ビットコインのプライバシー保護の主なソリューションと開発の可能性を1つの記事で理解する

著者：Karim Helmy（Coin Metricsのデータアナリスト）とMatthew Batsinelas（Altonomy）

翻訳者：ペリー・ワン

元の記事はブロックチェーンメディアThe Blockに掲載されました。ブロックは、Lianwen に中国語版の翻訳と出版を許可しました。

まとめ

• ビットコインのプライバシーは継続的に改善されています。

• 開発者は、ビットコインブロックチェーンのプライバシー保護を改善するために、 Dandelion 、 Schnorr 、 Taprootなどの基礎となるアップグレードを提案してきました。

• サイドチェーンは、壁で囲まれた庭園内でトランザクションを実行するようなもので、プライバシー保護のためのアップグレードされたソリューションを提供します。

• ライトニングネットワークはプライバシー保護に大きな改善をもたらし、第2層のL2プライバシー保護はアントコロニールーティング、アトミックマルチパスペイメント、 zkChannelなどのプロトコルを通じて目覚ましい進歩を遂げました。

ビットコインブロックチェーンの向かう先

現在、ビットコインでプライベートな取引を行うことは可能ですが、困難です。 CoinJoinおよび関連テクノロジーを活用し、高い水準のプライバシー保護対策を実践するユーザーは、金融プライバシーを保護することができます。さらに、ビットコインのエコシステムには、プライベートな取引や交換を容易にするためのさまざまなツールが登場しています。このプロセスは、ツール、L2 ネットワーク、および Bitcoin ネットワークのコア プロトコルの改善により、ますます容易になります。

ビットコインのプライバシーを向上させる主な方法の 1 つは、ブロックチェーン ネットワークの基盤となるレイヤーをアップグレードすることです。ビットコイン ネットワークは保守的になり、従来のバージョンと互換性がなくコンセンサスを変更するハードフォークを一般的に回避しています。ただし、レガシーノードがブロックチェーンの有効性を検証できるようにする、下位互換性のあるソフトフォークアップグレードは一般的に受け入れられています。

つまり、ソフトフォークを介してネットワークをアップグレードすることは困難な作業です。アップグレードが拒否される理由は、ビットコインのコアビジョンとの技術的な矛盾、ソフトウェアの既存のコンポーネントなど、数多くあります。フォークが成功したとしても、構想から実装まで完了するまでに何年もかかることがあります。

下位レベルのアップグレード

ビットコイン ブロックチェーン ネットワークのアップグレードは難しいかもしれませんが、プライバシー保護をアップグレードする方法はいくつかあり、検討する価値があります。潜在的なアップグレードの 1 つはDandelion++で、これはビットコイン取引のルーティング方法を変更します。

現在、未確認のビットコイン取引は伝播を通じて宣伝されており、ノードはランダムかつ指数関数的に遅延した速度で継続的に取引をピアにブロードキャストしています。 Bitcoin ユーザーのIP アドレスはネットワークに公開されているため、攻撃者はトランザクションが送信された IP アドレスを推測できます。攻撃者は最終的に IP アドレスを Bitcoin アドレスと関連付けることができ、ユーザーの匿名性を事実上破壊することができます。

DandeLion++ は、拡散伝播の代わりに別の伝播方法を使用することを提案します。新しい伝播方法では、トランザクションはまず、ステム フェーズで各ピア ノードに順番に渡され、次にフラッフ フェーズで拡散されます。各ノードはバックボーン フェーズ中に 1 つのピア ノードとのみトランザクションを共有し、バックボーンの長さはランダムに決定されるため、相手側がトランザクションのソースを特定することは困難です。

DandeLion の「Dandelion」伝播段階、出典: https://github.com/bitcoin/bips/blob/master/bip-0156.mediawiki

Bitcoin 改善提案BIP 156により、Dandelion++ がBitcoin ブロックチェーンに正式に組み込まれました。プロトコルはネットワークにソフトフォークすることができ、Dandelion 対応ノードは既存の Bitcoin バージョンを実行しているノードと完全に互換性があります。

ビットコインネットワークのアップグレード計画として最も有望なのは、 SchnorrとTaproot の2 つです。

Schnorr 署名方式は、ビットコイン ブロックチェーンの署名メカニズムを楕円曲線デジタル署名アルゴリズム ECDSA からSchnorr 署名アルゴリズムに変更することを提案しています。このアルゴリズムによって生成された署名(Schnorr 署名)は線形に操作可能です。

この線形関係により、Schnorr 署名のユーザーは複数の独立した署名を 1 つの有効な署名に集約できます。したがって、ユーザーは集約された公開鍵に対してしきい値署名を作成できます。しきい値署名には、支出を許可するのに十分な数の署名者のサブセットからの承認が必要です。このプロセスにより、ユーザーはマルチ署名をオフチェーンに移動できるようになり、ネットワークの拡張に役立ちます。現在のマルチシグとは異なり、しきい値署名もステガノグラフィであるため、しきい値署名とやり取りするトランザクションは、チェーン上の通常のトランザクションのように見えます。

Schnorr 署名集約は、スクリプトレス スクリプトの作成にも役立ちます。スクリプトレス スクリプトにより、ユーザーは特定のスマート コントラクトを秘密裏に作成し、対話できるようになります。すべてのスマート コントラクトをスクリプトレス スクリプトに置き換えることはできませんが、クロスチェーン アトミック スワップや Lightning ネットワークで使用されるオンチェーン スクリプトを表現するために使用できます。

Taproot はSchnorr 署名集約を活用して、共同ケースの参加者に公開されないスマート コントラクトをユーザーが作成できるようにします。関係者が特定の結果に合意した場合、これらの契約を作成し、そこから支出する取引も非公開になります。スクリプトレス スクリプトとは異なり、Taproot は Bitcoin スクリプトで表現できるあらゆる計算に適用できます。

Taproot はスマート コントラクトを独立したステートメントの抽象言語ツリーに変換します。このツリーはその後、Merkle ツリーに再構成され、 Merkle ルートを知っている当事者が、特定のステートメントが契約に含まれていることを検証できるようになります。

すべての当事者が特定の結果に同意する場合、Taproot は結果として得られる Merkle Abstract Language Tree (MAST) を完全に無視します。これは、MAST ルート ハッシュによって調整された当事者間のSchnorr しきい値公開キーを作成し、結果として得られたキーから派生したアドレスに資金を送信することによって実現されます。

協力の場合、ユーザーはこの契約を通じて取引支出を共同で署名し、承認することができます。非協力的なケースでは、ユーザーは、MAST ルートとツリーの関連ブランチを示すトランザクションをブロードキャストすることで、契約から支出することができます。

十分に複雑なスクリプトの場合、非協力的な場合でも、Taproot はオブザーバーに公開する情報が大幅に少なくなり、チェーン上で占有するスペースが大幅に少なくなります。

Schnorr 署名は、ビットコインで使用するためにBIP 340で正式に提案されました。 Taproot は、BIP 341 および 342 でビットコインに組み込むことが正式に提案されました。BIP の作成者は、2 つのアップグレードをまとめて、ソフト フォークを通じて実装することを望んでいます。

これらの BIP で指定されたアップグレードを Bitcoin ブロックチェーンにソフトフォークすると、ネットワーク拡張に大きなメリットがもたらされます。 Schnorr 署名の最も便利な機能の 1 つはクロス入力集約ですが、これは BIP 340-342 には含まれていません。この構造により、ユーザーはトランザクション内のすべての署名を 1 つの署名に集約できるようになります。

クロス入力集約を実装すると、オンチェーンで保持される署名の数が減り、署名が大量のブロックスペースを占めるため、ブロックチェーンの肥大化が大幅に軽減されます。残念ながら、クロス入力集約は現在のオペコード アップグレード メカニズムと競合します。これは、 G'rootと呼ばれる Taproot 拡張機能とバンドルされ、いつかは可能になるはずですが、時間がかかるため、現時点では具体的な計画はありません。

クロス入力集約の実装におけるハードルは、ネットワークのアップグレードの難しさを浮き彫りにしています。もう一つの根本的な改善案である機密取引も、プライバシーと互換性に大きなメリットをもたらすにもかかわらず、実装に大きな障害に直面しています。

機密取引: ケーススタディ 1

機密トランザクション(CT)は、ネットワーク上のプライバシーと互換性を大幅に向上させるビットコインのアップグレード案です。 CT を使用すると、観察者は、関与する資金の実際の金額を知らなくても、トランザクションの入力の合計が出力の合計と等しいことを確認できます。これにより、ネットワーク参加者は、トランザクションのサイズが参加者に公開されないことを保証しながら、トランザクションの有効性を検証できるようになります。

ビットコインブロックチェーンにCTを実装すると、ブロックチェーン分析ツールが資金の流れを効果的に追跡できなくなります。これにより、法令遵守を達成しようとしている企業にとっては困難が生じる可能性がありますが、全体的にはプライバシーは向上します。

CT は単なる理論上の構築ではなく、 MoneroやGrinを含むさまざまな代替コインにも採用されています。 Monero では、CT はリング署名と組み合わせて使用​​され、トランザクションの署名者を難読化し、トランザクションのサイズと送信者を観察者から隠します。結果として生じるトランザクションはビットコインのトランザクションよりもはるかに大きくなりますが、理論的にはプライバシーの保証がはるかに優れています。 CT は、より多くのブロックスペースを占有するだけでなく、ビットコインの基本的な考え方と矛盾するより重大な問題を抱えています。 CT はブロックチェーンの検閲を困難にし、CT 実装のバグによりインフレの抜け穴が生じ、個人が密かに通貨供給量を膨らませることができる可能性があります。

これらの脆弱性は検出が困難であり、ブロックチェーンの整合性を損なうことになります。ビットコインコミュニティーの多くの人々は、この可能性について深く懸念している。その中には、人権財団の最高戦略責任者アレックス・グラッドスタイン氏もいる。同氏は「プライバシーを可能な限り優先することが非常に重要だ。もちろん、監査可能性はこの問題の障害となる。ビットコインブロックチェーンでは、フルノードが通貨供給を監査できないシステムを持つことはできない。結局のところ、この監査はビットコインシステムの価値にとって極めて重要だ」と考えている。

「そうでなければ、それは金融イノベーションではなく、単なる技術イノベーションだ。結局のところ、あまり役に立たないだろう」とグラッドスタイン氏は付け加えた。

したがって、CT が近い将来にビットコイン ブロックチェーンに組み込まれる可能性は低いと思われます。

ビットコインの基盤となるインフラへの他の複数のアップグレード提案も、同様の思想的または実際的な理由により停滞している。しかし、これらの変更の一部はサイドチェーン上で実装することができ、ビットコインの基盤となるインフラストラクチャの更新に対する障害に対処する有望な方法を提供します。

サイドチェーン

サイドチェーンは、ベースチェーン（ビットコイン ブロックチェーンなど）と並行して実行され、そのセキュリティをベースチェーンから得るブロックチェーンです。

Liquid は、フェデレーション セキュリティ モデルを使用する、今日最も注目されているサイドチェーンの 1 つです。このモデルでは、ユーザーは、フェデレーション メンバーによって管理される契約にメインチェーンの資金を預けることで、サイドチェーン上で資金を取得します。ユーザーがサイドチェーン上の資金を管理すると、ベースチェーン上でトランザクションを確認する必要なく、そのチェーン上で自由にトランザクションを行うことができます。ユーザーはサイドチェーン上の資産を燃やして、資金をメインチェーンに返却することができます。

Liquid Federation ブロック署名図、出典: https://arxiv.org/pdf/1612.05491.pdf

フェデレーション セキュリティ モデルでは、ユーザーの資金を保護するウォレット キーを保持するフェデレーション メンバーをユーザーが信頼する必要があります。別のモデルであるマージマイニングは、メインチェーン上のマイナーがサイドチェーン上のトランザクションも順序付けできるようにすることを前提としており、これはメインチェーンとマージされたすべてのブロックに参照を含めることによって実現されます。

マージマイニングの最も注目すべき採用は、 RSKサイドチェーンです。共同マイニングモデルは、フェデレーションセキュリティモデルよりも信頼関係への依存度が低いが、ブロックサイズを秘密裏に増やす方法として批判されてきた。マージマイニングされたブロックチェーンのネイティブトークンはメインチェーン資産建ての負債を表さないため、このモデルを使用すると、メインチェーン資産とサイドチェーン資産間のペグを維持することも、フェデレーションセキュリティモデルと比較してより困難になります。

プライバシーの観点から、サイドチェーンは、ビットコインのメインチェーンでサポートされていない任意のコンセンサスルールとトランザクション検証要件を強制する機能に最も関心があります。たとえば、Liquid は、Bitcoin ではサポートされていない機密トランザクションをサポートしています。サイドチェーンは、新しいテクノロジーをビットコイン ブロックチェーンに導入する前にテストする場合や、ビットコインの社会契約と互換性がない可能性のある信頼ベースのプライバシー プロトコル(zk-SNARK など)を実行する場合に役立ちます。

サイドチェーンは、ビットコインのセキュリティ保証の一部を活用しながら、ユーザーがオフチェーントランザクションを実行できるようにする L2 ネットワークの一種です。 Lightning Network は、L2 ネットワークの別のテクノロジーです。ライトニング ネットワークは、任意のトランザクション検証ルールを強制するために使用することはできませんが、ベース チェーンの更新を必要とせずにビットコイン ユーザーにプライバシーの利点をもたらし、決済保証はサイドチェーンよりも優れています。

ライトニングネットワーク

Lightningは、ビットコイン上に構築されたネットワークで、低料金で即時取引を実行するように設計されています。

ライトニング ネットワークは双方向支払いチャネルの概念に基づいて構築されており、双方向トランザクションの純額が一定額を超えない限り、チャネルを共有する 2 人の参加者がオンチェーン決済なしで自由に取引できます。この金額は、チャネル契約でロックされたオンチェーン資金の金額によって決まります。 Lightning 決済は一連のチャネルを経由して行われるため、2 つの当事者が直接のチャネルを介さずに相互に支払いを行うことができます。

現状では、ライトニング ネットワークはユーザーのプライバシー保護を大幅に改善することができます。ライトニング ネットワークを使用すると、ユーザーはトランザクションをバッチで決済できるため、個々のトランザクションの詳細を監視者に公開する必要がなくなります。さらに、ビットコインの基本的な動作を変更することなく、ライトニング ネットワークが提供するプライバシーの利点をさらに向上させることを目的とした、ライトニング ネットワークのアップグレードがいくつか提案されています。

ライトニング ネットワークは支払いを中間チャネル経由でルーティングするため、2 つの当事者が取引を行ったかどうかを観察者が判断することが困難になります。ライトニング ネットワークの最もエキサイティングな潜在的なアップグレードの 1 つは、アント コロニー ルーティングの実装です。これにより、ライトニング ネットワークが支払いルートを計算する方法が変わります。 Lightning ネットワークは現在、最短パス ルーティングを使用しており、ノードがグローバル ルーティング テーブルを追跡する必要があります。このアプローチはスケーラビリティが低く、攻撃者がネットワークのトポロジを学習し、トラフィックを最適に監視できるように戦略的にノードを配置できるようになります。 Ant Colony Routing は、現在のルーティング メカニズムを、完全に分散され、効率的にスケーラブルで、グラフ学習攻撃に対して堅牢なルーティング メカニズムに置き換えることを提案します。

もう 1 つの機能は、アトミック マルチパス ペイメントAMP です。これにより、ユーザーは支払いを分割し、複数のチャネルを通じて支払いを完了できます。これらの支払いは、成功または失敗にかかわらず、支払いが部分的に受領されることなく、アトミックに実行されます。 AMP により、支払い経路上の仲介者が支払い総額を決定することがより困難になり、ネットワーク内のプライバシーが向上します。さらに、AMP は流動性の低いチャネルでの大規模な支払いをサポートしており、利用可能な流動性が増加します。

Ant Colony Routing と AMP の主な目的は、それぞれ規模と流動性を高めることであり、副次的な利点としてプライバシー保護が挙げられます。一方、現在Bolt Labsが開発中のzkChannelsは、プライバシーを明確に考慮して設計された機能です。これらのチャネルは高度な暗号化を使用して、支払いが少なくとも 1 つの仲介者を経由している限り、受信者が元の送信者の身元を知らなくてもユーザーが支払いを送信できるようにします。この現金のような機能を使用すると、身元を明かすことなく秘密裏に支払いを行うことができます。

支払いプロトコル zkChannels の原理、出典: https://medium.com/boltlabs/zkchannels-for-bitcoin-f1bbf6e3570e

ビットコインにシュノア署名を実装すると、ライトニング ネットワークのプライバシー保護にも役立ちます。スクリプトレス スクリプトを使用すると、ユーザーは機密性の高い支払いを行うLightning チャネルを構築できるようになります。

デジタル時代のプライバシー

ビットコインブロックチェーンはさまざまな方向に引っ張られており、プラットフォームを主に保管人によって保有される金融資産として制度化することを望む人もいる。さらに、ビットコインが高速かつ安価な交換手段として成長することを望む人々もいる。最後のグループは、ビットコインが自己主権的で、完全に検証可能な価値の保存手段であり続けることを望んでいます。これらのグループがどのように相互作用するかは、歴史的に業界の形を決定づけており、今後もそうあり続けるでしょう。

一見すると、ビットコイン ネットワークのプライバシーを向上させることは、各グループの目標と相反しているように思われます。プライバシー保護により、機関が受け取った資金がクリーンであることを確認することが困難になります。基礎となるプライバシー支払いは、透明な支払いよりも多くのブロックスペースを占有します。さらに、プライバシーが低いと、通貨供給量が膨張しているかどうかを検証することが困難になる可能性があります。

しかし、より深いレベルでは、プライバシー保護はこれらの各目標を補完する有用なものとなります。

プライベート決済により、機関は先駆者になることを恐れることなく、多額の資金を送金できるようになります。プライバシー保護により、政府や民間機関に監視されることなく日常の支払いが可能になり、支払いをオフチェーンに移行することで支払いがより​​速く、より低い手数料で行えます。プライバシー保護により、盗難を心配することなく資金を自己管理しやすくなります。

慎重に実装されたプライバシー保護がビットコインの成功の鍵です。