機密取引とは何ですか?また、取引金額をどのように隠すのでしょうか?

暗号通貨における機密取引を理解する

1. 機密トランザクションは、当事者間で転送される価値の量を秘匿するために特定のブロックチェーン ネットワークで使用される暗号化手法です。このテクノロジーは最初にアダム・バックによって提案され、デジタル通貨のプライバシーを強化する取り組みの一環としてグレゴリー・マクスウェルによってさらに開発されました。機密取引は取引金額を隠すことにより、第三者が公的台帳データに基づいて富の分配、支出習慣、または口座残高を追跡することを防ぎます。

2. Bitcoin のような従来のブロックチェーン システムでは、ブロックチェーンを分析している誰もがすべての取引金額を確認できます。送信者と受信者のアドレスはある程度の匿名性を提供する可能性がありますが、値の透明性により財務上のプライバシーが損なわれます。機密トランザクションは、平文の金額を暗号化されたコミットメントに置き換えることでこの問題を解決し、適切な復号キーを持つ参加者のみが実際に転送された金額を閲覧できるようにします。

3. コアメカニズムは、Pedersen コミットメントとして知られる暗号化技術に依存しています。これらにより、ユーザーは特定の値 (5 BTC など) を明らかにすることなくコミットできると同時に、ネットワーク検証ツールが入力が出力と同等であること、新しいコインが不正に作成されていないことを検証できるようになります。これにより、正確な金額が隠されたままである場合でも、通貨供給の完全性が維持されます。

4. データを公開せずに有効性を保証するために、機密トランザクションではゼロ知識証明または準同型暗号化プロパティが使用されます。バリデーターは、暗号化された値に対して数学的演算を実行して、入力の合計が出力の合計と一致することを確認できるため、インフレのバグや二重支出の試みを防ぐことができます。この検証は、個々の取引金額を復号化することなく行われます。

5. Monero や Mimblewimble ベースのブロックチェーン (Grin や Beam など) などのネットワークは、機密トランザクションのバリエーションを実装します。 Monero では、RingCT は機密トランザクションとリング署名を組み合わせて、送信者の身元と金額の両方を不明瞭にします。 Mimblewimble は、機密トランザクションを基本設計に統合することでこれをさらに推し進め、カットスルーとプルーニングを通じて強力なプライバシーと大幅なブロックチェーンのスケーラビリティの向上を可能にします。

ペダーセンのコミットメントが価値の隠蔽を可能にする仕組み

1. 機密取引の中心には、値をランダムな盲検化要素に結び付ける Pedersen コミットメント スキームがあります。コミットメントはC = v H + r Gのようになります。ここで、 vは量、 rはランダムな秘密、 HとGは固定楕円曲線点です。 rが分からなければ、 Cからv を導出するのは計算上不可能です。

2. ユーザーが資金を送金するとき、新たなブラインド要素を使用して出力コミットメントを作成します。トランザクションの入力は以前のコミットメントを参照し、システムは入力コミットメントの合計から出力コミットメントの合計を差し引いた値がゼロ (モジュロ手数料) に等しいことを検証します。これは、個別の金額を明らかにすることなく、価値の保存を証明します。

3. Pedersen コミットメントは加法準同型であるため、ノードは暗号化された値を直接加算および減算できます。たとえば、2 つのコミットメントがそれぞれ 2 BTC と 3 BTC を表す場合、値が平文では表示されない場合でも、それらの合計は 5 BTC のコミットメントに相当します。このプロパティは、トランザクション残高を検証するために不可欠です。

4. 金額は隠されていますが、ブラインドキーまたは表示キー（許可されたバリアント）にアクセスできる監査人または規制当局は、値を復号化できます。一部のエンタープライズ向けブロックチェーンは、コンプライアンスのニーズと一般的なプライバシーのバランスをとって、そのようなキーを選択的に提供します。

5. 制限の 1 つは、Pedersen のコミットメントでは、トランザクションが発生したという事実や参加アドレスが隠蔽されないことです。完全な匿名性を実現するには、ステルス アドレスや混合プロトコルなどの追加レイヤーが必要です。ただし、金額の機密性の範囲内では、パッシブチェーン分析に対する強力な保護を提供します。

オーバーフロー攻撃の防止におけるレンジプルーフの役割

1. 暗号化された金額に関する重要な課題は、悪意のあるユーザーがマイナスの値を作成して供給を膨らませるのを防ぐことです。たとえば、誰かが密かにコインを鋳造しながら、大きなプラスのインプットとより大きなマイナスのアウトプットにコミットすることで、バランスが取れているように見せることで、自分の所有物よりも多くを支出しようとする可能性があります。

2. これに対抗するために、機密取引システムは範囲証明を採用しています。これらは、実際の数値を開示せずに、コミットされた値が負ではなく、有効な範囲 (たとえば、0 から 2^64 satoshi の間) 内にあることを証明する、各出力に添付された暗号証明です。

3. 初期の実装では、範囲証明に比較的大きなボロメアン リング署名を使用し、トランザクション サイズが大幅に増加しました。 Bulletproofs のような新しいアプローチは、このオーバーヘッドを劇的に削減し、データ要件を 80% 以上削減する対数サイズのプルーフを提供し、機密トランザクションをよりスケーラブルにします。

4. Bulletproof により、複数の出力を 1 つのコンパクトなプルーフに集約でき、効率が向上します。また、標準的な暗号化の前提にのみ依存するため、信頼できるセットアップの必要性も排除されます。そのため、分散型でトラストレスな環境に最適です。

5. これらの進歩にもかかわらず、レンジプルーフは依然として、透過的なトランザクションと比較してストレージと計算の需要の増加に貢献しています。現在進行中の研究では、検証速度の最適化と帯域幅の使用量の最小化に焦点を当て、軽量クライアントとモバイル ウォレット間でプライベート トランザクションにアクセスしやすくしています。

よくある質問

機密取引でマイナスの金額を送金できないのはなぜですか?コミットされた値が有効な正の範囲内にあることを暗号的に証明するために、範囲証明が各出力に添付されます。有効な範囲証明がなければ、ノードはトランザクションを拒否し、オーバーフロー攻撃や偽造コインの作成を防ぎます。

マイナーは機密取引の取引金額を確認できますか?いいえ、マイナーは暗号化されたコミットメントのみを参照し、受信者のプライベート表示キーを所有していない限り実際の値を抽出することはできません。彼らの役割は、機密データにアクセスせずに、残高の一貫性と証明の有効性を検証することに限定されています。

すべての暗号通貨は機密取引をサポートしていますか? Bitcoin やイーサリアムなどのほとんどの主要な暗号通貨は、機密トランザクションをネイティブにサポートしていません。 Monero、Zcash (シールドされたトランザクション)、Mimblewimble ベースのチェーンなど、プライバシーを重視したコインがこのテクノロジーを主に採用しています。

受取人は自分が受け取った金額をどのようにして知るのでしょうか?送信者は、暗号化されたチャネル (多くの場合 ECDH を使用) を介して帯域外で値とブラインディング ファクターを送信します。受信者はこの情報を使用して、自分側でコミットメントを解読し、正しい金額が送金されたことを確認します。