上させています。数千の取引を単一の暗号証明にパッケージ化することで、これらのRollupは安全性を確保しながら、チェーン上のデータ負荷を大幅に削減します。その結果、取引処理速度が向上し、コストが削減され、効率が高まります。これは、Ethereumがその分散型特性を損なうことなく、大規模なアプリケーションに対応するための基盤を築くことに貢献しています。

ZKロールアップの詳細

すべてのゼロ知識証明に基づくアプリケーションの中で、ZKロールアップは間違いなく最も革命的です。彼らは暗号通貨分野の最大の課題の一つ、ブロックチェーンのスケーラビリティを解決します。

ブロックチェーン技術が誕生して以来、すべてのブロックチェーンは、ブロックチェーンの三つの難題、すなわち安全性、スケーラビリティ、および非中央集権の三つのコア属性の中で二つを実現するという課題に直面しています。イーサリアムのようなブロックチェーンは安全であり非中央集権ですが、依然として速度が遅く、費用が高いです。すべての取引はすべてのノードによる検証を受けなければならず、これがボトルネックを引き起こし、スループットを制限し、ガス料金を押し上げ、ブロックチェーンの有用性を著しく低下させています。

Rollup は Layer-2 ソリューションの一種で、オンチェーン外でトランザクションを実行し、その後、集約情報をメインチェーンまたは Layer-1（通常はイーサリアム）に戻します。Rollup は主に二つのタイプに分かれます：Optimistic rollup と ZK rollup。

ZK Rollupでは、数百から数千のオフチェーン取引が一緒にパッケージ化されます。証明者は、すべてのパッケージ化された取引がブロックチェーンのルールに従っていることを示すゼロ知識証明（有効性証明とも呼ばれる）を生成します。その後、その単一の証明がメインチェーンに提出され、メインチェーンは迅速かつ確実にそれを検証できます。

ZKロールアップの仕組み - Messari

この設計は、Layer-1 のデータ量と計算負担を大幅に削減し、各取引を個別に処理するのと同じ安全保証を維持し、Layer-1 の速度とスケールのボトルネックを解消しました。

いくつかのZKロールアップの代表的なプロジェクトには、

zkSync Era：Matter Labs によって開発され、zk-SNARKs を使用して高速なファイナリティを実現しています。

StarkNet：zk-STARKsに基づいて構築され、スケーラビリティと透明性を強調しています

Polygon zkEVM：イーサリアム仮想マシン (EVM) のゼロ知識実装により、イーサリアム上の既存のスマートコントラクトと完全に互換性を持つことができます。

Lighter：カスタム ZK ロールアップに基づいて構築された永続的な DEX プラットフォームで、zk-SNARKs、具体的には Plonky2 を使用しています。

ZKロールアップの利点

ZKロールアップは、数千の取引を単一の暗号学的証明に圧縮することでスループットを大幅に向上させ、イーサリアムなどのブロックチェーンが分散化やセキュリティを犠牲にすることなく、より多くのアクティビティを処理できるようにします。

安全性は別の重要な利点です。経済的インセンティブと1週間のチャレンジ期間に依存して詐欺を検出するOptimistic Rollupとは異なり、ZK Rollupは数学的有効性証明を使用して事前に正確性を保証します。一度チェーン上で証明が検証されると、基盤となる取引は最終的かつ改ざん不可能となり、遅延と不確実性が排除されます。

これにより、確認速度が向上することも意味します。ZKロールアップの取引は、その対応する証明が検証された後に即座に決済され、Optimisticシステムで一般的な待機時間と比較して、ユーザーはほぼ即座に最終結果を得ることができます。

コスト効率は別の主要な利点です。ZK RollupsはLayer-1ブロックチェーンに非常に少量のデータしか送信しないため、ガス料金が大幅に削減され、ユーザーやアプリケーションがEthereum上で運営するコストが低くなります。

さらに興奮すべきことは、ZKロールアップがプライバシー保護を強化する扉を開いたことです。ゼロ知識暗号学に基づいているため、理論的には機密性をロールアップ自体に直接組み込むことができ、大規模なプライベートで検証可能な取引を実現できます。

現在の主な制約は計算要求です。ゼロ知識証明の生成には依然として大量のリソースが必要であり、強力なハードウェアと高度な暗号技術が必要です。しかし、ハードウェアアクセラレーション、回路設計、再帰的証明における進展を含む継続的な進歩により、これらのコストは着実に低下しており、各世代のZKロールアップの効率はより向上しています。

オプティミスティック ロールアップとの比較

オプティミスティックロールアップ、例えばアービトラムやオプティミズムは、異なる理念に従っています。これらは、すべてのオフチェーン取引が有効であると仮定しています。誰かがこの仮定に異議を唱えると、システムは争いを検証するために「詐欺証明」を提供するよう求めます。このプロセスは通常約1週間かかります。このモデルは実際にはうまく機能していますが、取引の最終確認に遅延を引き起こし、参加者が無効な活動を発見して報告するように促すインセンティブメカニズムに依存しています。

ZKロールアップは、各トランザクションバッチにゼロ知識検証証明を付加し、メインチェーンに書き込む前に数学的手法でその正当性を確認することで、即時確定性とより強力なセキュリティを提供しますが、同時により高い技術的複雑さと大きな計算量をもたらします。

本質的に、この2つのモデルは異なるトレードオフを表しています。Optimistic Rollupは実装が容易であり、その単純さとEthereum Virtual Machine (EVM)との完全な互換性により、現在EthereumのLayer-2領域で主導的な地位を占めています。一方、ZK Rollupはより複雑で計算量が多いですが、より速い決済速度、低コスト、そして組み込まれたプライバシーの潜在能力を提供します。

結論

ゼロ知識証明は、デジタルシステムにおける信頼、プライバシー、検証方法のパラダイムシフトを表しています。この技術は1980年代の抽象的な暗号理論に起源を持ち、現在では次世代の分散型インフラストラクチャの発展を推進する最も有望な技術の一つとなっています。

暗号通貨の分野において、ゼロ知識証明はプライベートトランザクション、分散型アイデンティティ、クロスチェーン相互運用性、そして最も重要なスケーラブルロールアップアーキテクチャを支援します。これらのアーキテクチャは、イーサリアムレベルのセキュリティを保ちながら、スループットを数倍に向上させることができます。彼らの応用範囲はブロックチェーンを超え、金融、人工知能、データ検証などの分野にまで広がっています。

ゼロ知識証明の応用はまだ比較的初期段階にありますが、その発展の軌跡はすでに明確です。ゼロ知識証明は、暗号学の分野での新奇な技術から、インフラ構築の必然的な構成要素へと変わっています。もしブロックチェーンがプライバシーと分散化を保障しつつ数十億ユーザー規模に拡張するのであれば、ゼロ知識証明はその未来を開く鍵となる可能性が高いです。