要点
機密取引(CT)は暗号技術を使って、ブロックチェーン上で送金額を隠しつつ、ネットワーク参加者が新しいコインが作成されていないことを検証できるようにします。これにより代替可能性が保たれ、取引価値のチェーン分析を防ぎます。
中核となる仕組みは、ペーデルセン・コミットメント(加法同型暗号)に依存し、さらに、金額が実際の値を明かすことなく非負であることを確認するバレット・プルーフのレンジ・プルーフを組み合わせます。
機密取引は、Liquidのようなビットコインのサイドチェーン上で本番稼働しています。これは概念を「機密アセット」にも拡張し、送られるトークンの種類も秘匿します。
CTベースの設計は、取引サイズや検証コストでトレードオフが生じます。そのため通常は、ビットコインのメインネットに直接ではなく、特殊なサイドチェーン上で導入するか、他のスケーリング解決策と組み合わせます。
はじめに
システムの透明性は、ブロックチェーンの機能にとって重要だと考えられがちです。ネットワーク上のすべてのノードは台帳のコピーを保存し、いかなるルール違反も起きていないことを検証できます。多くの分散型台帳では、誰でもブロックエクスプローラーを使ってブロック、トランザクション、アドレスを検索できます。
プライバシーの観点では、この透明性が課題を生むことがあります。ビットコインのようなシステムでは、すべてのトランザクションが過去のものへと結び付けられます。コインは技術的には代替可能ではありません。各コインは特定のトランザクションに紐づけられてしまうためです。あなたがビットコインを送ることを誰かが止めることはできませんが、受取人は、これらのコインが過去に「フラグが立てられたアドレス」を通過していた場合、その取引を受け取ることを拒否できます。
ビットコインにおけるプライバシーは過大評価されることがあります。ユーザーは仮名性(名前の代わりに公開アドレスが表示される)を享受していますが、高度な分析手法によってアドレスがグルーピングされ、ネットワーク参加者を特定しようとする試みがなされ得ます。取引を本当にプライベートにするために提案されている暗号学的アプローチの一つが、機密取引です。
機密取引とは何ですか?
機密取引(CT)は、BlockstreamのCEOであるAdam Backが2013年に最初に議論し、その後ビットコイン開発者のGregory Maxwellによって拡張されました。Maxwellは、上で述べたプライバシーと代替可能性の問題を整理し、解決策を提案しました。つまり、送金額はより広いネットワークからは隠し、取引当事者だけが送られた金額を知れるようにする、というものです。

通常の状況では、受け取った金額が送った金額を超えていないことをノードが検証するのは簡単です。たとえばアリスが0.3 BTCをボブへ送るなら、アリスは使っていない出力(例えば1 BTC)を取り、それを2つに分割します。ボブへ送る0.3と、自分自身へのお釣りとして返す0.69(残りはマイニング手数料として放棄される)です。
これは他のノードにとって単純な算術です。1は0.3 + 0.69より大きく、デジタル署名はいずれも正しく、アリスの入力が他の場所で既に消費されていないので、取引は有効であるはずです。しかし、金額をブラインドすると検証はそれほど単純ではなくなります。ノードは、未知の金額が2つの未知の金額の和以上、または等しいことをどう評価できるのでしょうか?
関わっている暗号の概要
データを隠すには暗号化が必要です。しかし従来の暗号化方式は、書類を金庫に入れて鍵をかけるのと同じです。一度内部にロックされると、取り出すまでデータは使えません。機密取引に必要なのは、中身を公開しないデジタル金庫ですが、第三者がその性質を検証できるものです。
ペーデルセン・コミットメント
答えは準同型暗号にあります。具体的にはペーデルセン・コミットメントと呼ばれる方式です。この種のコミットメントでは、第三者が(見えない)暗号化されたデータに対して数学的な操作を行い、基礎となる値を学ぶことなく正しさを検証できます。
通常のハッシュは、後で開示したいデータにコミットするために使えます。たとえば、予測のハッシュを公開しておき、後で元の入力を示すことで予測した内容を証明できます。ただし、可能な入力の集合が小さい場合、攻撃者は単純に全ての選択肢を試して一致を見つけることができます。これを解決するために、ハッシュ化する前にデータへ「ブラインディング・ファクター」と呼ばれるランダムな値を加えます。
ペーデルセン・コミットメントはさらに一歩進んで、コミットメント同士で算術を可能にします。形式的には、ブラインディング・ファクターrを用いた値vへのコミットメントCは、C = vG + rH で計算されます。ここでGとHは楕円曲線のジェネレータ点です。重要な性質は加法同型性(additive homomorphism)です:
C(v1, r1) + C(v2, r2) = C(v1 + v2, r1 + r2)
これにより、ノードは実際の金額を見ることなく、入力コミットメントの合計が出力コミットメントの合計と一致することを検証できます。
レンジ・プルーフとバレット・プルーフ
ペーデルセン・コミットメントだけでは脆弱性があります。モジュラー(合同)演算で動作するため、ユーザーが負の値にコミットし、その同型(ホモモーフィック)性質を悪用して、実質的に何もないところからコインを作り出せてしまう可能性があるのです。レンジ・プルーフはこれを、コミットされた金額が有効な範囲内にあることを、実際の値を明かすことなくゼロ知識で証明することで解決します。
機密取引システムにおけるレンジ・プルーフの現代的な標準が、バレット・プルーフ(Bulletproofs)です。以前の方式に比べていくつかの利点があります。まず、レンジ・サイズに対して証明サイズが線形ではなく対数的に増えること。次に、複数のレンジ・プルーフを1つのコンパクトな証明に集約できること。そして最後に、一部のSNARKベースのシステムと違い、信頼できるセットアップが不要なことです。実際には、各トランザクション出力にはバレット・プルーフが付与され、任意のノードがコミットされた金額が非負でかつ範囲内であることを検証できるため、金額の整合性(供給の健全性)を保ちながら、金額は秘匿したまま運用できます。
実運用における機密取引
機密取引はビットコインのメインネットでは採用されていませんが、現在は特殊なネットワーク上で本番稼働しています:
Liquidサイドチェーン
BlockstreamのLiquid Networkは、機密取引と「機密アセット(confidential assets)」を第一級の機能として実装する連合型ビットコイン・サイドチェーンです。機密取引では、ペーデルセン・コミットメントとバレット・プルーフのレンジ・プルーフを使って送金額を隠します。機密アセットはさらに、送られるアセットの種類自体もブラインドすることで拡張されます。これにより、観測者は取引がL-BTC、トークン化された有価証券、ステーブルコイン、その他の発行済みアセットを含むかどうかを判断できません。
Liquidは、取引所同士、OTCデスク、トレーディング企業の間での機関投資家向けの決済を対象にしています。商業上の秘匿性が重要な場面です。機能者(フェデレーション)の連合が、peg-in/peg-out(預入/出金)プロセスとブロック署名を管理し、分散性の一部を速度とプライバシー機能のために割り当てています。
他の実装
他にもCT(CT由来)の技術を使う複数のプロトコルがあります。MimbleWimbleは「cut-through(カット・スルー)」と呼ばれる手順によって、機密取引を取引グラフの最小化と組み合わせます。これは、消費済みの中間出力を取り除き、ブロックチェーンの状態を圧縮することで行われます。MoneroはRingCT(リング署名と機密取引を組み合わせたもの)に加えてステルス・アドレスを用い、送信者・受信者・金額を同時に秘匿して不明にします。
選択的開示とビューイングキー
現代のCT実装は、選択的開示の仕組みをますますサポートするようになっています。取引参加者は、監査者、コンプライアンス提供者、規制当局などに対して、ブラインディングキーや専用のビューイングキーを共有できます。これにより、データをオンチェーンで公開可視にせずに、特定の取引についてのプライベートな監査が可能になります。つまり、「公衆に対してはプライベートで、許可された当事者には透明」というモデルを作り出せます。
規制の状況とコンプライアンスに配慮したプライバシー
ブロックチェーンのプライバシーに関する規制環境は大きく変化してきました。EUのMiCA(Markets in Crypto-Assets)規制とFATFのTravel Ruleはいずれも、暗号資産サービスプロバイダー(CASP)に対して、送金の際に出発者(originator)と受益者(beneficiary)の情報を収集し、送信する義務を課しています。これらの規制は暗号プリミティブそのものではなくサービス提供者を対象としていますが、高プライバシー型のアセットには間接的に圧力がかかります。
規制管轄のもとにある取引所では、有効なAMLモニタリングが実現できない場合、資産の上場廃止や取引制限が行われています。これは特に、取引グラフの完全な秘匿によるプライバシーコインに影響しています。ただし、規制当局は一般に、公開情報から商業データを隠しつつ、規制対象の組織に対してはオプトインの透明性を提供する仕組みに対しては、より柔軟な姿勢を示す傾向があります。
近年の主流となっているのは、「コンプライアンスに配慮したプライバシー」です。これは、ゼロ知識証明とアイデンティティの裏付け(アテステーション)を組み合わせます。ユーザーは、KYCが確認済みであること、または制裁リストに載っていないことを、アイデンティティの詳細をオンチェーンに開示せずに証明できます。ビューイングキーを用いるCT風の設計は、この枠組みに自然に適合します。デフォルトではプライベートであり、法的に必要な場合のみ検証可能です。
機密取引で何ができるのか?
機密取引は、いくつかの実務的な課題に対処します:
商業上の秘匿性:企業は、取引量、支払額、または資金(トレジャリー)の流れを競合他社に明かさずに、公的ブロックチェーン上で取引できます。
代替可能性(ファンジビリティ):金額が隠されると、チェーン分析では特定のコインの履歴や「汚染(taint)」を特定できなくなり、すべての単位が実質的に相互に置き換え可能になります。
フロントランニング(先回り)リスクの低減:DeFiやトレーディングの文脈では、隠された金額により、観測者が大きな未確定取引を検知して悪用することを防ぎます。
規制への適合性:完全匿名システムとは異なり、ビューイングキー付きのCTは、監査・コンプライアンス要件を満たしつつ、公衆のプライバシーを維持できます。
機密取引がビットコインのメインネットに直接統合されるかどうかは、近い将来には可能性が低いままです。CTトランザクションは、各出力に付与されるバレット・プルーフのレンジ・プルーフのため、標準的なトランザクションより大幅にサイズが大きくなります。さらに、ビットコインの限られたブロックスペースと、プロトコル変更に対する慎重な姿勢を考えると、サイドチェーンや特殊ネットワークでのデプロイが現実的な道筋です。
FAQ
バレット・プルーフとは何で、機密取引にとってなぜ重要なのですか?
バレット・プルーフは、あるコミットされた値が有効な範囲内(非負で過度に大きくない)にあることを、値そのものを明かさずに確認する一種のゼロ知識レンジ・プルーフです。重要なのは、コンパクト(証明サイズが対数的)で、信頼できるセットアップが不要であり、複数の出力にまたがって単一の証明に集約できるため、実際の運用で機密取引が現実的になるからです。
機密取引は、Zcashのようなゼロ知識証明システムとどう違いますか?
機密取引は、ペーデルセン・コミットメントとレンジ・プルーフによって、金額を特に秘匿しつつ、アドレスの可視性は維持します。一方、Zcashのシールドプールのようなゼロ知識システムは、より複雑なZK回路(たとえばGroth16やHalo2)を使って、送信者・受信者・金額を同時に隠します。CTは「価値のプライバシー」に焦点を当てたより限定的なプリミティブであるのに対し、シールド方式は高い計算コストと引き換えに、より広範な匿名性を提供します。
機密取引は合法ですか?
暗号技術そのものは、ほとんどの法域で禁止されていません。MiCAやTravel Ruleのような規制は、基盤となる暗号技術ではなく、サービス提供者(取引所、カストディ)を対象にしています。ただし、CT形式のプライバシーを使うアセットを上場させるサービス提供者は、特に取引モニタリングや報告に関する、強化されたコンプライアンス義務を負う可能性があります。
なぜ機密取引はビットコインのメインネットに追加されていないのですか?
主な障壁は技術的なものです。CTトランザクションは、レンジ・プルーフのため標準的なビットコイン取引より大幅にサイズが大きくなり、限られたブロックスペースを消費してしまいます。またCTを導入するには、コンセンサスレベルでのプロトコル変更(ソフトフォークまたはハードフォーク)が必要になり、コミュニティ全体の幅広い合意が求められます。保守的なビットコイン開発の文化と、既存のブロックスペース制約を踏まえると、サイドチェーンでの導入が好まれる現実的なアプローチです。
ビューイングキーとは何で、どのようにコンプライアンスを可能にしますか?
ビューイングキーは暗号鍵であり、指定された第三者(監査者、規制当局、コンプライアンス提供者)が、オンチェーンでデータが公開可視である必要なく、機密取引に隠された金額を復号できるようにします。取引参加者はこれらのキーを選択的に共有できるため、一般の公衆に対するプライバシーを維持しつつ、プライベートな監査を可能にします。この仕組みは、オンチェーンの機密性と規制要件のギャップを埋めるものです。
最後に
機密取引は、価値の秘匿とネットワークによる検証可能性のバランスを取る、よく理解されたオンチェーン・プライバシーのための暗号学的アプローチです。ペーデルセン・コミットメントとバレット・プルーフのレンジ・プルーフによって、CTシステムは、関与する金額そのものを学ぶことなく、ノードが取引の妥当性を確認できるようにします。..
詳しく読む
対称暗号と非対称暗号
完全準同型暗号(FHE)とは何ですか?
ゼロ知識証明で暗号の透明性を高める
プルーフ・オブ・ワーク(PoW)とは何ですか?
エンドツーエンド暗号化(E2EE)とは何ですか?
免責事項:本コンテンツは、一般情報および教育目的のために「現状のまま」提供されるものであり、いかなる種類の表明または保証も伴いません。いかなる有価証券、法的、その他の専門的助言として解釈されるべきではなく、特定の製品またはサービスの購入を推奨する意図もありません。適切な専門家アドバイザーからご自身で助言を求めてください。本コンテンツが第三者提供者によって提供された場合、そこに含まれる見解は当該第三者提供者のものであり、必ずしもBinance Academyの見解を反映するものではないことにご留意ください。デジタル資産の価格は変動し得ます。投資額の価値は下がる場合も上がる場合もあり、投資した金額を回収できない可能性があります。投資判断に関する責任はすべてご自身にあります。また、Binance Academyは、発生し得る損失について一切の責任を負いません。詳細は、利用規約、リスクに関する警告、およびBinance Academyの規約をご覧ください。
