決済プライバシー研究の実証・ベンチマーク手法 How Payment-Privacy Research Benchmarks, Tests & Measures | defi-privacy-wiki | 2026-07-07 | 姉妹: story / frontier / deep-survey | 出典: 30+ 論文の評価節を横断抽出 | ▲ ハブに戻る

① 「テスト」には正反対の 2 モードがあるTwo Opposite Modes

この分野の実証は、証明対象が真逆の 2 系統に分かれる。研究プロトタイプを作る前に、自分がどちらをやるのかを決める。

モード構成的プロトタイプ(constructive)実証・計測研究(empirical)
問い「正しく・速く作れたか」「実世界で仮説が成り立つ確率は」
中心指標proving/verify 時間・proof サイズ・gas・throughput・制約数脱匿名化成功率・実効匿名集合・分類器 FPR/FNR・経済指標
「テスト」の意味機能デモ + ベンチ + 形式的安全性証明(ゲーム/UC)仮説検定と成功率推定(t検定/Spearman/Poisson)
ground truth不要(自分で作る系だから正解を知っている)能動実験 / サービス提供 / 押収データ から獲得し、必ずオンチェーンで裏取り
代表PaxPay, Zef, zk-creds, Haze/Daze, MercesBestMixer 傍受解析, CoinJoin adoption, zkp-mixer improve/worsen

規制対応 consensus-free 決済(PaxPay 系)を作るなら主に構成的モード。ただし「公称匿名集合 vs 実効匿名集合」を主張するなら実証モードの手法(⑥)を借りる — この 2 つを橋渡しできると強い(例: 自作システムの実効匿名性を計測で裏付ける)。

② 5 つの評価アーキタイプFive Evaluation Archetypes

30+ 論文の評価節を横断すると、測り方は 5 パターンに収束する。どのアーキタイプに乗るかで、必要な実装・機材・比較相手が決まる。

A. 分散システム型consensus-free

FastPay / Zef / Astro / Hamilton / PaxPay
機材AWS/EC2 商用インスタンス(m5.8xlarge / c5n.2xlarge / t2.medium)を1 validator = 1 インスタンスで多リージョン分散(EU/US/APAC)
主指標throughput(tx/s)× latency、2 階層(単機マイクロベンチ + 分散マクロベンチ)
キラー実験sharding の線形スケール(shard 数↑で throughput が線形に伸びる図)— consensus-free の核心的セールス

B. ZK 回路型Groth16 / Bulletproofs

zk-creds / Haze-Daze / Hurricane / Merces / PriDe CT / SwiftRange / PaxPay の NIZK
機材M1/M-series ラップトップ 1 台で proving、Ganache/anvil/Remix VM でローカル gas 計測
主指標proving / verify 時間 + proof サイズ + R1CS 制約数 + gas 表(deploy/deposit/withdraw)
代用Solidity は実時間計測不可 → gas を計算コストの proxy に代用(PriDe CT が明言)

C. スマートカード実機型offline CBDC

IBM SE / balancing-SE-2025 / PayOff(一部)
機材実 Secure Element(NXP SmartMX/JCOP、ACOSJ 95K)+ 実スマホ(Galaxy A34 / iPhone 13)、NFC/BLE
主指標プロトコルのサブステップ別 E2E レイテンシ(相互認証 / value exchange / 同期)。決済認可 <400ms〜数秒
キラー実験履歴チェーン長スイープ(転送ホップ 1→32、同期取引数 n)で「payer 側は履歴非依存 / payee 側は線形増加」を示す

D. 監査台帳型bank-scale

zkLedger / MiniLedger / Aegis
機材単機マイクロベンチ + 数〜十数 VM(bank 毎 1 サーバ)
主指標tx 作成/検証(bank 数に線形)+ 監査コスト(commitment cache で ledger サイズ非依存になることを示す)+ ストレージ
キラー実験bank 数 × ledger tx 数の 2 次元スイープ(2〜100 bank × 〜10 万 tx)

E. オンチェーン計測型empirical / deanon

BestMixer 傍受 / CoinJoin adoption / zkp-mixer / demystifying / Wu survey
データ全ブロック範囲のログ、押収 .pcap、能動実験の自己 tx、第三者ラベル(BEV extractor / CEX アドレス)
主指標実効匿名集合の縮小率、脱匿名化成功率、分類器 FPR/FNR、経済指標(流入額・手数料)
検証仮説検定 + ground-truth をオンチェーン一次データで二重に裏取り

③ consensus-free 決済の測り方(PaxPay 系の標準)Archetype A in detail

あなたが作りたい「validator が誰でもよい汎用決済レール」はこのアーキタイプ。ここが最も重要。

論文実装機材throughput の定義と数値障害テスト
FastPay
(AFT 2020)
Rust + Tokio + ed25519-dalek、<4000 LOC + 1375 test、OSSm5d.metal / m5d.8xlarge 多リージョン、MacBook clientレイテンシ上限内の最大 tx/s。160,000 tx/s @48 shards、各点 9 回平均crash-fault(authority を kill、f>3 で liveness 喪失確認)
Zef
(WPES 2023)
FastPay 拡張、Coconut(BLS12-381)+Bulletproofs 改造、OSSm5.8xlarge 5 リージョンlatency cap(250-300ms 通常 / 500-1000ms 匿名)内の最大。regular 20K / anon 50 tx/s、2 回平均crash-fault のみ(Byzantine 実測は「open problem」と明言)
Astro
(DSN 2020)
Golang <3.5K LOC、ECDSA P-256、baseline に BFT-SMaRtt2.medium(あえて安価)4 リージョン、tc で 20ms 注入peak throughput = レイテンシ飽和直前。2K–5K pps、60s×3 回平均crash-stop + netem で asynchrony 注入
Hamilton
(NSDI 2023)
C++17、LevelDB+Raft+libsecp256k1、Bitcoin Core 流用、OSSc5n.2xlarge 米 3 リージョン、8 shards×replica 3TX/s + tail(99%/50%)。1.7M txns/s(99%tail<1s)実障害注入(Raft ノード強制終了→復旧実測、2DC 障害 <15s 復旧)
PaxPay
(AFT 2025)
Golang + Gnark(Groth16, BLS12-377/BW6-761)、OSS単機 i7 で NIZK、AWS m5.8xlarge 1validator/instancelatency<500ms を満たす最大。925 tx/s(16core)、regulated/not 別実装で差分二重使用・Byzantine validator は機構で保証(実験は throughput 中心)

consensus-free の「型」— 8 つの作法

  1. 2 階層ベンチ: 単機マイクロ(μs〜ms、署名検証・証明生成、Table)+ 分散マクロ(tx/s・ms、Figure)を分離
  2. throughput = レイテンシ上限内の最大(生の tx/s でなく SLA つき。BFT の飽和挙動を反映)
  3. 1 validator = 1 EC2 インスタンスを多リージョン配置(地理レイテンシを現実化)
  4. sharding 線形性の図がキラー実験(shard 数↑ → throughput 線形)
  5. 障害実験は crash-fault 中心、Byzantine 実測は避けて形式証明で担保(Hamilton だけ実障害注入)
  6. 比較は「既存実装を自前デプロイ」(Astro→BFT-SMaRt、Hamilton→PostgreSQL/CockroachDB)か「論文値転記」(FastPay)。他実装の直接ベンチは実装差で不公平として避ける
  7. VISA レート(~1,700–65,000 tps)を現実の基準線として引用
  8. 理論寄り論文(Pastro/CryptoConcurrency)は実装を持たず RTT 数・O 記法の解析のみ — 実測の有無は「新プロトコル」か「最適化」かで二極化

④ ZK / 回路系の測り方Archetype B in detail

FoldPay や mixer 系プロトタイプで必ず使う。Groth16 型と Bulletproofs 型で報告様式が違う。

系統報告する数値匿名集合の表現trusted setup代表数値
Groth16 型
(circom/Gnark)
R1CS 制約数・定数 proof サイズ・定数検証(3 pairing)・deploy/deposit/withdraw の gas 表Merkle 深さ(32 = Tornado 実運用値)要(TC Nova の setup 再利用も)zk-creds show 5ms/verify 3ms/744B、Haze deposit +4.1% gas、Merces 300+ TPS
Bulletproofs/DLog 型群冪演算数の漸近式(O(N), O(N log N))+ N をスイープした proving/verifyリングサイズ N(2 の冪、4〜128)不要(売り)SwiftRange 32bit 1.73× 高速、PriDe CT N=64 で 51s/77M gas

測定条件の作法: 実行回数を明記する系(zk-creds 100 回中央値+95%CI、threshold-BBS+ 最低 150 回)と、単発ガスのみの系(zkMixer)で厳密さに差。比較相手はほぼ固定 — mixer 系は Tornado Cash、transfer 系は Anonymous Zether。匿名集合パラメータは実証データ由来の値を借用して現実性を担保する慣行(Hurricane が Merkle 深さ 32・UTXO 入力 3 = Bitcoin 実証平均)。

⑤ CBDC / Secure Element の測り方Archetype C in detail

オフライン CBDC・モバイル決済のプロトタイプなら、実機スマートカードでのステップ別レイテンシが標準。

論文実機測る対象スイープ軸
IBM SE (2024)NXP SmartMX/JCOP + Galaxy A34/iPhone13、NFC/BLEwithdrawal/payment のステップ別、決済認可 <400ms、監査 +10-20%転送チェーン長 1〜32 ホップ
balancing-SE (2025)ACOSJ 95K カード実機 2 枚 + シミュレート端末、OSSE2E レイテンシ(相互認証が 72.9% = 最大コスト)、payment ~4.8s同期取引数 n=0/1/4/10、compliance 3 種、認証 2 版
PayOff (2024)実機なし、Ryzen ラップトップで回路ベンチ回路ごと proof 生成/検証/制約数、143→5,000 payments/s(コア試算)未署名履歴 1/51/101、オフライン期間 1日〜6ヶ月

ソフトウェアのみの CBDC proof 系(PayOff/KAIME/Aegis/Rayls)はアーキタイプ B に寄る(回路の proof/verify/制約数を単機で測り、中銀スループットは「並列コア数 × 単機実測」で外挿、ネットワークは瞬時と仮定)。実機スマートカードを持つのは IBM SE と balancing のみ。Hamilton は例外で CBDC 系唯一の分散スループットベンチ(アーキタイプ A)。

⑥ 実証・計測研究の測り方Archetype E in detail

「公称匿名集合 vs 実効匿名集合」を主張したいとき、あるいは 0xbow Privacy Pools の実効匿名性を測りたいときの手法。あなたの cryo/Dune スタックが直接効く。

論文データソース手法代表数値
CoinJoin adoption
(2021)
全ブロック 2018-2022、Wasabi コーディネータ 28,890 tx を ground truth閾値ヒューリスティック vs ランダムフォレスト(8 特徴・500 木)、pre/post クラスタリング検出 RF accuracy 99.98%、実効匿名集合 75K→25K 未満に縮小
zkp-mixer
(2023)
TC/Typhoon 全 73 プール、BEV extractor リストは著者に直接連絡coin flow tracing(distance 1/2)+ 5 リンキングヒューリスティック H1-H5、AM 報酬式の逆算実効匿名集合 27-46% 削減、$412.87M 洗浄、制裁後 83% 減
mixed-signals
(2023)
押収 .pcap 傍受データ 739 ファイル → 15,574 tx(法執行 ground truth)TShark で特徴抽出、t検定/Spearman/Poisson、IP を VPN/Tor 分類IP 秘匿 61% のみ、リピーター 23%、隠しサービス利用者は 3 倍額
demystifying
(2021)
4 サービス、能動実験 + API クロールswapping/obfuscating 2 モデル、Seed-Expansion Algorithm識別カバレッジ 92%、Binance ハック資金追跡成功
Wu survey
(FC 2021)
21 サービス、5 つに能動実験(計 $100、各 3 試行)主張 vs 実測の齟齬を tx ID 追跡で暴く学術防御機構ほぼ未実装、coin theft を実演

実証研究の「型」— ground-truth の 3 経路と作法

  1. 能動実験: 自分で少額($100 級)を送金し入出力 tx ID を握って真の対応を得る。複数試行で再現性確認、倫理的に自己資金・極小額に限定
  2. サービス/第三者提供: コーディネータ提供 tx、OXT スナップショット、既存研究の BEV/CEX ラベル
  3. 法執行の押収データ: BestMixer の傍受 .pcap(最も強力だが入手困難)
  4. どの経路でも必ずオンチェーン一次データで二重に裏取り(mixed-signals の 3 段階フィルタ、coinjoin の手動実行照合)
  5. 公称 = 暗号的にプールに入ったアドレス数 / 実効 = ヒューリスティックでリンク解消後に残る区別不能集合、の二層で匿名性を捉える
  6. 正しさは仮説検定(分類器 FPR/FNR、t/Spearman/Poisson、カバレッジ%)で担保 — 証明ではなく確率推定

⑦ 自分で研究プロトタイプを測るなら — チェックリストIf You Build One

F プログラム(permissionless 決済)/ FoldPay を評価するときの、これまでの型から導いた必須項目。

構成的プロトタイプの最低要件(AFT/CCS の実質的通過ライン)

  1. OSS で出す — PaxPay/Zef/Hamilton/zkLedger/Merces は全て公開。他系がソース非公開で「論文値転記」比較しかできない現状の逆を突く
  2. 2 階層ベンチ — 単機マイクロ(proving/verify/制約数)+ 分散マクロ(throughput@latency-SLA)
  3. regulated / not-regulated を別実装で測る(PaxPay の作法。規制オーバーヘッドを分離 = FoldPay の裏取りにも使う)
  4. sharding 線形性の図(consensus-free の核心。PaxPay が「未実装」で残した宿題 = F4 ShardScale)
  5. 状態成長率を測る(PaxPay が測っていない新指標。nullifier/comList のバイト成長。permissionless では再構成コストも)
  6. 比較は自前デプロイか論文値転記、他実装直接ベンチは「不公平」と断って避ける
  7. 形式証明を分離して付ける — ゲームベース(DDH/DLog 還元)が最低ライン、UC まで行けば重厚。実装ベンチと証明は別セクション
  8. 攻撃テストを差別化点にできる — 全 30 本で fuzzing/fault injection を「した」論文はほぼゼロ。Hamilton の実障害注入が最も攻撃的。ここは空白 = 差をつけられる

⑧ 全論文に共通する手薄な検証(=差をつけられる余地)Underexplored Verification

30+ 論文を横断して「誰もちゃんとやっていない」検証。ここを埋めると評価の質で抜ける。

G1攻撃テスト・fuzzing がほぼ皆無 — 全 30 本で fault injection/fuzzing/ペンテストを行った論文はゼロに近い。実機 SE 系ですらハードウェア攻撃(fault injection)を評価対象外にする。Hamilton の実障害注入が最も攻撃的な例。
G2Byzantine 下の実測が「open problem」のまま — consensus-free 系は全て crash-fault だけ実測し、Byzantine は形式証明で担保して実験を避ける(Zef が明言)。Byzantine validator 下の throughput 実測は空白。
G3ネットワーク層を「瞬時」と仮定 — 多くの proof 系 CBDC がデータ交換を瞬時と仮定し、匿名チャネルの実コスト・メタデータ漏れを測らない。実効プライバシーの主因なのに未計測。
G4第三者監査への言及が皆無 — 構成系 30 本で外部セキュリティ監査に言及した論文はゼロ。実運用を主張する Rayls ですら実運用データを出さない。
G5公称 vs 実効匿名性を自作システムで測らない — 実証研究(アーキタイプ E)は既存の TC/Wasabi を計測するが、構成論文が自分のシステムの実効匿名集合を計測で示す例はない。構成×実証の橋渡しが空白。
これらは F プログラム(permissionless 決済プロトタイプ群)の評価設計で差別化点にできる。特に G2(Byzantine 実測)・G3(ネットワーク層計測)・G5(自作システムの実効匿名性)は、新しい比較表の列を立てられる。