Lean Ethereum が計画する証明生成装置のコストは 10 万ドル未満であり、一般的な家庭環境で導入可能です。一方、ZK 証明の検証はハードウェアの制約をほとんど受けず、Raspberry Pi のような小型デバイスでも実行できます。
Eli Ben-Sasson 氏は、Greg Maxwell、Mike Hearn などビットコインの初期開発者が ZK-STARK に大きな期待を寄せていると述べています。この技術は耐量子安全性を備えており、信頼できるセットアップ(trusted setup)を必要としません。彼は、ビットコインコア開発者の Luke Dashjr 氏と Blockstream 創業者の Adam Back 氏も徐々にこの技術路線を受け入れていると考えています。
「私は彼らの意見を直接聞いたことがあります。彼らは ZK-STARK に基づく様々なソリューションに期待しています。両者が公的にも私的にも肯定的な評価を下していると確信しています。Adam Back 氏と Luke Dashjr 氏は多くの議題で意見が対立していますが、この件に関しては一致しているはずです。これは優れた技術であり、条件が整えばビットコインに導入される可能性は十分にあります。」
Cointelegraph は Adam Back 氏にコメントを求めるために連絡を取りましたが、まだ返答は得られていません。
「現在のビットコインスクリプトは STARK 証明を検証する能力を持っていません。単一の洗練されたハッシュ署名オペコードと比較して、本番環境で使用可能な STARK 検証プログラムはコンセンサスレイヤーの攻撃面を大幅に拡大します。OP_CAT のような単純なオペコードでさえ数年議論されてきたことを考えると、ネイティブに STARK 検証器を搭載するには、現実的には 2030 年代まで議論の俎上に上がらないでしょう。」
ビットコインの量子ジレンマ:ブロックを拡大するか、それともSTARK証明を採用するか?
作者:Andrew Fenton;出典:Cointelegraph;翻訳:Shaw、金色财经
StarkWare 共同創業者 Eli Ben-Sasson 氏は、ZK-STARK はビットコインが耐量子安全性を実現する上で生じる様々な問題を解決する最適なソリューションであり、同時にビットコインを大規模普及へと導くことができると述べています。
さらに、Blockstream 創業者 Adam Back 氏もこの見解に同意していると述べています。
今週、Eli Ben-Sasson 氏は X プラットフォームで、ビットコインの年率インフレ率を 4% に引き上げるという物議を醸す提案を投稿し、ニュースになりました。Grok によるコメント欄の分析によると、この提案を明確に支持する人はいませんでした。
しかし、STARK(量子安全でハッシュベースのゼロ知識証明システム)の共同発明者として、彼はこの技術路線においてはるかに強固な論拠を持っており、ビットコインのトップ研究者の中にもこの考え方を認める者がいます。
Eli Ben-Sasson 氏が主導するプロジェクト StarkNet は先週、3期にわたるロードマップを発表し、自身のネットワークの耐量子化を目指しています。
ビットコインが直面する耐量子署名サイズの巨大さという課題
単にビットコインにゼロ知識証明を導入するだけでは、ブロックチェーンを直接耐量子安全性にすることはできません。ZK 証明を導入するのは、ビットコインにサイズがはるかに大きい耐量子(PQ)署名方式を導入した後に生じる様々な問題を解決するためです。
米国国立標準技術研究所(NIST)が現在選定している耐量子署名のデータサイズは、ビットコインの既存の ECDSA や Schnorr 署名方式の 10 倍から 100 倍です。
このような署名を直接導入した場合、ビットコインネットワークのスループットは 1 秒間に 1 トランザクション未満に低下する可能性があるという意見もあります。しかし、ブロック内のすべての巨大なトランザクション署名は、1 つの非常に小さな ZK-STARK 証明に圧縮できます。この証明は既存の署名の総サイズよりもさらに小さいため、ブロックチェーンの最終的な実行速度はむしろ向上する可能性があります。
Eli Ben-Sasson 氏は次のように指摘しています。「ZK-STARK 署名集約方式を採用しないのであれば、それは間違いなく悪手です。なぜなら、それが核心的な問題、すなわち一般の人々が本当にビットコインをスムーズに使えるかどうかを解決できないからです。」
「目標を達成するには、ネットワークに極めて高いスケーラビリティが必要です。それを実現するには、署名集約のような技術が不可欠であり、単にブロックサイズを拡大するだけでは不十分です。」
量子時代のもう一つの道:ビットコインのブロックサイズ拡大
PostQuantum.com の寄稿者であり Applied Quantum 創業者の Marin Ivezic 氏は Cointelegraph に対し、ビットコインの SegWit(Segregated Witness)方式により、大容量署名による占有を最大 75% 削減できると述べています。しかし、彼は NIST ML-DSA-44 アルゴリズムに基づくモデリングを実施しました。この方式では、単一署名のサイズが 2420 バイトにもなり、ブロックあたりのトランザクション数は現在の 2500~3000 件から約 500~700 件に減少し、ブロックサイズ論争が浮上することになります。
ビットコインのブロック容量拡大は確かに実行可能な代替案ですが、コミュニティは 2017 年にブロック容量倍増提案をめぐってすでに深刻な対立を経験しています。 当時の反対理由の多くは現在でも有効です。ブロック拡大は粗雑なソリューションであり、すべてのノードがはるかに大量のデータを転送、保存、検証することを要求します。ノードの運用コストとハードウェア要件が高まり、批評家はこれがネットワークの中央集権化を促進すると考えています。
Blockstream リサーチはここ数ヶ月、ビットコインに適用可能なハッシュベースの耐量子署名方式の圧縮方法を研究しており、有望な SHRINCS および SHRIMPS 署名アルゴリズムを発表しました。通常のシナリオでは、これらの署名のサイズはビットコインの既存署名の約 5 倍です。しかし、ユーザーがウォレットを紛失してアカウントを復旧する必要がある場合、署名サイズは最大で既存署名の 40 倍に膨れ上がります。
SHRINCS はすでに Liquid サイドチェーンで実際のトランザクション署名に使用されていますが、この技術はまだ初期開発段階にあり、実装の複雑さと使用体験に課題があります。ブロック容量を同時に拡大しない限り、サイズが急増した署名はブロックチェーン全体を遅くします。
ブロック拡大について、Marin Ivezic 氏は次のように評価しています。「ネイティブにネットワークスループットを向上させることは、エンジニアリング的には最も簡単ですが、ガバナンス的には最も実装が難しいアプローチです。私たちには、こうした議論を繰り返す十分な時間はもう残っていません。」
ZK 証明集約は複数の利点を持つ
ブロック拡大方式と比較して、ZK 証明集約はネットワークの処理能力を向上させると同時に、分散性を維持しながらビットコインの実行効率を高めることができ、より優れた選択肢です。
最も簡単に言えば、ゼロ知識(ZK)証明は数学的な検証手段であり、全ての詳細を開示することなく、ある事実が成立することを証明できます。例えば、ZK 証明を利用すれば、金庫のパスワードを相手に教えることなく、自分がパスワードを知っていることを証明できます。
理論的には、単一のブロックに対して ZK 証明を 1 つ生成するだけで十分です(冗長性のため、さらに数多く生成する方がより安全です)。また、関連ハードウェアの運用コストは商用のマイニング機器よりもはるかに低くなります。
Lean Ethereum が計画する証明生成装置のコストは 10 万ドル未満であり、一般的な家庭環境で導入可能です。一方、ZK 証明の検証はハードウェアの制約をほとんど受けず、Raspberry Pi のような小型デバイスでも実行できます。
Eli Ben-Sasson 氏は、Greg Maxwell、Mike Hearn などビットコインの初期開発者が ZK-STARK に大きな期待を寄せていると述べています。この技術は耐量子安全性を備えており、信頼できるセットアップ(trusted setup)を必要としません。彼は、ビットコインコア開発者の Luke Dashjr 氏と Blockstream 創業者の Adam Back 氏も徐々にこの技術路線を受け入れていると考えています。
「私は彼らの意見を直接聞いたことがあります。彼らは ZK-STARK に基づく様々なソリューションに期待しています。両者が公的にも私的にも肯定的な評価を下していると確信しています。Adam Back 氏と Luke Dashjr 氏は多くの議題で意見が対立していますが、この件に関しては一致しているはずです。これは優れた技術であり、条件が整えばビットコインに導入される可能性は十分にあります。」
Cointelegraph は Adam Back 氏にコメントを求めるために連絡を取りましたが、まだ返答は得られていません。
イーサリアム研究者の Justin Drake 氏は、ビットコインが Lean Ethereum の ZK 証明集約技術を採用し、この方式を業界標準にすることを公に希望しています。しかし、コミュニティガバナンスの相違により、このビジョンは実現が難しいかもしれません。
イーサリアムは 2029 年までの耐量子コンピューティングの実現を目標としています。出典:イーサリアム財団
ビットコインのゼロ知識証明に関する提案
ビットコインコミュニティの保守的な発展傾向を考慮すると、ビットコインネットワークにゼロ知識技術を導入するためのガバナンス上最も実現可能な経路は、OP_CAT を再び有効にすることです。これは、サトシ・ナカモトが当初書いた、たった 9 行のコードからなるオペコードです。
Eli Ben-Sasson 氏は次のように述べています。「サトシ・ナカモトは当初 OP_CAT を追加しましたが、後に削除しました。このオペコードが復活すれば、開発者は STARK 証明、署名集約、耐量子安全性に関連する機能を実装できるようになります。」
「これは最善かつ最も安全なアプローチであり、サトシ・ナカモトが開始し継続を望んでいた技術開発の道筋を再び推し進めることができると思います。」
12~24 ヶ月前には市場で OP_CAT をめぐる議論が活発化しましたが、最近はその勢いが明らかに弱まっています(ただし、ビットコインコミュニティのガバナンスの方向性は常に予測が困難です)。
業界にはさらに先進的な提案も存在します。例えば OP_STARK_VERIFY は、ビットコインが STARK 証明をより効率的に検証できるようにする専用オペコードを追加することを提案しています。また、BIP-360 の共同著者である Ethan Heilman 氏は BitZip 案を提案しており、ビットコインの複数の署名と公開鍵を 1 つの STARK 証明に集約することを目的としています。
Heilman 氏は今年初めに Cointelegraph に対し、目標を達成するためには主に 2 つの技術的経路があると述べています。「最初の方法は、ビットコインに一連の汎用オペコードを追加し、その上に ZK ロールアップのようなアーキテクチャを構築することです。あるいは、ビットコインのコンセンサスレイヤーでネイティブに STARK をサポートすることです。これ以外にも、CISA(クロスインプット署名集約)のような性能が限定的な集約方式も一定の役割を果たせます。」
この道が実現する可能性はどの程度か?
Marin Ivezic 氏は、障害は技術能力ではなく、ビットコインコミュニティのガバナンスにあると考えています。
彼は次のように述べています。「Eli Ben-Sasson 氏が提案する暗号スキーム自体は非の打ちどころがありません。完全にハッシュ仮定に基づき、信頼できるセットアップを必要とせず、数千の署名を 1 つの短い証明に圧縮できます。難しいのは、この暗号スキームの周辺にある付随的な部分です。」
「現在のビットコインスクリプトは STARK 証明を検証する能力を持っていません。単一の洗練されたハッシュ署名オペコードと比較して、本番環境で使用可能な STARK 検証プログラムはコンセンサスレイヤーの攻撃面を大幅に拡大します。OP_CAT のような単純なオペコードでさえ数年議論されてきたことを考えると、ネイティブに STARK 検証器を搭載するには、現実的には 2030 年代まで議論の俎上に上がらないでしょう。」
一方、イーサリアムは 2029 年までに耐量子アップグレードを完了する計画であり、Solana も耐量子署名の試験導入を行っています。StarkNet の 3 期にわたる耐量子移行ロードマップは、アカウント抽象化の利点を活用できます。つまり、基盤となる暗号体系をアップグレードする際に、全てのユーザーが手動で資産を新しいアカウントに移行する必要はありません。
Eli Ben-Sasson 氏はこれに基づき、Solana とイーサリアムの耐量子アップグレードの道のりは「非常に厳しいものになる」と評価しています。
「StarkNet には大きな先進性があります。ネットワークがネイティブにアカウント抽象化とスマートウォレットをサポートしていることです。これは関連メカニズムが基盤プロトコルに固定化されていないことを意味し、ウォレットとインフラストラクチャを容易にアップグレードして耐量子化を実現できます。」