規制対応匿名送金・決済 — 近年の進歩と論文の物語 Recent Progress & Paper Stories in Regulated Anonymous Payments | defi-privacy-wiki | 2026-07-07 | 姉妹ページ: frontier(通史・ギャップ構造)/ deep-survey(100 カード網羅)

① 大きな流れ — 前ブロックチェーン期は 1 表、本編はブロックチェーン以降The Arc

前ブロックチェーン期(Chaum 系 e-cash)は 2 行で足りる。本編 — ブロックチェーン上でプライバシーと規制遵守を両立させる試み — は 2014 年の Zerocash/Mixcoin から始まる 12 年間。

前ブロックチェーン期何が確立したか現在への接続
Chaum 1982 → DigiCashblind signature =「発行者すら追跡できない現金」。商用化し失敗技術だけでは deploy されない、という分野の原点的教訓。発行体問題は 2020 年代に中銀 (CBDC) と発行体規制 (stablecoin) として回帰
CHL 2005 / e-token 2006条件付き匿名性: 二重使用で身元復元、文脈ごと N 回まで匿名everlasting tokens (2025)・compliance coin (2025) の直系祖先。「悪用した瞬間だけ匿名性が壊れる」は今も全設計の背骨

2019–2021起動 — Libra ショックと consensus-free 理論

Libra(2019)が通貨主権への現実の脅威となり中銀が一斉に動く。BIS/BoE(2020)が「完全匿名は plausible でない」「対ピア匿名・対法執行非匿名」を規範化し、ECB 公開協議で市民の最重要要求がプライバシーと判明。同時に PODC 2019 が「決済に合意は不要」を証明し、FastPay(AFT 2020, Libra チーム自身)が 8 万 tx/s で実証。国家の需要と BigTech の技術が同じ研究空間に流れ込んだ。

⚡ 2022: 双子の衝撃 — 8 月、OFAC が Tornado Cash を制裁(規制はプライバシー技術そのものを違法化できると示した)。11 月の CCS 2022 で PEReDi・Platypus・UTT が同時採択(プライバシーと規制執行は暗号学的に両立できると学界が示した)。この正面衝突で、分野の問いが「プライバシーか規制か」から「選択的開示の鍵を誰が握るか」へ書き換わる。

2023講和と形式化

Privacy Pools が「正直者と犯罪者の分離均衡」という講和案を出し、Haze/Daze が compliant mixer を形式定義。PARScoin が非同期化を進め、Zef が匿名コインを BFT に載せて正確に失敗し(作成者追跡漏洩)、threshold BBS+ / zk-creds / ul-PCS が KYC 側の部品を揃えた。

2024–2025立法が仕様書になる

デジタルユーロ規制案の条文が offline CBDC 競争(PayOff vs IBM SE)を生み、eIDAS 2.0 が BBS# のプリミティブ再設計を強制し、第五巡回区判決(2024-11)が REGKYC の設計動機になる。PaxPay が 3 系譜を合流させ 925 tx/s。産業は Solana/XRPL/Inco が「金額のみ秘匿」の妥協ラインで本番投入。TRM Labs が Privacy Pools を規制実務の正式語彙に採用。

2025–2026フロンティア — 監査の有界化・PQ・状態成長

AuditPay が監査人の権限自体を暗号学的に有界化(予算型監査)。Qurrency と everlasting tokens が量子時代の遡及リンクを封じ、note-on-notes が shielded 系 10 年の技術的負債(nullifier 永続成長)に当事者として着手。SoK 群が 36 システムを俯瞰し、分野は一区切りへ。

② 進歩のリレー — 弱点の継承チェーン 6 本How Progress Actually Happened

この分野の進歩は「前の論文が正直に書き残した弱点を、次の論文が一つずつ潰す」リレーとして最も正確に記述できる。赤 = その論文が残した弱点、緑 = その論文が直した弱点。金の点線 = 現在のバトンの位置(未解決)。

R1信頼仮定リレー — validator をどこまで疑えるか

PEReDiCCS 2022✓ 規制×プライバシー×分散を初の同時達成 (UC)✗ 送受信者の同期必要・validator は honest 仮定
PARScoin2023✓ 非同期化(受領者オフラインで受取可)✗ correct validator が adversary と情報共有しない仮定は残存
PaxPayAFT 2025✓ semi-honest 許容(情報共有されても privacy 保持)+ 925 tx/s✗ permissioned・holding limit 未達
次のバトンcovert/rational adversary、permissionless validator(PoS 重み計算 vs 残高秘匿の矛盾を解く)

R2漏洩修正リレー — 何を証明回路の中に入れるか

FastPayAFT 2020✓ BCB だけで 80K tx/s✗ プライバシーゼロ(§8 で Coconut 統合を future work に明記)
ZefWPES 2023✓ Coconut opaque coin で BFT 初の匿名コイン✗ blind sig 検証が回路外 → コイン作成者が追跡可能(脚注10)・5–88 tx/s
PaxPayAFT 2025✓ blind sig 検証を Groth16 回路内へ → 作成者も追跡不能・Zef の 8 倍速✗ trusted setup・証明生成 7s
次のバトンtransparent/PQ 証明系への置換、folding での増分証明化

R3監査人権限リレー — 「鍵を渡す」から「能力を数学的に縛る」へ

viewing keyZcash 型✗ 渡すか渡さないかの二値・無制限閲覧
集計クエリzkLedger 2018✓ 監査 = 特定の質問への検証可能な回答✗ 監査人は常時アクセス
閾値委員会KAIME / IBM SE 2024✓ 単独当局では復号不可(t-of-n 合議)✗ 委員会が結託すれば全開
本人証明型Privacy Pools 2023 / PaxPay 2025✓ 開示の主導権をユーザーへ(association set / provable history)✗ 強制開示が必要な捜査に対応しない
予算型AuditPay 2026✓ 監査人はエポック毎 N 住所しか監視できないことを暗号学的に保証✗ 大規模リストのエンコードコスト
次のバトン予算×閾値×多管轄の合成、鍵行使のデュープロセス形式化(CFT の三権分立が入口)

R4KYC 発行リレー — 発行体という単一障害点の解体

zkKYC2021✓ 概念確立✗ 単一発行者・発行者の協力前提
zk-credsS&P 2023✓ 発行者の協力不要(パスポート等をそのまま SNARK 化)✗ 発行体の存在自体は前提
threshold BBS+CCS 2023✓ 発行鍵を t-of-n 分散(semi-honest+検証で malicious UC 安全)✗ 対話的発行
NITBS2026✓ 非対話 + 閾値発行の初両立(issuance 0.6ms)✗ 「n 発行者を誰が務めるか」の制度は白紙
BBS#2025✓ eIDAS 2.0 の SE 制約に適合(pairing-free、StrongBox 70–100ms)
次のバトン発行者経済学(責任・報酬・FATF 上の obliged entity)× threshold 暗号の橋渡し

R5オフライン CBDC リレー — ハードウェア信頼から暗号的頑健性へ

DOT-M2022✓ SE+TEE で dual-offline 決済✗ SE 侵害 = 無制限偽造
IBM SE2024✓ SE は軽量処理のみ + auditor 閾値復号(二重使用時のみ開示)・認可 <400ms✗ 固定額面でないと金額リンク残存
PayOff2024✓ SE 故障を前提に被害有界・偽造者/共謀者の事後特定・holding limit 対応✗ オフラインメッセージが取引数に比例して肥大(論文自認の主要限界)
次のバトン状態圧縮、オフライン深度(何ホップ・何日)の保証付き設計

R6上限執行リレー — limit のプリミティブ化

PRCashFC 2019✓ ZK で取引上限を enforce✗ validator が取引をリンク可能
PEReDi / PlatypusCCS 2022✓ 累計・保有上限を full privacy のまま✗ 同期前提(だから保有上限が可能だった)
everlasting tokensASIACRYPT 2025✓ 文脈ごと N 回制限を情報理論的匿名性(PQ)で✗ 構成が重い
PaxPayAFT 2025✓ per-tx・累計・制裁を compliance coin で非同期に✗ 保有上限は非同期+privacy では未達と明記
次のバトン非同期×プライバシー×保有上限の可能性/不可能性の決着

③ 論文ごとの物語 — ブロックチェーン以降を深掘りDeep Paper Stories, 2014–2026

各論文を「背景(何を見たか)/賭け(何に賭けたか)/機構(どう動くか)/数字(何を出したか)/遺産(何を遺し何が未解決か)」で読む。金の左枠 = 系譜の要衝。

2014–2018: ブロックチェーン第一世代 — 透明な台帳への 3 つの応答

Zerocash — Ben-Sasson, Chiesa, Garman, Green, Miers, Tromer, Virza

IEEE S&P 2014 → Zcash (2016)
背景Bitcoin の擬似匿名性がクラスタリング解析で剥がされることが実証され始めた。応答は「中途半端な難読化」ではなく「取引グラフそのものを暗号的に消す」。
賭け当時まだ実験段階だった zk-SNARK を決済の中核に据える — 取引の正しさ(入出力の保存・所有権)を、取引の中身を一切明かさずに証明する。
機構coin = commitment としてツリーに追加し、使用時は nullifier(コインから一方向に導出される使用済み印)を公開して二重使用を防ぐ。commitment と nullifier のリンクは SNARK の中に隠れるので、「どのコインが使われたか」が誰にも分からない。この commitment + nullifier + SNARK の 3 点セットが発明。
遺産Zcash / Tornado Cash / Railgun / Aleo / Aztec — 全 shielded 系のテンプレート。ただし①規制機能ゼロの設計判断は 2022 年 TC 制裁の請求書になり、②nullifier 集合の永続成長は 2025 年に Zcash 開発者自身(note-on-notes)が返済を始める技術的負債になった。

Mixcoin — Bonneau, Narayanan, Miller, Clark, Kroll, Felten

FC 2014
背景当時のミキシングサービスは資金持ち逃げ詐欺の巣窟。プロトコルの問題以前に、オペレータが信用できない。
賭け盗難を暗号で防げなくても、「盗んだら評判が死ぬ証拠」(時刻と金額を約束する署名済み warranty)を残させることはできる — 暗号的保証でなく経済的抑止。
遺産accountable mixer の初出。後継 Blindcoin (2015) が blind signature でミキサー自身も対応表を見られなくし、TumbleBit 原型 (2016) が fair exchange へ、Obscuro (2018) が TEE へと分岐。ただしこの時代の「accountability」はユーザーをオペレータから守る意味 — 2023 年以降の compliant mixer で矢印が正反対(社会をユーザーから守る)に反転する。

Provisions — Dagher, Bünz, Bonneau, Clark, Boneh

CCS 2015
背景Mt. Gox 破綻 (2014)。「取引所は本当に顧客資産を持っているのか」に、営業秘密(保有アドレス・顧客リスト)を晒さずに答える手段がなかった。
賭け支払能力(assets ≥ liabilities)という関係だけを証明し、資産額も顧客も明かさない。
機構Pedersen commitment の加法準同型で資産・負債を暗号化したまま合算し、range proof で正値性を保証。assets 側は「多数のアドレス候補のうちどれを所有しているか」を隠す集合証明。
遺産PoR/PoL 系譜の起点(DAPOL→MProve 系→IZPR→Xiezhi 2024 の end-to-end succinct 化まで約 10 年)。ステーブルコイン準備金証明の技術基盤であり、2026 年の Qurrency で AML 系と合流する。

zkLedger — Narula, Vasquez, Virza

NSDI 2018(MIT Media Lab)
背景銀行間台帳は参加者同士にも監査人にも「全部見せる」か「何も見せない」かの二択だった。
賭け監査人を台帳の一級市民として設計に組み込む — 全取引を暗号化したまま、監査人は「この銀行の総エクスポージャーは X 以下か」等の集計クエリだけに検証可能な回答を得る。
機構参加者×取引の全セル行列に Pedersen commitment(関与しない取引にはゼロのコミット)を置き、行・列の準同型合算でクエリに答える。誰がどの取引に関与したかは行列の均一性で隠れる。
遺産「監査 = 全開示」から「監査 = 特定の質問への検証可能な回答」への転換点(R3 リレーの第 2 走者)。Rayls の Enygma(2025, 本番稼働)が直系の産業実装。行列構造ゆえのスケール限界は MiniLedger (2021) が圧縮で継ぐ。

RSCoin(NDSS 2016)→ PRCash(FC 2019)— 中央銀行ラインの起動

Danezis–Meiklejohn / Wüst, Kostiainen, Capkun
背景RSCoin: 中央銀行が金融政策の主導権を保持したまま、検証だけを mintette(シャード化 validator)に委譲できるか — 「中銀×分散台帳」の初の真面目な設計(プライバシーはほぼなし)。
賭けPRCash: 規制要件(取引上限・KYC)を信頼でなく ZK 証明で enforce する。ユーザーは「上限内である」ことを金額を明かさず証明する。
遺産「規制執行は証明でやる」という以後の全員の前提。PRCash の残した弱点(validator が取引をリンク可能 = full anonymity ではない)が Wüst–Capkun ライン(→Platypus→PayOff)と Kiayias ライン(→PEReDi)の共通の出発点になった。R6 リレー(上限執行)の第 1 走者。
2019–2021: 理論と規範の起動

The Consensus Number of a Cryptocurrency — Guerraoui, Kuznetsov et al.

PODC 2019
背景Bitcoin 以来 10 年、「二重使用防止には全取引の全順序合意が必要」と全員が信じていた。
賭けその通念が数学的に偽であることの証明一点。asset transfer を concurrent object として定式化し consensus number = 1 を Herlihy 階層上で示す。
遺産「決済は本質的に軽い」という許可証。共著者 Kuznetsov 自身が Astro→PaxPay まで系譜を歩き切る — 文献上の影響でなく人的に直結したリレー。

FastPay — Baudet, Danezis, Sonnino(Facebook Novi)

AFT 2020
背景Libra チームが自分たちの規模(数十億ユーザー)は BFT 合意では捌けないと悟った。"RTGS constitute the most common approach ... in closed banking networks" — 開かれた環境でカードネットワーク級を。
賭け決済の意味論の非対称性 — 直列化が必要なのは送金者のアカウントだけで、受信側は非同期に処理できる。だから全順序合意を Byzantine Consistent Broadcast に置換できる。
機構各アカウントに sequence number。署名済み transfer order を全 authority に送付し、2f+1 の部分署名を集めて certificate に。任意の 2 つの 2f+1 quorum は必ず correct authority を共有するので、その 1 台が 2 回目の署名を拒否 = 二重使用は署名段階で止まる。authority 内部はシャーディングで水平スケール。
数字20 authorities で 80,000+ tx/s、大陸間レイテンシ <200ms。
遺産§8 に「送受信者・金額・タイミングは全部露出する。Coconut 型 credential と隠しバランスが将来課題」と正直に書いた 2 行が、Zef と PaxPay の仕様書になった。authority の交代(reconfiguration)は今も未解決のまま。Sui / Linera の設計思想的起点。

How to Issue a CBDC — Chaum, Grothoff, Moser

SNB Working Paper 2021
背景"central banks face growing competition from private actors offering their own digital alternative to physical cash" — Libra への直接応答。40 年前に商業的に敗れた Chaum 本人が、今度は中央銀行と組んで帰ってきた。
賭け「DLT は要らない。90 年代 e-cash に足りなかったのは技術ではなく発行体だ」。GNU Taler の income transparency(支払者は匿名・受取事業者は税務に透明)を CBDC に移植。
遺産KYC を商業銀行に委任する二層構造と非対称プライバシーが、以後の全 CBDC 論文の比較基準に。BIS Project Tourbillon(eCash 2.0 系)へ接続。
2022: 両立可能性の証明(CCS トリプル)と Chaum の第三の道

PEReDi — Kiayias, Kohlweiss, Sarencheh

CCS 2022
背景"private to prevent the emergence of a financial 'panopticon'" かつ KYC/AML/CFT の threshold-limiting・tracing・監査を全部 — 二律背反とされてきた要求の全部載せ。
賭け単一の当局を絶対に信頼しない。発行も追跡も脱匿名化も、閾値化された当局集合の合議でしか実行できない構造にする。
機構account-based。ユーザー状態(残高・累計)を暗号化したまま持ち回り、送金ごとに ZK で「上限内・KYC 済み」を証明。追跡は当局 quorum の閾値復号でのみ可能。UC framework で全体を形式化。楽観パスから Byzantine agreement を排除して通信量を最適化。
数字同期的な送受信者のやり取りが必要(この同期こそが保有上限を可能にしている、と後に PaxPay が指摘する点)。
遺産「両立不可能」という規制側の前提の学術的否定。Kiayias ライン(PARScoin→DART)の起点。弱点 2 つ(同期・honest validator)がそのまま R1 リレーの出発点に。

Platypus — Wüst, Kostiainen, Delius, Capkun

CCS 2022
背景ECB 公開協議: "privacy is the most important feature of a CBDC for the survey respondents" — 分野で最も引用される需要の実証を掲げる。
賭けPEReDi と同じ問題を e-cash 系のシンプルな構成で。ユーザー自身が自分の状態(残高・累計)を持ち、更新の正しさを ZK 証明する — 台帳側の状態を最小化。
遺産PEReDi と同時採択の双子。2 本同時に CCS を通ったこと自体が「規制内蔵 CBDC がトップ会議の中心テーマになった」合図。Wüst–Capkun ライン(PRCash→Platypus→PayOff)の中継点。

UTT: Untraceable Transactions — Tomescu et al.(VMware Research)

CCS 2022
賭け匿名性を量的資源として扱う — 「予算内までは完全匿名、超えたら不可」の accountable e-cash。re-randomizable な PS 署名で coin を追跡不能に。
数字235 tx/s(16 コア)。sigma 系のため検証が重く、後に PaxPay のベンチ比較対象に。
遺産「匿名性予算」という発想は、4 年後に AuditPay が監査側の予算化として鏡像反転させる。

eCash 2.0 — Chaum, Moser

2022(→ BIS Project Tourbillon)
背景one-way privacy の穴: 完全匿名は恐喝・賄賂に悪用され、複数人の少額匿名残高を集約すれば大口の追跡不能送金が作れる。
賭けinalienable tracing capability — 自分の取引の匿名性を解除できる能力を、本人だけに・譲渡も剥奪も不可能な形で持たせる。犯罪組織はメンバーの「開示能力」を奪えないので、集約スキームが構造的に組めなくなる。
遺産強制開示(backdoor)でも自由放任でもない第三の道。Privacy Pools の自発的無実証明と独立に同じ思想へ到達。量子耐性の偽造証明も先取り。
2023: 講和・形式化・正確な失敗

Privacy Pools — Buterin, Illum, Nadler, Schär, Soleimani

2023 → 学術誌 2025 → 0xbow mainnet 2025-03
背景TC 制裁の直後。「プライバシー技術は違法資金と不可分」という規制側の認定に、技術側から反論する必要があった。
賭け暗号でなくメカニズムデザインで勝負: 正直なユーザーに不正資金と自分を分離する手段を与えれば、"a separating equilibrium between honest and dishonest users" が自然に生まれる — 犯罪者だけが残ったプールは匿名性を失い、規制の標的化も容易になる。
機構出金時に「自分の入金が association set に含まれる(または除外 set に含まれない)」ことを sparse Merkle subset tree への ZK 証明で公開発行。set の構成は ASP(Association Set Provider)や社会的合意に委ねる。悪性と判明した入金は ragequit で自主退出。
数字2025-03-31 に 0xbow.io が Ethereum mainnet ローンチ(Vitalik 自身が初期デポジット、上限 1 ETH の慎重な立ち上げ)。
遺産TRM Labs の実務フレームワークが set membership proofs を正式語彙に採用 — 学術概念が規制実務に浸透した稀有な例。未解決: ASP の中心化、複数コイン merge 時の innocence 証明の伝播(bloom filter 確率的手法が 2025 年の応答)。

Haze / Daze — Baranski, Dotan, Lotem, Vald

ePrint 2023
背景制裁後、「compliant mixer」を誰もが口にするが形式的定義が存在しなかった。
賭けcompliance を idealized compliant ledger との識別不能性として定義する — 定義さえ立てば構成は TC の小改造で足りる、と示す。
機構Haze: banned-address リストに対応する Merkle 葉をゼロ化し、非 compliant 入金の出金を恒久不能に。Daze: さらに委員会の手続きで ban 済みユーザーのみ事後デアノニマイズ(委員 1 人でも正直なら合法ユーザーの privacy は保持)。
数字deposit 約 1M gas — Tornado Cash 同等コストで compliance が載ることを実証。
遺産以後の compliant mixer(zkMixer / Hurricane / UltraMixer)は全てこの定義との差分で自己紹介する。

PARScoin — Sarencheh, Kiayias, et al.

2023
背景PEReDi の同期要求は現実の決済(受領者がオフラインでも受け取れるべき)と相性が悪い。
賭けbroadcast だけで(BA なしで)非同期化し、受領者は後から claim する非対話モデルに。規制機能(上限・sanctions・supply audit)は維持。stablecoin の枠組みで提示。
遺産非同期×規制×プライバシーの初の組み合わせ。ただし「correct validator は adversary と情報を共有しない」という honest 仮定が残り、それが PaxPay の差別化点(semi-honest 許容)を用意した。

Zef — Baudet, Danezis, Sonnino

WPES 2023
背景FastPay §8 の future work(Coconut 統合)を書いた本人たちによる実行。
機構Coconut の blind randomizable threshold credential で「opaque coin」を作り、BFT モデルで初めて匿名コインを扱う。確認 1 秒未満・線形スケール。
数字5 tx/s(1 コア)〜88 tx/s(16 コア)。Zcash 比 3 桁低遅延。
遺産blind signature の検証を NIZK のに置いたため「コイン作成者だけは追跡できる」漏洩が残った(PaxPay 脚注 10 が指摘)。失敗の仕方が正確だったことで、後続に「何を回路内に入れるべきか」を教えた。著者らは Linera へ。

ul-PCS — Badertscher, Sedaghat, Waldner

ePrint 2023
背景FATF travel rule は「送信者と受信者の属性の組み合わせ」への規制 — 既存の accountable privacy は片側の属性しか見られない。
賭け監査人を一切ループに入れず、署名スキーム自体に F(xS, xR)=1 のときだけ署名可能という制約を焼き込む。公開鍵が credential をプライバシー保護的にエンコードし、受信者の公開鍵を知るだけで非対話に署名できる。
数字署名 <2s・検証 ~1.6s・鍵 28KB・署名 16KB — 述語暗号(PE)に律速され、実装からは最も遠い。
遺産travel rule への「概念的には本命」ポジションを一手に引き受けたまま、PE の効率化を待っている。

threshold BBS+(CCS 2023)/ zk-creds(S&P 2023)

KYC 側の 2 本柱
賭けzk-creds:「発行者の協力を求めるのをやめる」— パスポート等の既存 ID をそのまま汎用 SNARK で匿名クレデンシャル化(提示 <150ms)。threshold BBS+:「発行者の単一性をやめる」— 発行鍵を t-of-n 分散し、しかも「semi-honest プロトコル + 出力署名の検証だけで malicious UC 安全」という異様な単純さで。
遺産合わせて「KYC 発行体という単一障害点」を技術的に解体。IRTF BBS 標準化と合流し、残るは制度設計(R4 リレーの金色バトン)。
2024–2025: 立法仕様の時代 — 条文が安全性定義になる

PayOff — Beer, Kostiainen, Wüst, Capkun

2024
背景イントロがほぼ規制文書の引用: "A recent regulatory proposal by the European Commission defines several requirements for the digital euro" — オフライン・現金並みプライバシー・保有上限。既存研究(e-cash 全部含む)に fully compliant なものは一つもない、と表で示す。
賭けSE 依存の既存解は「SE が破られたら無制限偽造」。SE の故障を前提に入れ、被害が有界で・偽造者と共謀者を事後特定できる、という新しい安全性目標を規制条文から逆算して立てる。
機構状態遷移を ZK コミットメントの連鎖にし、双方オフラインのまま送金を継げる。中銀はランダムに見える値に署名するだけで取引内容を見ない。二重支払いは擬似乱数シリアル + タグで再同期時に検知し、検知時のみ違反者の身元を復元。holding/receiving/sending limits を全対応。
数字オフライン決済は高速、中銀側も中規模計算資源で高負荷を処理。主要限界: オフラインメッセージと保存量が再同期までの取引数に比例して肥大(論文自認)。
遺産規制条文を安全性定義に翻訳する作法のお手本。IBM SE(同年)の「auditor 閾値復号・事前防止」路線と並べると、事後補償 vs 事前防止の設計分岐が読める。

IBM SE オフライン CBDC — Androulaki et al.(IBM Research Zurich)

2024
賭けSE の計算制約を設計で回避する — SE には軽量処理(署名 + 使用済みトークン削除)だけを置き、重い暗号(PS 盲署名 + 匿名クレデンシャル + ZK)はモバイル側で。
機構支払いごとに payer 識別子を auditor 公開鍵で検証可能暗号化して添付。二重支払いが検知された時だけ auditor が復号して身元特定。単一 auditor への集中には t-of-n 閾値復号を推奨。
数字実機スマートカードで 1 決済の認可 <400ms。
遺産「auditor 閾値復号 + SE 二重防御」パターンの決定版。固定額面でないと金額リンクが残る、divisibility 未対応、が次の宿題。

DART — Sarencheh et al.(Kiayias ライン第 3 作)

ePrint 2025
賭け決済を通貨から資産一般へ拡張 — multi-asset で、取引される資産の種類すら秘匿し、per-asset の auditor を割り当て、受領者の明示的な受領確認(affirmation)を入れる。証券・RWA の実務要件への回答。
遺産PaxPay が持たない 3 機能(multi-asset / asset-type privacy / affirmation)の供給源。consensus-free 系との合成が未着手のまま残っている。

BBS# — Desmoulins et al.(Orange Innovation)

ePrint 2025
背景eIDAS 2.0 が BBS 系匿名クレデンシャルを推奨しながら、その実装を不可能にしていた — スマホの Secure Element はペアリング曲線を扱えず、SOG-IS 認証済み署名(ECDSA/ECSchnorr)しか使えない。
賭けペアリングを排除した algebraic MAC(MAC_BBS)を新設計し、Oblivious Issuance of Proofs で公開検証可能な BBS# に変換。ホルダー計算を SE とアプリに分担。
数字StrongBox(Android SE)上で 70–100ms — 規制準拠ハードウェアで動く初の匿名クレデンシャル。
遺産「規制が暗号プリミティブの再設計を強制した」初の明確な事例。研究アジェンダの生成元が暗号会議から規制文書に移ったことの象徴。

Hurricane — Li, Ni et al.(McGill/浙江大/HKUST)

2025
賭けMiCA 施行後の要件を「designated-only traceability」— 正規の規制当局だけが追跡できる — として実装で示す。
機構固定額プール向け Hurricane Cash と任意額 Hurricane UTXO の 2 バリアント。共通部品は①オンチェーン制裁リスト照合、②規制当局の公開鍵による双方向暗号化トレーシング「Eyes」(forward/backward)。Gnark Groth16 でフルスタック実装。
遺産compliant mixer で最も実運用に近い設計指針。複数管轄の鍵管理が open — R3 リレーの次のバトンに直結。

REGKYC — Xiong, Huth, Knottenbelt(Imperial College)

ePrint 2025
背景2024-11 の第五巡回区判決(immutable コントラクトへの制裁は行き過ぎ)を設計動機に明示引用 — 司法判断がプロトコル設計に直接フィードバックされた実例。もう一つの問題意識: CEX は KYC で初期入金アドレスと身元を紐付け、以後の全オンチェーン活動を追える — 過剰な追跡能力。
機構ABAC(属性ベースアクセス制御)フレームワーク + PRIVKYC pool。平時は CEX がユーザーのオンチェーン活動と KYC 身元をリンク不能、不正時のみ authorized deanonymization。MiCA Art.61 等の属性検証を柔軟に構成可能。
遺産「規制責任はコードでなくユーザー/事業者側に置く」という判決の趣旨のプロトコル翻訳。230 デポジッター規模までの実証。

Rayls I / II — Yaksetig et al.(Parfin)

ePrint 2025 ×2
背景学術提案でなく本番稼働(大手 clearing house + CBDC パイロット)からの逆輸入。国家規模 CBDC はプライバシー・監査・性能・耐量子性を同時要求する。
機構各商業銀行が私設プライバシー台帳を運用し、中銀のコミットチェーンにリレイヤー接続するハブ&スポーク。銀行間匿名送金 Enygma(zkLedger 着想 + nullifier)。II で監査を二層に定式化: Universal Audit(ZK の公開検証性で誰でも総和ゼロを確認)と Admin Audit(PQ 鍵共有による view key、資金移動権限なし)。
数字II で ZK 証明生成 3 倍高速化、80,053 制約の回路が Mac mini M1 で実行可能。CSIDH による PQ 鍵合意。
遺産Universal/Admin の 2 層監査は「公開検証 + 限定 view key」分離の実務的リファレンス。Admin 鍵のガバナンス(誰がいつ得るか)は未検討 — 鍵ガバナンス空白の実例。

PaxPay — Brugeres, Languille, Kuznetsov, Zarfaoui

AFT 2025(LIPIcs、実装公開)
背景3 系譜の合流点として設計: PODC の理論 × FastPay–Zef の実装 × PEReDi–PARScoin の規制要件。"many important payment applications, such as CBDC, require mechanisms for regulatory enforcement"。既存を 4 軸表(privacy / model assumptions / regulation / performance)に並べ全勝がないことを示す。
賭け2 つ。① Zef の漏洩は blind signature 検証を Groth16 回路の中に入れれば消える。② full tracing は要らない — compliance coin を持たせれば規制は満たせる。
機構FPAT(Fully Private Asset Transfer)抽象を定義。coin = (value, apk, seed)、serial number = PRF。ユーザーは常に 1 つの compliance coin cc = (apk, ρ, 累計送金額 v, 全履歴の incremental commitment) を持ち、毎送金で消費・再生成(append-only)。π_comply が 11 条件(所有・well-formedness・per-tx 上限・累計上限・送受信者の SancList 非該当 = sorted Merkle 非所属証明)を一括証明。開示は「ユーザー自身が comList から任意の statement を証明」(provable transaction history)。correct validator が semi-honest でも privacy が壊れない — PARScoin より弱い信頼仮定。
数字925 tx/s(16 コア、regulated)= Zef の 8 倍・UTT の 4 倍。検証 5.6ms、証明生成 7s(1 コア)/ 2s(6 コア)。regulated 版の追加コストは proving 約 2 倍のみ。
遺産§8 に「保有上限は非同期 + privacy では困難」と書き残した — R6 リレーの金色バトン。sharding 未実装・trusted setup・単一 asset も次走者への課題。sigma 系への compliance coin 移植は困難と明言 = SNARK 系規制フレームワークの空白を同時に指し示した。
2025–2026: フロンティア — 有界監査・PQ・状態成長・産業波

AuditPay — Tovey, Gilad, Zohar(Hebrew University)

ePrint 2026
背景viewing key 方式(Monero/Zcash)は監査人がユーザーに開示を要求するため「追跡されていること」自体が露呈し、しかも監査人の閲覧量に透明性がない。
賭け問いの反転: ユーザーの匿名性をどう壊すかでなく「監査人の監視能力をどう暗号学的に制限するか」。監査人はエポックあたり N 住所ぶんの監視予算しか持てず、ユーザーは自分が対象かどうか知り得ない。
機構cuckoo graph 構造の audit-key encoding による選択的暗号化。ユーザーは監視対象か否かを知らずに効率的に鍵導出。permissioned validator の正直多数に依存する先行 accountable privacy と異なり、暗号学的仮定のみに依拠。Tornado Cash 拡張として Ethereum 実装。
数字gas オーバーヘッド deposit +5%、withdrawal +20–30%。4 万住所のエンコード約 1 時間(OFAC SDN 1.85 万件は実用圏内)。
遺産監査権限を二値から量的資源に変えた。R3 リレーの現在の先頭。多管轄×予算の合成が次のバトン。

Everlasting Anonymous Rate-Limited Tokens — Chairattana-Apirom, Döttling, Lysyanskaya, Tessaro

ASIACRYPT 2025
背景store-now/break-later: 今日の匿名性は計算量仮定に依存しており、量子計算機が来た日に過去の全利用履歴が遡ってリンクされる
賭け匿名性だけを情報理論的(everlasting)にする。CHKLM (2006) 以来の「文脈ごと N 回・超過で自動的に身元露出」= limit enforcement の原型を、PQ 世界に持ち込む。
機構KZG コミットメント + structure-preserving 署名 + Groth-Sahai 証明。発行コストをトークン上限 k に非依存化。
遺産「上限執行つき匿名性」の最も未来向きの保証水準を定義。重い構成の軽量化と決済プロトコルへの組み込みが次の課題。

A Note on Notes — Bowe, Miers(Zcash コア開発者)

ePrint 2025
背景当事者による自己批判: Zerocash 系(Zcash/Tornado/Railgun/Aleo/Aztec)は全 validator が永久成長する nullifier 集合を保持し続ける。100 tx/s で日次 ~0.5GB — 国家規模に構造的に届かない。
賭けoblivious synchronization: 取引内容に完全に盲目でリンク不能な外部サービスに「コインが未使用かつ有効」の簡潔証明を作らせる。クライアント状態は ephemeral でサービス乗り換え自由。これで validator 側 nullifier の恒久 pruning が可能に。
遺産shielded 系 10 年の最大の技術的負債への正面着手。Visa 規模(1 万 tx/s)到達には未解決が残ると自認 — A2 軸(状態成長)の開拓者。

Qurrency — Choudhuri, Garg et al.

ePrint 2026
背景"deployed in test environments by virtually all large financial institutions ... limitations: (i) privacy, (ii) security against quantum adversaries, (iii) auditability" — 全機関がテストまで来て本番に行けない理由の名指し。ブラジル中銀 Drex の harvest-now-decrypt-later 懸念。
機構UTXO 型プライベート資産システムの初の形式モデル。Groth16 + ML-KEM 暗号化で量子遡及を封じ、暗号文と証明入力の等価性を回路制約に。監査と KYC(送受信者が承認済みレジストリ所属)を証明に内蔵。実在 OSS(LFDT Zeto)の改善に貢献。
遺産privacy + PQ + 監査可能性の初の同時形式化。「学術と中銀パイロットの間の最後の橋」ポジション。

Frontdoors, Not Backdoors(CFT)— Mishra, Chevalley, Burkhart, Ford(EPFL)

ePrint 2026
背景2026 年に実際に稼働する EUDI ウォレット・スイス e-ID。unlinkable な国家 ID は資格の貸し借り(年齢確認の転売)を検知できず、それが匿名クレデンシャル技術全体への規制反発の口実になるという政治的リスクからの逆算。
機構Cryptographic Forensic Trail: 提示ごとにユーザー ID のランダム化暗号文を添付し、不正検知時のみ復号可能。復号には法執行 + 司法 + NGO の三者分立の合意が必要 — 令状主義の暗号的模倣。show あたり ~20% オーバーヘッドでハードウェア互換。
遺産分野最大の空白(鍵ガバナンス = 誰がどんなデュープロセスで開示権を行使するか)への、ほぼ唯一の正面攻撃。

産業 Confidential Transfer 波 — Solana / XRPL / Inco / Merces

2024–2026(Token-2022 / Ripple Research / Inco×Circle / TACEO×Graz)
背景企業の実需(給与・仕入先支払い・戦略的財務データは法律がむしろ秘匿を義務付ける)に対し、学術系のフル匿名は重すぎ規制的にも通らない。
賭け共通の割り切り: 金額と残高だけ秘匿し、送受信者のリンクは公開のまま("confidentiality ≠ privacy")。規制フックを最初から内蔵。
機構Solana Token-2022: ElGamal + equality/validity/range proof の deposit→apply→transfer フロー(ただし ZK ElGamal program は監査で一時停止中 — 本番化の現実)。XRPL Confidential MPT: EC-ElGamal + NIZK、供給量不変式 Outstanding ≤ Max は公開検証可能。Inco Confidential ERC20: FHE ベース、viewing rules / transfer rules を規制向けに内蔵。Merces: 残高を MPC ネットワークの秘密分散で持ち CoSNARK で状態遷移を証明、任意の ERC20 を機密化。
数字Merces 300+ tx/s(証明生成込み・クライアント計算最小)。FHERC20 transfer 832ms(FHE-Rollups)。
遺産「提案段階の包括的プライバシーがローンチ版で消える」パターン(2026 年に 20 CBDC で実証された乖離)の産業側の現在地。学術のフル匿名系との統合 — sender anonymity を後から足せるか — が open。

④ 技術と実装の対応表 — 何がプライバシーを作り、何が規制遵守を作るのかThe Toolbox

この分野の設計は常に 2 層: プライバシーを作る基盤技術(下表 A)と、その上に規制遵守を載せる執行機構(下表 B)。どの基盤にどの執行機構を載せるかの組み合わせが、各論文の正体。

A. プライバシー基盤技術 — 8 つの道具

技術どう隠すか強み / 弱み代表実装
Shielded pool
(commitment + nullifier + SNARK)
コインを commitment 化し、使用済み印 (nullifier) とのリンクを SNARK 内に隠す → 取引グラフが消える◎ 匿名集合 = プール全体(最強)
✗ nullifier 永続成長・証明生成が重い・trusted setup(Groth16 系)
Zerocash/Zcash、Tornado Cash、Privacy Pools、Railgun、Aztec
Blind / threshold 署名・匿名クレデンシャル
(Chaum、PS、Coconut、BBS+)
発行者が中身を見ずに署名 → 発行と使用がリンク不能。閾値化で発行者の単一性も排除◎ 軽量・e-cash と KYC の両方に使える
✗ 発行者インフラが前提
GNU Taler、Zef/PaxPay の coin、threshold BBS+、NITBS、BBS#、Privacy Pass 系トークン
加法準同型暗号 account
(ElGamal / Twisted ElGamal)
残高を暗号文のまま加減算し、正しさを range proof で証明 → 金額・残高が隠れる◎ account model と相性が良い・産業採用しやすい
✗ 送受信者は基本公開(anonymity は別途 ring 等が必要)
Zether→PriDe CT、PGC、KAIME、Solana Token-2022、XRPL MPT
Ring signature / 1-out-of-many「N 人の誰かが署名した」ことだけ証明 → 送信者が匿名集合に溶ける◎ trusted setup 不要・セットアップ軽い
✗ 匿名集合が小さい・decoy 選択が攻撃面・状態が育つ (toxic decoys)
Monero (CLSAG)、Lelantus、Obscura (Algorand LSAG)、Anonymous Zether/PGC の匿名化
MPC(秘密分散残高)残高をノード群の秘密シェアとして保持、状態遷移を協調計算 + CoSNARK で証明◎ 任意計算が可能・クライアント計算最小
✗ MPC ネットワークの非結託信頼
Merces (300+ tx/s)、AML-MPC (銀行間)
FHE暗号文のままスマートコントラクトが計算 → 残高・金額を隠したままプログラマブル◎ プログラマビリティ最強・viewing rules を自然に内蔵
✗ 重い・閾値復号ネットワークへの信頼
fhEVM、FHE-Rollups、Inco Confidential ERC20
TEEハードウェア隔離環境の中で平文処理 → 外からは何も見えない◎ 速い・任意ロジック
✗ side-channel・ベンダー信頼・侵害時の全開
Obscuro (SGX mixer)、CONFIDE (Ant)、Twilight (DP+TEE)
差分プライバシー残高・フローにノイズを注入し、観測からの推論を統計的に有界化◎ 「漏れの量」を定量保証できる唯一の道具
✗ 決済の正確性と相性が悪い(補助層向き)
Twilight (DP PCN, USENIX 2023)

B. 規制機能 × 執行機構マトリクス — 遵守はどう実装されるか

規制機能実装パターン代表例
KYC 参加制限①登録リスト(KYC 済みユーザーだけが初期状態を取得)②匿名クレデンシャル提示(属性だけ ZK 証明)③ABAC(属性ベースアクセス制御のオンチェーン化)PEReDi 登録 / PaxPay registeredList / zk-creds・zkKYC・BBS# / REGKYC・onchain-permissioning
1 回上限 (per-tx)金額を range proof で「上限内」とだけ証明PRCash、PaxPay π_comply 条件 8、Bulletproofs/SwiftRange
累計上限累計額を暗号化状態として持ち回り、毎取引で更新の正しさを証明(e-token の文脈カウンタの子孫)Platypus の自己保持状態、PaxPay compliance coin、everlasting tokens(N 回超過で自動開示)
保有上限送金者・受領者残高の同期的更新が必要 → 同期系のみ達成(PEReDi/Platypus/PayOff)。非同期 + privacy では未達(PaxPay §8)R6 リレーの金色バトン
制裁リスト① sorted Merkle 非所属証明(送受信者が SDN に載っていない)② banned 入金の Merkle 葉ゼロ化 ③オンチェーン照合PaxPay SancList / Haze / Hurricane
事後追跡・脱匿名化① t-of-n 閾値復号(合議でのみ開示)② auditor 宛 verifiable encryption(違反検知時のみ復号)③ revoker 鍵 ④監視予算(エポック毎 N 住所まで、暗号学的に有界)KAIME・Daze・PEReDi quorum / IBM SE / Aleph Zero 型 revoker(制約 10 倍のコスト実測)/ AuditPay
自発開示・自己証明① association set 所属/非所属証明 ② provable transaction history(本人が任意 statement を証明)③ viewing key ④ inalienable tracing(本人のみが解除能力を持つ)Privacy Pools / PaxPay / Zcash・Rayls II Admin / eCash 2.0
供給・準備金の健全性Pedersen 総和ゼロ・PoR/PoL・ZK の公開検証性(誰でも総和を確認)zkLedger、Provisions→Xiezhi、Rayls II Universal Audit、XRPL の supply 不変式
ポリシー執行 (travel rule 型)送受信者の属性の組合せ F(x_S, x_R)=1 を署名条件に焼き込む/ポリシー自体を秘匿ul-PCS / zkAt(AFT 2025, 認証ポリシーの秘匿)

読み方: 例えば PaxPay = 「blind/threshold 署名基盤(A 行 2)+ 登録リスト + range proof + compliance coin + Merkle 非所属 + 自己証明(B の 6 機能)」。論文の新規性はほぼ常に、B のどれかを A の新しい基盤の上で初めて動かすか、B の機構を一段弱い信頼で置き換えるかのどちらかである。

⑤ 論点とモチベーション — 分野を駆動する 8 つの対立軸Live Debates

技術選択の背後には未決着の論争がある。どの論点に立場を取るかが、そのまま研究のモチベーションになる。

D1Hard privacy vs Soft privacy — 保証は暗号か制度か

hard = 人間の裁量が介入できない暗号的保証(Zcash 型)。soft = 条件下で権限者が平文にアクセスできる制度的保証(viewing key・閾値復号)。Auer–Böhme (BIS) は「hard の多くは政策的に排除される」と診断しつつ「hard + ルールベースの限定透明性」の両立可能性を認める。分野の主流は hard な基盤の上に soft な開示を載せるハイブリッドに収束中(=収束パターン「階層的匿名性+閾値開示」)。

D2Proactive vs Reactive — 違反を事前に防ぐか、事後に暴くか

proactive = 取引時点でブロック(Haze の葉ゼロ化・PaxPay の SancList 証明・ul-PCS のポリシー署名)。reactive = 通常は素通しで違反検知時のみ開示(Daze・IBM SE・SeDe)。proactive は false positive が即資金凍結になり、reactive は「検知」の定義と権限が問題になる。両者の統合(compliance-privacy-deep-unsolved の C-1)は未解決のまま

D3誰が鍵を握るか — 最大の空白

単一当局(revoker)→ 閾値委員会(KAIME/IBM SE)→ 三権分立(CFT の法執行+司法+NGO)→ 本人のみ(eCash 2.0)とスペクトラムがあるが、「どの鍵配置がどの法域のデュープロセスを満たすか」の形式化は誰もしていない。TRM Labs(規制実務側)が最重要と名指しする論点なのに、暗号論文は trusted authority 仮定で素通りする — 実務と研究の非対称の核心

D4Full tracing vs Provable history — 追跡権と証明義務のどちらを基本にするか

PEReDi は当局 quorum の追跡権を内蔵、PaxPay は full tracing を「プライバシーリスク」として意図的に排し「本人が任意 statement を証明する」に置換。後者は美しいが、本人が非協力な捜査(脱税・制裁回避)では機能しない。法域によって答えが変わる論点で、multi-jurisdiction 問題と直結。

D5Confidentiality vs Anonymity — 産業の妥協ライン

産業実装(Solana Token-2022 / XRPL / Inco)は金額・残高のみ秘匿し、送受信者リンクは公開のまま — Helius の言葉で "confidentiality, not privacy"。規制と折り合い、監査も簡単になるが、取引グラフ解析には無力。学術系フル匿名との中間(後から sender anonymity を足せる設計)が open。

D6公称 vs 実効匿名性 — 保証はユーザー行動で毀損される

実証研究は一貫してギャップを示す: TC の公称匿名集合はヒューリスティック交差で 27–46% 削減可能(WWW 2023)、BestMixer 押収ログではユーザーの 61% しか IP を隠さず(USENIX 2023)、anonymity mining は実効匿名性に寄与しない。「実効匿名集合を保証する」機構はほぼ未開拓で、暗号設計と行動経済の界面が空白。

D7開発者の法的責任 — コードは言論か事業か

Tornado Cash: 開発者 Pertsev 有罪(蘭)・Storm 起訴(米)vs 第五巡回区の制裁取消判決(immutable コントラクトへの制裁は行き過ぎ)。判決は「規制ロジックはコードでなくユーザー/事業者側に置くべき」と読め、REGKYC がそれをプロトコル設計に直接翻訳した。設計の重心(どこに compliance を置くか)を法廷が動かしている

D8匿名性の時間軸 — 今日の取引は 2035 年も匿名か

harvest-now-decrypt-later が中銀の公式懸念に(ブラジル Drex)。応答は 3 系統: forward secrecy の形式化(PriDe CT)、情報理論的匿名性(everlasting tokens)、PQ 部品への置換(lattice threshold blind sig・Qurrency の ML-KEM)。「匿名性の保証期限」が新しい比較軸になりつつある。

発展の方向 — 3 つのベクトルに集約

  1. Compliance-by-construction の深化 — 規制ロジックを後付け監査でなく取引のデータ構造に埋め込む(compliance coin / ABAC credential / audit budget / tagged token / viewing rules)。B 表の全行がこの方向に動いている
  2. 権限の有界化 — 監査人・発行者・validator の権限を「信頼」から「数学的に有界な能力」へ(閾値化→予算化→デュープロセス形式化。D3 が本丸)
  3. 採用の現実路線 — 産業は confidentiality-first(D5)で本番へ、学術はその上に anonymity・PQ・スケール(nullifier pruning)を後付けする分業が形成中。②進歩のリレーの金色バトンと⑩改善軸の優先度がこの 3 ベクトルの具体的な作業項目

⑥ 論文群が想定する未来像 — 6 つの世界Anticipated Futures

共有される未来: 現金が消え、全取引がデフォルトで可視化・永久保存(量子で遡及復号すら)され、規制が法典からコードに移る世界。通貨を「誰が」出すかでは分岐し、「どう」作るかでは全員が選択的開示に収束する。

W1現金が消え、通貨が国家と BigTech の競争になる

Libra ショックが起点。国家は通貨主権を守るため現金のデジタル代替を出さざるを得ない。

"central banks face growing competition from private actors offering their own digital alternative to physical cash" — Chaum–SNB 2021 担い手: Chaum–SNB / BIS drivers(インフォーマル経済が大きい国ほどリテール CBDC が先行)/ eCash 2.0

W2金融パノプティコンの回避

CBDC は史上最強の監視インフラになり得る。市民側の第一要求はプライバシー。

"private to prevent the emergence of a financial 'panopticon'" — PEReDi (CCS 2022)/"privacy is the most important feature of a CBDC for the survey respondents" — Platypus が引く ECB 公開協議 担い手: PEReDi / Platypus / Auer–Böhme landscape(「ハードプライバシーの多くは政策的に排除される」という悲観予測込み)

W3規制が法典からコードへ

立法が要求仕様書になる。研究の動機が仮説から条文の引用に変わった。

"A recent regulatory proposal by the European Commission defines several requirements for the digital euro" — PayOff 2024 担い手: PayOff(デジタルユーロ条文)/ BBS#(eIDAS 2.0)/ CFT(EUDI)/ Duffie(GENIUS Act、「compliance 重視層と疑似匿名層にユーザーが分岐する」予測)/ regulation-by-design

W4機関金融・実体経済のオンチェーン化

透明性こそが企業採用の阻害要因 — 給与・仕入先支払い・戦略的財務データは法律がむしろ秘匿を義務付けている。

"deployed in test environments by virtually all large financial institutions ... (i) privacy, (ii) quantum, (iii) auditability" — Qurrency 2026 担い手: PriDe CT(JPMorgan Onyx 本番要件 + harvest-now-decrypt-later)/ Inco–Circle / XRPL / UltraMixer(ERC-3643 RWA $32B)

W5インターネット規模の決済インフラ

閉じた銀行網の RTGS でも合意ベースのチェーンでもない、カードネットワーク級の開かれた決済レール。

"RTGS constitute the most common approach to financial payments in closed banking networks, between reputable institutions" — FastPay 2020 担い手: PODC 2019 / FastPay / Astro(敵対時性能)/ PaxPay(CBDC の土台と明言)

W6制裁と共存できなければプライバシー技術は死ぬ

ポスト Tornado Cash。分離均衡・designated-only traceability・司法判断のプロトコル翻訳。番外で「KYC できない人間が存在し続ける世界」(人道支援)。

"a separating equilibrium between honest and dishonest users ... prove regulatory compliance without having to reveal their entire transaction history" — Privacy Pools 2023 担い手: Privacy Pools / Haze–Daze / Hurricane / REGKYC(第五巡回区判決を設計動機に引用)/ EPFL×赤十字ウォレット

⑦ CBDC vs ステーブルコインTwo Institutional Paths, One Toolbox

設計問題は違うのに、解法の道具箱(閾値化された選択的開示・tiered-KYC・compliance-by-construction)は同一に収束している。研究者はどちらが勝つかに賭けなくてよい。

CBDCステーブルコイン
発行体と債務中央銀行の直接債務(現金と同格・信用リスクなし)民間発行体の債務を準備資産で裏付け。発行体倒産リスクあり
法的地位主権通貨。専用法(デジタルユーロ規則案)が設計要件まで法定規制された私的マネー(GENIUS Act / MiCA e-money token)。免許・準備金・償還義務
土台二層モデル: 中銀コア台帳 + 規制仲介者(BoE の PIPs)。permissioned 主流既存 permissionless チェーン(Ethereum/Solana/Tron)に間借り
固有の設計問題保有上限(銀行預金流出 = disintermediation 防止 → PayOff/PaxPay の苦闘)②オフライン(現金代替の建前)③国家監視への市民の不信準備金の健全性証明(→ PoR/solvency 系譜が接続)②発行体レベルの制裁執行(USDC ブラックリスト)③複数チェーン間の一貫性
プライバシーの敵第一に国家自身(発行体 = 監視者になり得る)→ 閾値復号・合議制アクセスが発達第一に公開台帳(チェーンが全公開)→ confidential transfer 拡張が発達
代表論文PEReDi / Platypus / PayOff / IBM SE / Rayls / Chaum–SNBDuffie note / SoK stablecoin (FC 2020) / PARScoin / Inco Confidential ERC20

⑧ 決済インフラのターゲットとゴールPerformance & Functionality Parity

共通目標は 2 つの parity: 現金 parity(対ピア匿名・オフライン・P2P・仲介者不要)+銀行 parity(AML/KYC・上限・制裁・監査)の和集合。性能面はカードネットワーク parity。

スループット対数比較 — 素の決済とプライベート規制決済の間に約 2 桁のギャップ。これを詰めるのが主戦場(バーは log スケール概算)
Hamilton (NSDI 2023, privacyなし)
~1.7M tx/s
FastPay (AFT 2020, privacyなし)
80K+ tx/s
VISA ピーク(参照点)
~65K tx/s
Astro (DSN 2020, privacyなし)
20K tx/s
PaxPay (AFT 2025, privacy+規制)
925 tx/s
Merces (2026, MPC+CoSNARK, 金額秘匿)
300+ tx/s
UTT (CCS 2022, accountable e-cash)
235 tx/s
Zef (WPES 2023, 匿名コイン)
88 tx/s
レイテンシの合格ライン: sub-second finality(FastPay <200ms / PaxPay <500ms / IBM SE 決済認可 <400ms)。クライアント側: 証明生成をモバイルで sub-second に(PaxPay 7s がワースト例)。

機能ゴールの座標系は PaxPay の 4 軸表(privacy / model assumptions / regulation / performance)が事実上の標準。規制機能マトリクス(per-tx limit / 累計 limit / 保有 limit / sanctions / tracing / provable history)の ✗ を ✓ に変えること自体が研究ターゲットになる。

⑨ 会議別の勝ち筋What Gets Accepted Where

CCS — 暗号システムの最高峰

狙いは「不可能とされていた両立の、UC 証明付きフルスタック解決」。新しいプリミティブか新しい同時達成が必須で、性能改善だけでは通らない。

例: PEReDi / Platypus / UTT(2022 同時採択)、threshold BBS+(2023, 単一問題を驚くほど単純な構成+UC で閉じた)、blind multisig(2024)

FC — 新しい問題設定の初出

完成度より「問題を最初に定式化すること」に価値を置く。経済学とのミックスも通りやすい。この分野の系譜の「起点」が集中。

例: Mixcoin(2014, accountable mixer の概念自体)、PRCash(2019)、Zether(2020)、SoK stablecoin(2020)

AFT — システム実装+ベンチマーク

動くものと数字」の会議。実装 repo と再現可能なベンチマークが実質必須。先行を桁で上回るか、実運用の要件を初めて満たす。実装から入る研究者に最も相性がよい。

例: FastPay(2020, 80K tx/s)、Pay Less(2023, TC コスト 7 倍削減)、zkAt(2025, Mysten 実装済み)、PaxPay(2025, Zef の 8 倍)

周辺の分業

S&P / USENIX Security = 攻撃・実測(Anonymous Zether、zk-creds、Twilight、BestMixer 押収ログ)。NSDI = 純システム性能(zkLedger、Hamilton)。ASIACRYPT / PKC / EUROCRYPT = プリミティブ単体(everlasting tokens、OCash、PPB)。

採択される論文の共通の「型」

  1. 実在の規制・機関・事件をイントロに置く(ECB 協議 / デジタルユーロ条文 / TC 制裁 / JPM Onyx)
  2. 既存研究を 3–4 軸の表に並べ「全部○のものは存在しない」と示す
  3. 両立を可能にする一言で言える新概念を一つ導入(compliance coin / association set / blueprint / FPAT / betrayability / audit budget)
  4. 形式証明(CCS なら UC)+実装+先行比 4–10 倍のベンチマーク
  5. 「まだできないこと」を正直に書く(PaxPay の holding limit)— それが次の論文の穴になる(②進歩のリレー参照)

⑩ 改善軸の全体地図 — スループット・レイテンシの先The Full Improvement Space

新しい論文の比較表は throughput/latency の 2 列ではなく 7–8 列で書かれる。どの列で戦うかの選択自体が研究戦略。金枠 = 現時点で最も「効く」軸。

A1計算コスト — 「誰の」コストかで 3 分割

証明者(ユーザー端末)が現状最も痛い: モバイルで sub-second が合格ライン。検証者/チェーンはガスが単位(batch 化・集約が効く)。第三の指標として「コンプライアンスの価格」(規制なし版との差分)が独立した比較軸になりつつある。

現状: PaxPay 証明生成 7s/TC+revoker で回路制約 10 倍・証明 50s/TC deposit ~110 万 gas ≈ $66/credential 検証 L1 ~$15
勝ち方: 同一機能で proving 5–10 倍削減、初のスマホ実機動作、または監査人モデル別「compliance の価格」系統比較(未実施)

A2状態成長 — 「永遠に動かせるか」

nullifier 集合の永続成長、PaxPay の comList、PayOff のオフラインメッセージ肥大(論文自身が主要な限界と明記)、light client 非対応。

現状: 100 tx/s で nullifier が日次 ~0.5GB 成長(note-on-notes)— 国家規模に届かない
勝ち方: 状態を取引数に対し定数/対数に(oblivious sync・bin pruning)、「N 日オフラインでメッセージ X KB 以下」型保証。競合がまだ少ない

A3通信・対話性

受領者の非対話化(PEReDi 同期必要 → PaxPay 非対話。残: RWA の受領確認との両立)、発行の非対話化(NITBS: presignature + 閾値発行で issuance 0.6ms)、帯域の定数化(divisible e-cash の歴史はほぼこれ)。

勝ち方: ラウンド数削減は単体で ASIACRYPT/CCS 級になり得る

A4信頼仮定の弱化 — 性能と同格の勝ち筋

数字が変わらなくても仮定を弱めれば論文になる。validator: honest→semi-honest(PaxPay の売りの半分)→ 次は covert/rational。発行者: 単一→閾値→permissionless(未達・最大空白)。trusted setup 除去。SE 全依存→故障有界(PayOff)。監査人: 無制限→閾値→予算付き(AuditPay)。

勝ち方: 比較表の trust 列を一マス弱くして性能劣化を 2 倍以内に抑える(②のリレー R1/R3/R4 の次のバトンがそのまま論文題目)

A5プライバシーの「質」

実効匿名集合(公称との乖離: TC で 27–46% 削減可能 — 実効サイズを保証する機構は未開拓)。時間方向: forward secrecy(PriDe CT が初形式化)・everlasting/PQ(「今日の取引は 2035 年も匿名か」)。メタデータ: 匿名チャネル仮定の実体化(end-to-end 保証+実測は空白)。金額パターン: 固定額面 vs 任意額のトレードオフ。

A6機能カバレッジ — 規制要件の表を埋める

最大の ✗ は非同期での保有上限(法律が要求する未達機能)。ほか: multi-asset + asset 種別秘匿(DART のみ)、divisibility、オフラインの深さ(何ホップ・何日)、プログラマビリティ(私的送金→DeFi を 1 tx で: Aztec が挑んで sunset した未解決領域)、クロスボーダー/クロス通貨 PvP(ほぼ手つかず)。

A7運用・堅牢性 — FastPay 以来 open の地味な金脈

authority の交代(reconfiguration: 誰も解いていない)、鍵ライフサイクル(revoker 鍵漏洩で全履歴が開く — forward secrecy 欠如)、鍵紛失からの回復(匿名性と回復可能性は相性最悪)、匿名送信者の fee/DoS 問題(BAT 2026 が部品)、攻撃下の性能(Astro: 1/3 侵害でもスループット不変 — 敵対時性能を指標にする発想)。

A8デプロイ現実性

標準互換(ERC-3643 / Token-2022 / XLS-33 / eIDAS — UltraMixer や BBS# はこの軸だけで新規性を立てた)、実装の形式検証(Solana ZK ElGamal が監査で一時停止中という現実)、UX(Aztec 自身が「プライバシー UX は悪い」と認めて撤退。シードフレーズなし・AA 込みの私的決済は未開拓)。

優先度の結論

  1. 証明者コスト — スマホで動かないものは CBDC にならない
  2. 状態成長 — 動き続けられないものは国家インフラにならない(note-on-notes が開けたばかり)
  3. 信頼仮定の弱化 — permissionless 化・監査人の有界化。概念的新規性が立ちやすい
  4. 保有上限 / オフライン深度 — 法律が要求している未達機能
  5. スループット・レイテンシは「規制つきで 2 桁ギャップを 1 桁に詰める」文脈でのみ強い — 単純な高速化はもう差別化にならない