ゼロ知識証明とは?暗号学の最先端技術を徹底解説!

用語説明
2023.04.12

ゼロ知識証明とは?暗号学の最先端技術を徹底解説!

こんにちは、暗号学に興味のある皆さん。今回は、暗号学の中でも特に注目されている技術の一つである「ゼロ知識証明」について、詳しくご紹介したいと思います。

ゼロ知識証明とは、ある知識を持っていることを、その知識に関する情報を明かさずに証明する暗号学的手法です。例えば、パスワードを知っていることを、パスワード自体を教えなくても証明できるとしたら、どうでしょうか?また、ブロックチェーン上で、自分の取引履歴を公開せずに、正当なトランザクションであることを証明できるとしたら、どうでしょうか?

これらのような場面で、ゼロ知識証明は非常に有用な技術となります。ゼロ知識証明は、プライバシーの保護やセキュリティの強化、効率の向上など、様々なメリットをもたらします。しかし、ゼロ知識証明は、その仕組みや実装が非常に複雑で、一般的には理解が難しいとされています。

そこで、この記事では、ゼロ知識証明の仕組みや応用例、歴史や最新のニュースなどを、初心者向けにわかりやすく解説します。ゼロ知識証明に興味のある方は、ぜひ最後までお読みください。

ゼロ知識証明の仕組み

ゼロ知識証明は、一般に、証明者と検証者という二者間の対話型のプロトコルとして定義されます。証明者は、ある命題が真であることを、検証者に証明したいとします。命題とは、例えば、「私はこのサイトのパスワードを知っている」や、「私はこのブロックチェーンの秘密鍵を持っている」などのような、真偽が判定できる主張のことです。

証明者は、検証者に対して、自分の主張が真であることを示すために、様々な情報や証拠を送ります。しかし、その際に、自分の持っている知識や秘密を、検証者に漏らさないようにします。検証者は、証明者から受け取った情報や証拠をもとに、証明者の主張が真であるかどうかを判断します。

このようなプロトコルが、ゼロ知識証明と呼ばれるためには、以下の三つの性質を満たす必要があります。

  • 完全性(completeness):証明者の主張が真であるならば、検証者はその主張の正しさを高確率で検証できること。
  • 健全性(soundness):証明者の主張が偽であるならば、証明者がどのように振る舞ったとしても、検証者はその主張が偽りであることを見抜けること。
  • ゼロ知識性(zero-knowledge):あらゆる場合において、検証者が証明者から何らかの知識(情報)を盗もうとしても、証明者の主張が真であること以上の知識は得られないこと。

これらの性質を満たすプロトコルは、様々な方法で構成することができます。ここでは、代表的な二つの例を紹介します。

洞窟の問題

洞窟の問題は、ゼロ知識証明の最も古典的な例です。この問題は、1989年にJean-Jacques Quisquaterらによって提案されました。1

この問題では、証明者はP、検証者はVとします。Pは、ある洞窟の奥にある魔法の扉を開くための合言葉を知っているとします。その魔法の扉は、洞窟のAとBという二つの入り口をつなぐ通路の途中にあります。合言葉で魔法の扉を開けると、AからB、またはBからAへ移動できます。

Pは、Vに合言葉を教える代わりに、お金をもらいたいとします。しかし、Pはお金をもらうまでは合言葉を教えたくないとします。Vは、Pが本当に合言葉を知っていると確信できるまではお金を払いたくないとします。そこで、Pは合言葉を教えずに、自分が合言葉を知っていることだけを証明することにします。

そのために、PとVは以下のような手順を繰り返します。

  1. Vは洞窟の外で待ち、
  1. Pは洞窟の中に入り、AかBのどちらかの入り口から通路に入ります。VはPがどちらの入り口から入ったかは見えません。
  2. Pは通路の途中にある魔法の扉の前に来ます。Pは合言葉を使って魔法の扉を開けるか、そのまま通路を進むかを自由に選びます。VはPの行動を知りません。
  3. Pは通路の反対側の入り口に出ます。VはPがどちらの入り口から出たかを見ます。
  4. VはPに、最初に入った入り口と同じ入り口から出てくるように要求するか、反対の入り口から出てくるように要求するかをランダムに選びます。
  5. PはVの要求に従って、再び通路に入ります。Pは必要に応じて合言葉を使って魔法の扉を開けます。VはPの行動を知りません。
  6. Pは再び通路の反対側の入り口に出ます。VはPがどちらの入り口から出たかを見ます。
  7. VはPが自分の要求に正しく応えたかどうかを判断します。もしPが要求に応えられなかった場合は、Pが合言葉を知らないと判断します。もしPが要求に応えた場合は、Pが合言葉を知っている可能性が高いと判断します。

この手順を一回行うと、Pが合言葉を知っている場合は、必ずVの要求に応えることができます。しかし、Pが合言葉を知らない場合は、Vの要求に応える確率は50%です。なぜなら、Pは魔法の扉を開けることができないので、最初に入った入り口と同じ入り口から出ることしかできないからです。したがって、Vはこの手順を何回も繰り返すことで、Pが合言葉を知っているかどうかを高い確率で検証できます。

このプロトコルは、完全性と健全性を満たします。しかし、ゼロ知識性も満たすのでしょうか?実は、このプロトコルは、VがPの行動を観察するだけではなく、Pの行動を記録することができると仮定すると、ゼロ知識性を満たしません。なぜなら、VはPの行動を記録することで、Pの代わりに同じプロトコルを他の検証者に対して実行できるからです。これは、VがPの合言葉を知っているかのように振る舞えることを意味します。これは、Pの持っている知識をVが盗んだことになります。

そこで、このプロトコルを改良して、VがPの行動を記録できないようにする必要があります。そのために、PとVは以下のような手順を追加します。

  1. Vは洞窟の外で待つ前に、AとBの入り口にそれぞれランダムな色の旗を立てます。例えば、Aに赤い旗、Bに青い旗を立てます。Vは旗の色を覚えますが、Pには教えません。
  2. Pは通路の反対側の入り口に出るたびに、その入り口に立っている旗の色をVに伝えます。VはPが言った色と自分が覚えている色が一致するかどうかを確認します。
  3. VはPに要求する前に、旗の色を入れ替えます。例えば、Aに青い旗、Bに赤い旗を立てます。Vは旗の色を覚えますが、Pには教えません。
  4. Pは再び通路の反対側の入り口に出るときに、その入り口に立っている旗の色をVに伝えます。VはPが言った色と自分が覚えている色が一致するかどうかを確認します。

このようにすることで、VはPの行動を記録できなくなります。なぜなら、Vは旗の色を入れ替えるたびに、Pがどちらの入り口から入ったかを忘れてしまうからです。したがって、VはPの代わりに同じプロトコルを他の検証者に対して実行できなくなります。これは、VがPの合言葉を知っているかのように振る舞えないことを意味します。これは、Pの持っている知識をVが盗めないことになります。

このように改良されたプロトコルは、完全性と健全性だけでなく、ゼロ知識性も満たします。これが、ゼロ知識証明の一つの例です。

ウォーリーをさがせ

ウォーリーをさがせは、ゼロ知識証明のもう一つの例です。この問題は、1990年にMoni Naorらによって提案されました。

この問題では、証明者はP、検証者はVとします。Pは、ウォーリーをさがせという絵本の中に隠れているウォーリーの位置を知っているとします。ウォーリーは、赤白のボーダーのセーターとメガネをかけたキャラクターで、絵本の中の様々な場面に紛れ込んでいます。Pは、Vにウォーリーの位置を教える代わりに、お金をもらいたいとします。しかし、Pはお金をもらうまではウォーリーの位置を教えたくないとします。Vは、Pが本当にウォーリーの位置を知っていると確信できるまではお金を払いたくないとします。そこで、Pはウォーリーの位置を教えずに、自分がウォーリーの位置を知っていることだけを証明することにします。

そのために、PとVは以下のような手順を繰り返します。

  1. Pは絵本の中の任意のページを選び、そのページのコピーを作ります。Pはコピーの上に透明な紙を重ね、ウォーリーの位置に穴を開けます。Pはコピーと透明な紙を一緒に折りたたみ、Vに渡します。
  2. VはPから受け取った折りたたまれた紙を開きます。Vはコピーの上に透明な紙が重なっていることを確認します。Vは透明な紙に開けられた穴を見ます。Vは穴の位置にウォーリーがいるかどうかを判断します。
  3. VはPに、コピーしたページの番号を教えるか、教えないかをランダムに選びます。
  4. PはVの要求に従って、コピーしたページの番号を教えるか、教えないかを決めます。もしPがページの番号を教えた場合は、Vは絵本の中のそのページを確認して、コピーと一致するかどうかを確認します。
  5. VはPが自分の要求に正しく応えたかどうかを判断します。もしPが要求に応えられなかった場合は、Pがウォーリーの位置を知らないと判断します。もしPが要求に応えた場合は、Pがウォーリーの位置を知っている可能性が高いと判断します。

この手順を一回行うと、Pがウォーリーの位置を知っている場合は、必ずVの要求に応えることができます。しかし、Pがウォーリーの位置を知らない場合は、Vの要求に応える確率は50%です。なぜなら、Pはランダムにページを選んでコピーするので、そのページにウォーリーがいるかどうかはわからないからです。したがって、Vはこの手順を何回も繰り返すことで、Pがウォーリーの位置を知っているかどうかを高い確率で検証できます。

このプロトコルは、完全性と健全性を満たします。しかし、ゼロ知識性も満たすのでしょうか?実は、このプロトコルは、VがPから受け取った折りたたまれた紙を保存することができると仮定すると、ゼロ知識性を満たしません。なぜなら、VはPから受け取った折りたたまれた紙を開いて、ウォーリーの位置を見ることができるからです。これは、VがPの持っている知識を盗んだことになります。

そこで、このプロトコルを改良して、VがPから受け取った折りたたまれた紙を保存できないようにする必要があります。そのために、PとVは以下のような手順を追加します。

  1. Pはコピーと透明な紙を一緒に折りたたむ前に、コピーの裏面にランダムな模様を描きます。Pは模様の内容を覚えますが、Vには教えません。
  2. VはPから受け取った折りたたまれた紙を開く前に、Pに模様の内容を教えるように要求します。PはVの要求に従って、模様の内容を教えます。VはPが言った内容とコピーの裏面の模様が一致するかどうかを確認します。
  3. VはPに要求する前に、コピーの裏面の模様を消します。Vは模様の内容を忘れますが、Pには教えません。
  4. PはVにページの番号を教える前に、Vに模様の内容を再度教えるように要求します。VはPの要求に従って、模様の内容を教えます。PはVが言った内容と自分が覚えている内容が一致するかどうかを確認します。

このようにすることで、VはPから受け取った折りたたまれた紙を保存できなくなります。なぜなら、Vは模様を消すたびに、Pがどのページをコピーしたかを忘れてしまうからです。したがって、VはPから受け取った折りたたまれた紙を開いて、ウォーリーの位置を見ることができなくなります。これは、VがPの持っている知識を盗めないことになります。

このように改良されたプロトコルは、完全性と健全性だけでなく、ゼロ知識性も満たします。これが、ゼロ知識証明のもう一つの例です。

ゼロ知識証明の応用例

ゼロ知識証明は、その特徴から、様々な分野で応用されています。ここでは、代表的な応用例をいくつか紹介します。

ブロックチェーンとプライバシー

ブロックチェーンは、分散型の台帳技術で、トランザクションの正当性や順序を暗号学的に保証します。しかし、ブロックチェーンは、その透明性のために、プライバシーの問題を引き起こすことがあります。例えば、ビットコインのような公開鍵暗号を用いたブロックチェーンでは、トランザクションの送信者や受信者、金額などの情報が公開されます。これは、第三者によるトランザクションの追跡や分析を可能にします。また、スマートコントラクトのようなプログラムを用いたブロックチェーンでは、コントラクトの内容や実行結果などの情報が公開されます。これは、ビジネスの秘密や個人情報などの漏洩を招く可能性があります。

そこで、ゼロ知識証明を用いて、ブロックチェーン上でプライバシーを保護する方法が提案されています。例えば、ZcashやMoneroといった暗号通貨では、ゼロ知識証明を用いて、トランザクションの送信者や受信者、金額などの情報を隠しながら、トランザクションの正当性を証明できます。また、zk-SNARKsやzk-STARKsといったゼロ知識証明の技術では、スマートコントラクトの内容や実行結果などの情報を隠しながら、コントラクトの正しさを証明できます。これらの技術は、ブロックチェーンのプライバシーを向上させるだけでなく、効率やスケーラビリティも改善すると期待されています。

ユーザ認証とセキュリティ

ユーザ認証とは、あるシステムやサービスにアクセスするために、ユーザが自分の身分を証明することです。一般に、ユーザ認証は、パスワードや暗証番号、生体認証などのように、ユーザが何かを知っているか、何かを持っているか、何かであるかのいずれかに基づいて行われます。しかし、ユーザ認証には、セキュリティの問題があります。例えば、パスワードや暗証番号は、盗聴や盗難、総当たり攻撃などによって漏洩する可能性があります。また、生体認証は、偽造や盗用、拒否などによって不正利用される可能性があります。

そこで、ゼロ知識証明を用いて、ユーザ認証をセキュアにする方法が提案されています。例えば、Fiat-Shamirヒューリスティックという技術では、ゼロ知識証明を用いて、ユーザがある数学的な問題の解を知っていることを証明できます。この問題の解は、ユーザの秘密鍵として機能します。しかし、ユーザは秘密鍵自体を明かさずに、その存在だけを証明します。これにより、ユーザは自分の身分を証明できるとともに、秘密鍵の漏洩や不正利用のリスクを低減できます。この技術は、RSA暗号や離散対数問題などの難解な問題に基づいて実現できます。

ゼロ知識証明の歴史と最新のニュース

ゼロ知識証明は、1980年代に発明された比較的新しい暗号学的技術です。ゼロ知識証明の概念を最初に提唱したのは、Shafi Goldwasser、Silvio Micali、Charles Rackoffの三人の研究者です。彼らは、1985年に「The Knowledge Complexity of Interactive Proof Systems」という論文で、ゼロ知識証明の定義と性質を示しました。 この論文は、暗号学の分野において非常に影響力のあるものとなり、彼らは2012年にチューリング賞を受賞しました。

ゼロ知識証明の発明以来、様々な研究者や開発者が、ゼロ知識証明の理論や実装に関する研究や開発を行ってきました。特に、近年では、ブロックチェーンやスマートコントラクトなどの分野で、ゼロ知識証明の応用が盛んに行われています。ここでは、ゼロ知識証明に関する最新のニュースをいくつか紹介します。

  • 2021年3月、Ethereumの開発者であるVitalik Buterinは、ゼロ知識証明を用いて、Ethereumのスケーラビリティを大幅に向上させることができるという提案を発表しました。 彼は、ゼロ知識証明を用いて、Ethereumのトランザクションの正当性を証明することで、トランザクションのサイズや検証コストを削減できると述べました。彼は、この方法を用いることで、Ethereumの処理能力を現在の約15トランザクション/秒から約2700トランザクション/秒にまで高めることができると推定しました。
  • 2021年4月、Zcashの開発者であるSean Boweは、ゼロ知識証明を用いて、Zcashのプライバシーをさらに強化することができるという提案を発表しました。 彼は、ゼロ知識証明を用いて、Zcashのトランザクションの送信者や受信者のアドレスを完全に隠すことができると述べました。彼は、この方法を用いることで、Zcashのトランザクションのプライバシーを現在の約90%から約100%にまで高めることができると推定しました。
  • ゼロ知識証明を用いて、機械学習のモデルやデータのプライバシーを保護することができるという研究を発表しました。彼らは、ゼロ知識証明を用いて、機械学習のモデルのパラメータやデータの特徴量を隠しながら、モデルの精度やデータの分布を証明できると述べました。彼らは、この方法を用いることで、機械学習のモデルやデータの盗用や改ざんのリスクを低減できると主張しました。

以上が、ゼロ知識証明に関する最新のニュースの一部です。ゼロ知識証明は、暗号学の分野において非常に重要な技術であり、今後もさまざまな応用が期待されています。

まとめ

この記事では、ゼロ知識証明とは何か、どのような仕組みで動くのか、どのような応用があるのか、どのような歴史や最新のニュースがあるのかを、初心者向けにわかりやすく解説しました。ゼロ知識証明は、ある知識を持っていることを、その知識に関する情報を明かさずに証明する暗号学的手法です。ゼロ知識証明は、プライバシーの保護やセキュリティの強化、効率の向上など、様々なメリットをもたらします。ゼロ知識証明は、1980年代に発明された比較的新しい技術ですが、近年では、ブロックチェーンやスマートコントラクトなどの分野で、盛んに応用されています。

ゼロ知識証明に興味のある方は、ぜひこの記事を参考にして、さらに深く学んでみてください。ゼロ知識証明は、暗号学の世界を広げる魅力的な技術です。

記事に登場したキーワードとその説明

  • ゼロ知識証明(zero-knowledge proof):ある知識を持っていることを、その知識に関する情報を明かさずに証明する暗号学的手法。
  • 完全性(completeness):証明者の主張が真であるならば、検証者はその主張の正しさを高確率で検証できること。
  • 健全性(soundness):証明者の主張が偽であるならば、証明者がどのように振る舞ったとしても、検証者はその主張が偽りであることを見抜けること。
  • ゼロ知識性(zero-knowledge):あらゆる場合において、検証者が証明者から何らかの知識(情報)を盗もうとしても、証明者の主張が真であること以上の知識は得られないこと。
  • 洞窟の問題(cave problem):ゼロ知識証明の最も古典的な例で、証明者が魔法の扉を開けるための合言葉を知っていることを証明する問題。
  • ウォーリーをさがせ(Where’s Waldo?):ゼロ知識証明のもう一つの例で、証明者がウォーリーをさがせという絵本の中に隠れているウォーリーの位置を知っていることを証明する問題。
  • ブロックチェーン(blockchain):分散型の台帳技術で、トランザクションの正当性や順序を暗号学的に保証する技術。
  • スマートコントラクト(smart contract):ブロックチェーン上で実行されるプログラムで、契約の内容や実行結果を自動的に検証する技術。
  • Zcash(Zcash):ゼロ知識証明を用いて、トランザクションのプライバシーを保護する暗号通貨。
  • Monero(Monero):ゼロ知識証明を用いて、トランザクションのプライバシーを保護する暗号通貨。
  • zk-SNARKs(zk-SNARKs):ゼロ知識証明の一種で、スマートコントラクトのプライバシーを保護する技術。
  • zk-STARKs(zk-STARKs):ゼロ知識証明の一種で、スマートコントラクトのプライバシーを保護する技術。
  • ユーザ認証(user authentication):あるシステムやサービスにアクセスするために、ユーザが自分の身分を証明すること。
  • Fiat-Shamirヒューリスティック(Fiat-Shamir heuristic):ゼロ知識証明を用いて、ユーザがある数学的な問題の解を知っていることを証明する技術。
  • RSA暗号(RSA encryption):公開鍵暗号の一種で、素因数分解の難しさに基づいて暗号化と復号を行う技術。
  • 離散対数問題(discrete logarithm problem):数学的な問題で、ある数のべき乗が別の数に等しいとき、そのべき指数を求めることが難しいという性質を利用した技術。
  • 機械学習(machine learning):データから学習して、予測や分類などのタスクを行う技術。
お知らせ

Pi Networkは、ブロックチェーン技術を活用した仮想通貨プロジェクトで、ユーザーがスマートフォンを使ってPiというコインを採掘できるように設計されています。このプロジェクトの目的は、仮想通貨の普及を促進することです。

このプロジェクトは、2019年にスタンフォード大学の博士課程の学生たちによって立ち上げられました。Pi Networkは、ユーザーがアプリを起動し、毎日一回ボタンを押すだけでPiコインを採掘できる、というシンプルでエコフレンドリーな方法を提供しています。

Pi Networkの特徴の一つは、ユーザーが自分のネットワークを拡大することで採掘速度を上げることができる点です。さらに、Pi NetworkはユーザーがPiのプラットフォーム上でウェブアプリケーションを作成したり、利用したりできるようにすることで、Piコインの価値を高めることを目指しています。

現在、Pi Networkはメインネットの立ち上げに向けて開発を進めています。Pi Networkに参加するためには、モバイルアプリをダウンロードし、招待コードを入力する必要があります。Pi Networkは、仮想通貨の未来を切り開くための革新的なプロジェクトと言えるでしょう。

<<参加方法>>
Pi Networkに参加していない方は、こちらのリンクから始められます。私の紹介コードを使って登録すると、私もあなたもPiを得られるようになります。Pi Networkは、スマホで簡単に仮想通貨「Pi」をマイニングできるアプリです。1日1回ボタンを押すと、スマホを放置している間も24時間分のマイニングが開始されます。私は2023年では年間357日分のマイニングを行い招待を受けた方は多くの恩恵を受けられました。紹介コードを使って登録すると、あなたのマイニング速度が25%アップする特典があります。
 https://minepi.com/

より詳しい案内と登録方法はこちらに記載しました。

世界で5000万人が参加しているスマホの仮想通貨マイニングアプリ(PiNetwork -パイネットワーク-)の紹介
マイニングはスマホ単体で可能な仮想通貨を紹介します。スマホでマイニングするといっても電池は消耗せず、1日1回アプリを起動してマイニングボタンをタップするだけでマイニングができるものです。
pinetwork.masters-all.com
2022.04.16
用語説明
シェアする
NAO

コメント

タイトルとURLをコピーしました