Google、年齢確認向けの「ゼロ知識証明（ZKP）」技術をオープンソースで公開

Hacker Newsの意見

• 非対話型ゼロ知識証明（non-interactive zero-knowledge proofs）について直感的な説明が欲しい。Diffie-Hellman鍵交換の「ペイントの混合」のたとえのように、数学的手法を手で触れられるように感じられる説明が必要。対話型ZKPの良い入門資料はあるが、非対話型についてはまだ見つけられていない。ZK-STARKsをerasure codingと比較したブログ記事も読んだが、まだしっくり来ていない
  • Waldoを見つけられることを示しつつ実際の位置は明かさない証明方式のように説明できる。デジタルウォレットは公開鍵の代わりにサードパーティが発行した「commitment C」で署名構造を組み立てる。非対話型証明はFiat-Shamir変換を使って実行できる。たとえばビット値が0または1であることを示す単純なrange proofから、複数ビット範囲へ拡張できる。Bulletproofsのおかげで証明サイズを大幅に縮小でき、実用化の可能性が高まった。ただし同じコミットメントを繰り返し使うと追跡用の識別子になり得て、プライバシー上の問題が生じうる
  • Wikipediaの「Ali Baba Cave」の例が、ゼロ知識証明の概念を理解するうえで決定的に役立った リンク
  • 「ペンキ缶」レベルの直感的な例を求めるなら、Matthew Greenの"crayons and hats"の説明を勧める。かなり入りやすい リンク
  • 同僚のAmitがWiredと一緒に作ったゼロ知識証明の入門動画がある。具体的な動作の仕組みまでは扱っていないが、出発点としては悪くない資料 動画
  • STARKSとSNARKSが強力なのは多項式の性質によるもの。Schwartz-Zippelの補題により、ランダムなサンプルを数個取るだけで異なる多項式を簡単に見分けられる。この点がerasure codeとの比較にもつながる。非対話型への変換もFiat-Shamirでチャレンジ・レスポンスの対話をシミュレートするもので、原理自体は直感的。Groth16 zk snarksのように極端に短い証明が可能な点も驚き。これは楕円曲線ペアリング関数という高度な数学理論に基づいている
• 年齢認証は、まもなく政府（そしてその代理人である企業）によるインターネット利用許可の関門として機能するようになる見通し
  • 実際、ウガンダでは2018年からソーシャルメディアへのアクセス時に自動課金する税制度を運用している。1日あたり2.7セント程度で、すべてのインターネット接続者は国家が管理するISPを通じて接続する。従量課金と組み合わせれば、インターネット許可システムも技術的にはまったく難しくない。こうした税徴収の仕組みがあれば、自然にユーザーとインターネット接続を1対1で追跡できる 記事
  • 一意性の保証まで組み合わされば、インターネットがもう「死んだ」のかどうかという議論抜きに、本当に生きた空間だと確認できる可能性もある
  • こうしたシステム自体が、実質的には無能者支配とテクノ封建制が結びついた体制（kakistocracy-technofeudalism）を築くための道具に近い
  • その通りだが、10歳の子どもがブラウザを開くだけで即座に不適切なコンテンツを簡単に見られてしまう現状も、明らかに問題だと思う。ポルノ産業の自主規制だけでは現実的な代替策は期待しにくい
• 最終報告書やセキュリティ脆弱性（CVE）関連資料が公開されるのか、また今後の信頼確保のために他社監査の仕組みが整備されるのかが気になる
• ゼロ知識証明ベースなら、個人情報を過剰に共有せずにさまざまな認証ができる世界を実現できる可能性がある。特に社会保障番号（SSN）などの機微情報保護で大きな役割を果たせる
• 悪意ある攻撃者をどう防ぐのか疑問。たとえば承認済みの秘密鍵が保存されたノートPCやスマートフォンを購入したり、漏えいした秘密鍵ファイルをダウンロードしたり、VPNを使って法的規制を回避してアクセスしたりといった抜け道が可能ではないか
  • 運転免許証などの身分証明は公開鍵を含み、実際の秘密鍵は携帯電話のセキュアエレメント（secure element）に保管する構造だ。したがって、スマートフォンを買ったからといって単に秘密鍵だけで認証できるわけではない。スマートフォンと秘密鍵の両方を受け取らなければならない。指紋などの生体認証ベースなので、実際の政府窓口で発行を受けるなら簡単ではない
  • こうした技術的措置は、実質的には従順な一般市民を統制するための道具だ。上位0.1%と下位20%は原理的に制御不可能だろう。将来はPII/KYCとともに署名付き証明書でしかインターネットにアクセスできなくなり、中国はすでに推進中で、西側諸国も同じ方向へ進んでいる
• クリティカルなソフトウェアについては、Googleに依存しないのが健全な開発のやり方だ
  • オープンソースでよかった
• ゼロ知識証明技術でDavid Chaumが特許によってイノベーションを囲い込んでいたときは、かなり腹が立った。DigiCashチームはドットコムバブル期でも有数の強欲な連中で、すべてのトランザクションから金を抜こうとして市場に受け入れられなかった。Andy Birrellの「micro-cents」というアイデアのように、MD5ハッシュの一方向性を使った高速・低コストのマイクロペイメント技術もあったが、実際の適用までは至らず残念だった。90年代に思い描いたZKPベースの身分証や通貨が実物として登場してほしい。オフライン状態で二重支払い不可能なデジタル通貨が可能だったなら、政府が強く反対したのも理解できる。古典的なZKPのアイデアを現代の技術基盤の上でもう一度試してみたい
  • ただ、この技術が結局はApple、Google、Microsoftのようなビッグテックに個人情報処理を強制する構造になってしまう点にはためらいがある。Passkeysのようなソリューションには好感を持っているが、業界が十分に活用できていないのは残念だ。ユーザーの秘密鍵は携帯機器のハードウェアセキュリティキーに必ず結び付く構造なので、ビッグテックに従属する現実がある
  • 実際に進行中のプロジェクトとして Paygo を紹介したい。Xにも情報がある
• ZKPは分散型アイデンティティ認証の良い解決策だ。IDウォレットを基盤に、政党所属、地域、年齢など最小限の個人情報だけで民主主義サービスなど多様な分野に拡張できる可能性がある。政策委員会が久しぶりに（ISDN以来）プロトコルレベルのイノベーションを進めている点を前向きに評価している
• フランスと米国の主要ポルノサイトが、過度な年齢認証規制によってユーザー体験とプライバシーが損なわれることを懸念して利用を遮断し、その後規制緩和を受けてサービスを再開した事例がある。この議論に非常に直結する状況だ
• 既存のECDSAハードウェアキーを使って、マルチショー・アンリンカビリティとハードウェアバインディングを融合した非常に興味深い構造で、年齢認証だけでなくさまざまな属性証明に活用できる可能性がある。ただし、IdemixやBBS+のような既存ソリューションよりはるかに複雑で、実際に理解できる人はごく少数だろう。個人属性の繰り返し開示回数を制限して匿名性と識別性のバランスを調整する技法など、さまざまなプライバシー保護の試みがある。しかし完全な回避防止は不可能だ。現実的には認証は素朴な利用者を守るための障壁であることを認めるべきで、完全防止への期待が高すぎると、最初のセキュリティ事故の後にプライバシー保護のオープンソース的アプローチはすぐ捨てられる危険がある 技術文書1, 技術文書2
  • むしろ私たちのソリューションは学部生でも理解できる。一方でBBSの双線形ペアリングは、知っている人がほとんどいないほど難解だ