理論と DeFi 応用 — 1999 → 2024 系統図
プライバシーを保護する決済システムで、規制当局や監査者がなおコンプライアンスを検証できる方法とは?ユーザーの匿名性を破壊することなく。
答えには 2 つの相互に結合したプリミティブが必要です。
1999–2022 年間における 8 つのシステム。年代順に並べてあります。
| システム | 年 / 会議 | コア・プリミティブ | 監査方法 | 許可制 | 長所 | 短所 |
|---|---|---|---|---|---|---|
| Sander-TaShma | Crypto 1999 | ブラインド署名 + 公開ログ | 監査可能な合計のみ | ✗ | 初の形式的扱い。個人は完全匿名 | 集計のみ。個別コイン監査なし |
| Compact E-Cash | Eurocrypt 2005 | CHL MAC + ウォレット構造 | 二重支払い検出 | ✗ | k コインを O(1) ウォレットで処理。現代匿名資格情報の祖先 | 規制監査チャネルなし |
| 説明責任付きプライバシー | 2016 | Zerocash + トレーシング鍵 | 当局鍵復号化 | ✗ | 完全プライバシーから公開まで。当局がすべてをトレース可能 | トレーシング鍵は単一障害点 |
| Solidus | CCS 2017 | PVORM / ORAM(Cecchetti ら) | 銀行内部 ORAM。公開証明 | ✓ | 銀行向け最適。MPC+ZK で銀行側機密決済。初の同類 | ORAM オーバーヘッド重い。銀行仲介のみ |
| zkLedger | NSDI 2018 | Pedersen コミットメント + NIZK テーブル | 任意の検証者が列和チェック | △ | 監査者鍵不要。監査者は集計証明のみ確認 | トランザクション単位で全コミットメントテーブル更新。スケーリング困難 |
| PGC | ESORICS 2020 | Twisted ElGamal + Bulletproofs | 監査者鍵復号化 | ✗ | 分散化 + 監査可能。加法準同型 AND 復号化可能 | 監査者鍵は SPOF。範囲証明仍多額 |
| MiniLedger | ESORICS 2021 | zkLedger + アキュムレーター | 和証明 + 履歴剪定 | ✗ | ログサイズ削減。監査可能性を保ちながら剪定可能 | 複雑なアキュムレーター更新。zkLedger スケーラビリティ限界を継承 |
| Fabric Auditable | 2020 | PS-sigs + ZK 証明 | 発行者 / 監査者鍵 | ✓ | Hyperledger ネイティブ。エンタープライズ適性強い | 発行者信頼必須。許可制のみ |
| UTT | 2022 | KVAC + ZK(予算トレース) | 支出制限強制 | ✗ | 分散電子現金 + ユーザー単位予算監査。直接 CBDC 祖先 | KVAC 表現力限界。発行者 = 検証者制約 |
許可制 — Solidus、Fabric Auditable Tokens
既知参加者、銀行コンソーシアム、強い信頼
非許可制 — zkLedger、PGC、MiniLedger、UTT
オープン参加、弱い信頼仮定
著者: Narula、Vasquez、Virza(MIT)。パターン: 各列が参加者残高を表すコミットメント・テーブル。
重要な洞察:監査者はどの参加者がどの額を保有しているかを学びません。列和が正しいことだけ確認します。これは「データ公開なしのポリシー検証」です。
コンプライアンス対応 DeFi すべてを可能にするコア・プリミティブ。3 層が相互に構築されます。
| 性質 | KVAC(CCS 2014) | PS-sigs(CT-RSA 2016) | Coconut(NDSS 2019) |
|---|---|---|---|
| 発行者 | 1 | 1 | n(分散) |
| 誰が検証できるか | 発行者のみ | 誰でも | 誰でも |
| 署名サイズ | 2 群要素 | 2 群要素 | 2 要素 + シェア・データ |
| ペアリング必須 | いいえ | はい | はい |
| 非リンク可能性 | 提示ごとに再ランダム化 | 提示ごとに再ランダム化 | 提示ごとに再ランダム化 |
| 選択開示 | 限定的 | はい | はい |
| 信頼モデル | 1 発行者 — SPOF | 1 発行者 — SPOF | t-of-n — 閾値安全 |
| 主要ユースケース | UTT 内部 / SNARK 互換資格情報 | KYC / 許可台帳 / Fabric | CBDC / 銀行コンソーシアム / PEReDi |
セキュリティ:t-1 以下の当局が結託 → ユーザー属性について情報論的ゼロ。t 個の当局が協力したときのみ有効な資格情報が生成。
匿名資格情報が DeFi コンプライアンス要件と出会う 3 つの応用カテゴリ。
従来 KYC プロバイダーが資格情報をオフチェーン発行。ユーザーが資格情報属性の ZK 証明を生成。スマートコントラクトが身元を見ずに証明を検証。
n 当局各々が KYC 文書を独立検証。t-of-n 部分署名が資格情報に集計。単一当局が脱匿名化不可。
Google/GitHub 等の OAuth トークンが TEE 内 MPC 委員会で処理。出力:ブロックチェーン ZK 証明互換の分散資格情報。
ユーザーが符号化支出予算を持つ匿名資格情報を保有。各支出が予算減少コミットメントを公開。監査者が合計 ≤ 制限を個別支払いを見ずに検証。
パレート・フロンティア:フロンティア上のシステムは与えられたプライバシー・レベルで監査可能性を最大化。Privacy Pools(2023)は悪いセット非メンバーシップを証明してフロンティアを推進することを目標とする。
PS-sigs と Coconut がどのように規制 CBDC 設計と本番隣接システムに流れ込むか。
コア・プリミティブを提供:2 要素署名で再ランダム化可能(非リンク可能提示)かつ選択開示可能(必要な属性のみ表示)。
重要:ペアリング親和的群は高速発行と高速検証の両方を可能にします。BLS12-381 が標準実装化。
PS-sig 発行を分散化。t-of-n 当局各々が部分署名を生成。クライアントが有効な完全 PS-sig に集計。単一当局が属性を学習しない。
主要用途: 「銀行コンソーシアム」または「中央銀行委員会」を集合発行者として、単一点信頼を回避。
Coconut 資格情報を用いた完全 CBDC プロトコル:
PS-sigs を直接使う同時 CBDC 設計(閾値ではなく単一発行者)。フォーカス:
PEReDi とのトレードオフ:よりシンプル(1 発行者)だが信頼仮定強い。
| 性質 | PEReDi | Platypus | UTT | DART |
|---|---|---|---|---|
| 資格情報プリミティブ | Coconut(閾値 PS-sigs) | PS-sigs(単一発行者) | KVAC(発行者=検証者) | Coconut 亜種 |
| 発行者構造 | 5-of-10 委員会 | 単一中央銀行 | 単一発行者 | 閾値 |
| 予算強制 | はい | はい | はい | はい |
| 非リンク可能性 | 完全(再ランダム化) | 完全(再ランダム化) | 部分的 | 完全 |
| 監査方法 | 集計コンプライアンス | 監査者鍵 | 予算トレース | 選択的トレース |
| 会議 | CCS 2022 | CCS 2022 | 2022(arXiv) | 産業 |
決定木、コード構造ヒント、ビルダー向けオープン問題。
| 論文 | 重要技術 | DeFi 応用 | ステータス |
|---|---|---|---|
| zkLedger(NSDI 2018) | NIZK 列和証明 | 銀行コンソーシアム向け AML コンプライアンス | 研究 |
| PGC(ESORICS 2020) | Twisted ElGamal + Bulletproofs | 監査者鍵付き機密決済 | 研究 |
| PS-sigs(CT-RSA 2016) | 再ランダム化可能署名 | KYC / 許可台帳 / コンプライアンス証明 | デプロイ済(Fabric) |
| Coconut(NDSS 2019) | 閾値 PS-sigs | PEReDi CBDC、DART | プロトタイプ |
| UTT(2022) | KVAC + 予算 ZK | 規制電子現金、CBDC 設計 | 研究 |
| CanDID(S&P 2021) | TEE+MPC OAuth 橋 | Web2 ID からの分散化 KYC | 研究 |
| SyRA(2024) | 文脈固有の疑似名 | 複数アプリ Sybil 耐性 | 研究 |
| Privacy Pools(2023) | 関連セット ZK メンバーシップ | コンプライアント・ミキシング / 出金 | プロトタイプ |