ビットコインは、ほぼ14年前に立ち上げられ、中間業者を排除することで金融取引を革新しました。イーサリアムとスマートコントラクトの登場により、取引、貸出、オプションなどの複雑な金融商品から中間業者を排除するトレンドがさらに加速しました。ただし、中間業者を排除するコストとして、プライバシーを犠牲にすることがしばしばありました。私たちのオンチェーンのアイデンティティと取引は、集中型取引所、オン/オフランプ、オンチェーンアナリティクス企業、その他多くのエンティティによって簡単に追跡されます。このオンチェーンの透明性により、企業支払い、専用オンチェーントレーディングなどの多くのユースケースにおけるWeb 3の拡大が制限されています。

この問題は新しいものではなく、多くのプロジェクト（例：zCash）が2016年以来、Zero-Knowledge Proofs（ZKPs）などの技術を導入して解決しようと試みてきました。その後、ZKテクノロジーは狂気的な速度で進化しています。さらに、Fully Homomorphic Encryption（FHE）や安全なMulti-party Computations（MPC）などの他の多くの技術が登場して、チェーン上でのプライベートデータの使用に関するより高度なシナリオに対処しています。

アライアンスでは、オンチェーンのプライバシーが以前は不可能だったユースケースを可能にし、したがって、次の数年間のWeb 3の中心テーマとなると信じています。プライバシーインフラストラクチャやプライベートステートを必要とするアプリケーションを構築している創業者であれば、あなたをサポートしたいと考えています。リーチアウトおよび適用する同盟.

プライベートステートの異なる種類

オンチェーンでのプライベートデータの使用は、このデータが暗号化されていることを意味します。そのデータのプライバシーは、暗号化/復号化キーの所有権に依存します。このキー、つまりプライバシーキーは、通常のプライベートキー（取引に署名するためのキー）とは異なることがよくあります。前者はデータのプライバシーを制御し、後者はこのデータを変更することを制御します。

プライバシーキーの所有権の性質は、異なる種類のプライベートステートにつながります。プライベートステートの種類は、このステートをチェーン上でどのように表現し、このステートを処理する最良の方法に大きく影響します。一般的に、プライベートステートは、個人プライベートステート（PPS）と共有プライベートステート（SPS）に分けることができます。

パーソナルプライベートステート

これは、データ/状態が単一のエンティティによって所有され、このエンティティだけがそれを表示または変更できることを意味します。このエンティティは、他の人々がデータを表示することを許可することも決定できます。例としては、このプライベートな状態の一部またはすべてに閲覧キーを共有することなどが挙げられます。

• プライベートトークン残高
• プライベートな資格情報または個人情報。これには年齢、市民権、投資家認定ステータス、Twitterアカウント、またはWeb 3で利用可能なその他のWeb 2データが含まれます
• プライベートトランザクション履歴

共有プライベートステート

複数の人がプライバシーを壊さずに計算に使用/変更できるプライベートデータである共有プライベートステート（SPS）です。 SPSは誰でもアクセス可能な状態であり、したがって任意のユーザーによって変更できます。これはダークプールAMMの状態、プライベート貸出プールの状態などである可能性があります。 SPSは、アクティブなプレイヤーのみに状態を変更させるオンチェーンマルチプレイヤーの状態など、少数の参加者に制限される場合もあります。また、モデルオペレーターなどのごく少数のエンティティがプライベートデータ上で計算を実行できるオンチェーンAIモデルへのプライベート入力も含まれる場合があります。

SPSは個人のプライベートステートよりも管理が難しいです。SPSで実行できる計算の種類や、その計算が情報漏洩の可能性があるかどうかを理解することは常に困難です。たとえば、ダークプールAMMに対して取引を実行すると、プール内の流動性に関する情報が漏洩する可能性があります。

ZKPs、FHE、およびMPC

オンチェーンのプライベートステートを処理するためのさまざまなアプローチがあります。各アプローチは特定のプライベートステートのタイプに適しており、特定のアプリケーションセットに適しています。多くの場合、有用なアプリケーションを作成するには、これらのアプローチを組み合わせる必要があります。

ゼロ知識証明

オンチェーンプライバシーを処理するために現れた最初のアプローチは、ZKP を利用するものでした。このアプローチは、個人のプライベートデータに特に適しています。このアプローチでは、データの所有者は単純にデータをローカルでプライバシーキーを使用して復号し、必要な変更を行い、その結果をキーを使用して暗号化し、最後に ZKP を生成して、プライベートステートへの変更が有効であることをネットワークに証明します。

これにより、ZKは特に支払いネットワーク、例えばzCash、Iron Fishなどに適しています。これらのアーキテクチャでは、ユーザーがプライベートアセットを使用して取引を行うとき、すべての計算をローカルで行い、つまり、UTXOを消費し、受信者のために新しいUTXOを作成し、プライベートトークンの残高を修正します。計算とZKP生成はユーザーのデバイスでローカルに行われるため、残高と取引履歴のプライバシーが保護されます。ネットワークのマイナーは生成されたZKPと新しい暗号化されたUTXOのみを見ることができます。

支払いを実行するために必要な計算の単純さにもかかわらず、プライベート支払いのUXは、長いZKP生成時間のために困難でした。しかし、zk証明システムの大幅な改善により、単純な支払いのための証明生成時間が、消費者向けハードウェアでは1秒未満に短縮されました。これにより、zkベースのシステムに一般的なプログラム可能性を導入することも可能になりました。アステカ そして Aleozkベースのチェーンに一般的なプログラム性をもたらしている2つの優れたネットワークがあります。AztecとAleoはいくつかの違いがありますが、どちらも主にZEXEモデルこのモデルでは、各アプリケーションはzk-回路として実装する必要があります。これにより、ネットワークはアプリケーション開発者やユーザーのためにzkの複雑さを抽象化する必要が生じました。これには、ハイレベルのプログラミング言語（例：Noir（Aztec）およびLeo（Aleo）など）の作成が必要であり、これらは効率的に高レベルのコードをzk回路に変換できます。

例えば、AztecはNoirを使用し、それに関連するスマートコントラクト開発フレームワークを使用しています。Aztec.nr、すべてのスマートコントラクトを関数のセットに分割します。各機能はzk回路として実装されています。ユーザーは必要な機能をダウンロードし、デバイスでローカルにコンピューティングを実行することで、プライベートデータで一般的なコンピューティングを行うことができます。Aztecのスマートコントラクトの実行の詳細については、こちらで議論されていますスレッド.

Aztecのような実装は、一般的なプログラム可能性を導入することでzkシステムの利便性を大幅に向上させました。しかし、このようなシステムにはまだいくつかの課題があります:

1. プライベートステート上の任意の計算はクライアント側で行われなければなりません。これによりUXが低下し、ネットワークを使用するためには能力のあるデバイスを持っているユーザーが必要とされます。
2. zkアプローチは共有プライベートステートを処理するには適していません。デフォルトでは、すべてのアプリケーションにはパブリックステートがあります。これにより、情報が不完全なゲームやプライベートDeFiなどのアプリケーションを構築することが難しくなります。
3. より困難な合成性、複数のプライベートステートを変更する必要があるトランザクションを実行することはできません。各ステートは別のユーザーによって計算される必要があります。このようなトランザクションは複数のブロックに分割され、それぞれの部分が別々のブロックで実行される必要があります。
4. プライベートデータの発見にも課題があります。ユーザーがプライベートな状態でトランザクションを受け取った場合、プライバシーキーを使用してその状態を解読しようとするまで、ネットワーク全体のプライベート状態をダウンロードする必要があります。これにより、ユーザーにとってはバランスを照会するなどの単純なタスクでもユーザーエクスペリエンスが大きな課題となります。スレッド.

zkベースのシステムに適したアプリケーション

zkの強力なプライバシー保証は、多くのユースケースに適しています

匿名ソーシャルメディア

一部の有名人は、社会からの反発やキャンセルを恐れて、自分の真の思いや経験を共有できません。これが、参加者が自分自身について特定の特性をプライベートに証明し、たとえば、チェーン上の富や特定のNFTの所有権を利用して、実際のアイデンティティを明かさずに匿名で投稿できる新しいタイプのソーシャルメディアを奨励しています。例には、クジラの歌同僚による試作品David,

オンチェーンの秘密資格情報

関連する例として、特定の資格を持つ人々が匿名でDAOに参加したり、特定の専門知識を必要とするトピックに匿名で投票したりすることができるようにすることが挙げられます。そのWeb 3の例は、HeyAnoun. より広いアプリケーションドメインは、例えば、実際の富、学位などの実際の資格を活用して、匿名でオンチェーンプロトコルに参加することです。チェーン上のプライベートな実際の資格をオンボーディングすることで、担保のないDeFi貸出、オンチェーンKYC、または地理的なゲートを含む複数のユースケースが可能になります。 ZKは、これらのユースケースに適しています。なぜなら、特定の状況で使用できるプライベートステートの一部に対する専用の表示キーの存在を許可するからです。たとえば、ローンのデフォルト。

オンチェーン上でのIRL資格証明書の主な課題は、IRL資格証明書/データの正当性を保証する方法です。そのようなアプローチのいくつかは、zkEmail と TLSNotary特定のウェブドメインへのウェブトラフィックの認証を通じて、この問題に対処し、ドメインに必要なデータが含まれていることを確認します。

エンタープライズ請求/支払い

プライベート支払いの重要なサブセットは企業支払いです。企業はしばしばビジネスパートナー/サプライヤーまたは契約条件を公開したくありません。オンチェーン支払いの透明性は、ステーブルコイン支払いの企業採用を制限しています。適切なオンチェーンプライバシーがあれば、企業のオンチェーン支払いの採用既存の銀行の支払いシステムと比較して、効率とコスト効率が向上したことに基づいて加速できます。

FHEアプローチ

完全同型暗号化は、計算を暗号化されたデータ上で行い、計算中にデータを復号化することなく正しい暗号化された結果を生成することを可能にします。これにより、FHEは共有プライベート状態を処理するのに特に適しています。FHEを使用すると、プライベートなAMMプールやプライベートな投票箱など、プライベート状態を持つオンチェーンアプリケーションを作成できます。プライベート状態は暗号化された形式でオンチェーン上に存在し、どのユーザーでもこのデータ上で計算を行うことができます。オンチェーンにFHEを組み込むことで、これまで不可能だったプライベートな投票や情報不完全なゲーム（例：ポーカー）など、多くのユースケースを可能にし、簡素化することができます。

FHEの利点

FHEの重要な利点の1つは、さまざまな側面での合成性の向上です。

1. 複数の取引/ユーザーが同じブロック内で同じプライベートステートを変更できる。たとえば、複数のスワップが同じダークプールを使用できる。
2. 単一の取引で複数のプライベートステートが変更されることがあります。たとえば、スワップ取引では、複数のダークAMMプールを利用してスワップを完了することができます。

もう一つの利点は、ユーザーエクスペリエンスの向上です。FHEでは、プライベートステートに関する計算をネットワークの検証者が行い、これらの計算をより速く行うために専用ハードウェアを展開することができます。

FHEの3番目の利点は、開発者の体験が向上することです。開発者は依然としてプライベートな状態を適切に扱うためにメンタルモデルを更新する必要がありますが、この壁はzkシステムよりも低くなっています。まず、FHEシステムは、スマートコントラクトチェーンが使用するのと同じアカウントモデルで動作することができます。さらに、FHE操作は既存のVM実装の上に追加することができ、ユーザーは同じ開発フレームワーク、ツール、ウォレット、およびインフラを使用することができます。これは、fhEVM実装からZamaそれは単に暗号化された変数とFHE操作をプリコンパイルとして追加しただけです。直感に反することに、この利点はオンチェーンのプライベートアプリケーションの成長にとって重要です。開発者が興味を引く興味深いアプリケーションを作成する鍵です。シームレスな開発者体験は、より多くの開発者をFHEスペースに引き付けることができます。

FHEの制約

プライバシー信頼前提

FHEチェーンでは、すべてのプライベートステートに対してグローバルな暗号化/復号化キーが必要です。これは合成可能性を達成するために重要です。通常、これらのキーはバリデーターグループによって管理され、プライベートステート上のFHE操作の結果を復号化できるようになっています。つまり、バリデーターグループも信頼できる既存のプライベートステートのプライバシーを侵害しないようにすること。

潜在的なプライバシーリーク
暗号化されたデータ上で複数の計算を実行すると、プライバシーが侵害される可能性があります。たとえば、ダークAMMプールで実行された取引は、プールの現在の流動性構造についていくつかの情報を明らかにする可能性があります。

FHE計算の計算量の複雑さ

高度な実装を行っても、FHE演算は通常の演算よりも1000倍から1,000,000倍も計算コストがかかります。この複雑さにより、オンチェーンのFHEアプリケーションの可能なスループットが制限されます。Inco Networkの現在の推定では、FHE演算のスループットが1〜5 TPSの間になるとされています。GPUやFPGAのアクセラレーションを活用することで、このスループットを10〜50倍に加速させることが可能です。

ソース: https://eprint.iacr.org/2021/1402.pdf

FHEシステムに適したアプリケーション

FHEシステムは、高度な合成能力が必要なアプリケーションに特に適しています

情報不完全なゲーム。ここでの例には、トランプゲーム（例：ポーカー）が含まれます。トランプデッキの状態がアクセス可能で、複数のプレイヤーによって変更可能です。

秘密投票、FHEは、以前の投票結果を知らずに投票数を変更できる場合に、秘密投票の実装を簡略化します

プライベートAMM、一般的にはプールの状態を暗号化変数として表現することで、プライベートAMMやプライベートDeFiプールの実装が簡素化されています。

MPCアプローチ

マルチパーティー・コンピューティング（MPC）は、資産保管の特定のユースケースで暗号業界で知られており、人気があります。この分野のいくつかの大手企業、例えば、ファイアブロックhave built successful businesses around using secure MPC for concurrency custody. Further, many wallet-as-a-service providers, e.g, Coinbase, 0xPass、MPCを利用してウォレットのセキュリティとUXを改善します。

ただし、MPCは秘密鍵を保護するためだけでなく、一般的には、秘密の入力（つまりデータ）を処理し、その計算の出力のみを明らかにすることで、入力のプライバシーを侵害せずに問題を解決します。資産の保管の具体的な文脈では、秘密の入力は秘密鍵の断片です。これらの断片の所有者は、これらの秘密の入力に対して「計算」を行うために協力します。ここでの計算は、トランザクション署名を生成することです。ここでの多数当事者は、それぞれが秘密の入力（つまり、秘密鍵）にアクセスせずに署名を共同で生成および復号化します。

同様に、MPCはデータを公開せずにプライベートデータ上で任意の計算を可能にします。これにより、MPCはブロックチェーンのコンテキストでプライベートステートを扱うことができます。その一例が、プライベートデータセット上での分散型AIトレーニングです。異なるデータ所有者やコンピュートプロバイダーが協力して、プライベートデータセット上でMPCベースのAIトレーニングを実行し、モデルの重みを計算することができます。計算の出力である重みは、トレーニングフェーズ後にMPCグループによって復号化され、完成したAIモデルが作成されます。

多くのMPC実装は、つまり、正直な少数派、つまりzkシステムと同様のプライバシー保証を持つデータプライバシーを実現します。 MPCはFHEと似ていることもあり、SPS上での計算を行うことを可能にするため、合成性を許可することができます。 ただし、FHEと比較して、MPCにはいくつかの制限があります

1. 計算は、MPCグループの一部であるエンティティのみが実行できます。このグループの外部の誰もがデータ上で計算を実行することはできません
2. 正直な少数派の保証を達成するには、すべてのMPC当事者がMPCを実行するために協力する必要があります。これは、MPCグループのメンバーのいずれかによって計算が検閲される可能性があることを意味します。この制限は、MPCのしきい値を低く設定することで緩和することができます。つまり、計算を実行するために必要なエンティティの数を減らすことです。ただし、その代償として、データのプライバシーが参加者の少ない数の間での連携によって侵害される可能性があります。

MPCシステム向けの適したアプリケーション

ダークプールCLOBs

DeFiでのMPCの最初の実際の応用の1つは、Dark Pool CLOBsの実装です。このシステムでは、トレーダーは、注文ブックの状態を事前に知ることなく、リミット注文または成行注文を出すことができます。注文のマッチングは、MPCを介してプライベートデータ、つまり既存の注文ブックを通じて行われます。Renegade Financeは、そのようなシステムを構築している企業の1つです。

独自のAIモデルの分散推論

一部のアプリケーション、例えば、DeFi AIベースの戦略マネージャーやWeb 3 クレジットスコアリング、独自のモデルを使用して推論を実行するためにMPCを展開できます。このアーキテクチャでは、AIモデルの重みはプライベートです。重みは、各々がモデルの重みのサブセットのみを持つ複数のコンピュートノード間で安全に共有できます。ノードは、更新されたオンチェーンイベントでAI推論を実行し、決定を行い、DeFi戦略を実行するトランザクションを提出するために協力できます。

独自のデータを使用してオープンAIモデルをトレーニングする

ここでの一般的な例は、医療診断モデルをプライベートな健康記録を使用して訓練することです。この場合、モデルの作成者、企業、およびデータ所有者である患者は、プライベートデータ上でトレーニングプロセスを実行するためにMPCを使用して協力することができますが、プライベートデータのプライバシーを侵害することなく。などのネットワークBittensorそしてNillionそのようなユースケースを可能にすることができます。

疑似許可なし共有プライベート状態

慎重な設計により、MPCは疑似許可なしSPSを処理するために使用できます。たとえば、暗いAMMプールの状態とこの状態上の計算は、複数のエンティティ間のMPCとして構築できます。AMMとやり取りしたいユーザーは、計算を自分の代わりに行うために、MPCグループとトランザクションを共有する必要があります。このアプローチの利点は、各SPSが異なるプライバシーキーのセットを持つことができることです（FHEの場合のグローバルキーと比較して）。このアプローチのリスクは、MPCグループによる検閲の可能性です。しかし、慎重な経済設計により、このリスクを緩和することができます。

競争またはシナジー

議論されているオンチェーンプライベートステートの対処方法は、一見競合しているように見えます。しかし、これらのネットワークを構築する異なるチームの財務的インセンティブを脇に置くと、zk、FHE、MPCは実際には補完的な技術です。

一方、zkシステムは、ユーザーのデバイスから「未暗号化」データが決して出ないため、より強力なプライバシー保護を提供します。さらに、このデータに対してオーナーの許可なしに計算を実行することは誰にも不可能です。この強力なプライバシー保護の代償として、合成性が弱くなります。

一方、FHEはより強力な合成性を容易にしますが、プライバシーは弱くなります。プライバシーのリスクは、グローバルFHE復号化キーを信頼することから生じます。そのリスクにもかかわらず、合成性が暗号の中核的な要素であるため、FHEはDeFiなどの多くの重要なユースケースでプライバシーを可能にすることができます。

MPC実装は、zkとFHEアプローチの間にユニークな中間地点を提供します。MPCは共有プライベートデータ上での計算を可能にします。したがって、MPCはZKPsよりもより多くの合成性を提供します。ただし、このプライベート状態上の計算は、少数の参加者に限定され、許可なしではありません（FHEとは異なります）。

ZKPs、MPC、およびFHEがそれぞれの適用ペースで異なることを考慮すると、実用的なアプリケーションではこれらのテクノロジーを組み合わせることがよくあります。たとえば、Renegade FinanceはMPCとZKPsを組み合わせて、参加者が隠された注文をカバーするための十分な資本を持っていることを保証するダークプールCLOBの構築を可能にしています。同様に、オンチェーンポーカーゲームのzkHoldemはZKPsとFHEを組み合わせています。

プライバシーに焦点を当てたネットワークが、これらの技術をベースにして開発者にアプリケーションをシームレスに構築するために必要なすべてのツールを提供するためにこれらの技術を組み合わせることを期待しています。たとえば、Aztecはネットワーク内である形式のMPCを組み合わせて共有プライベートステートを処理することができます。同様に、Inco Networkプライベートアドレスとプライベートトランザクション履歴を可能にするためにZKPを利用できます。

このプライバシー中心の未来のビジョンを持ちながら、アライアンスは、この未来を築く創業者をサポートすることを楽しみにしています。もしあなたがこの領域でビルドしているのであれば、リーチアウトおよび適用するアライアンス.

免責事項：

1. この記事は[から転載されましたアライアンス], すべての著作権は元の著者に帰属します [モハメッド・フォウダ]. If there are objections to this reprint, please contact the Gate Learnチーム、そして彼らはそれを迅速に処理します。
2. 責任の免責事項：この記事で表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
3. 他の言語への記事の翻訳は、Gate Learnチームによって行われます。特に言及がない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。