A Practical Post-Quantum Distributed Ledger Protocol for Financial Institutions

この論文は、金融機関の機密性と監査可能性の要件を満たすため、ゼロ知識証明と新しいコンパクトな範囲証明を活用した、ポスト量子耐性を持つ分散型台帳トランザクション方式を提案し、その安全性を分析したものである。

要約

この論文は、**「未来の銀行のための、量子コンピュータにも負けない『秘密の取引帳』」**を作るための新しい技術について書かれています。

難しい専門用語を避け、日常の例え話を使って解説しますね。

1. 背景：なぜ新しい技術が必要なの？

【今の状況：ガラスの箱】
現在のブロックチェーン（暗号通貨など）は、みんなが見られる「ガラスの箱」のようなものです。誰がいくら送金したかが全て見えてしまいます。
しかし、銀行や企業にとって、「誰がいくら送ったか」は極秘情報です。ガラスの箱では、プライバシーが守れないため、銀行は使いにくいのです。

【既存の解決策：魔法の箱】
これまでに「Ring-CT」という技術があり、これは「誰が送ったか、いくら送ったか」を隠す「魔法の箱」を作ろうとしました。
でも、この魔法の箱には2 つの大きな欠点がありました。

1. 量子コンピュータに弱い： 未来の超高性能な量子コンピュータが現れると、この魔法の鍵が簡単に解けてしまいます。
2. 銀行のルールに合わない： 銀行は「誰がいくら持っているか」を正確に監査（チェック）する必要がありますが、魔法の箱はそれを難しくしていました。

2. この論文の提案：「量子に強い、秘密の表」

この論文では、**「PQ-TaDL」という新しいシステムを提案しています。
これを「量子に強い、秘密の表（テーブル）」**とイメージしてください。

① 魔法の「暗号化された表」

銀行の取引データを、見えないように暗号化した「表」に記録します。

• 行（Row）： 取引そのもの（誰から誰へ、いくら）。
• 列（Column）： 各銀行の口座。
• 仕組み： 表の中身は暗号化されているので、外からは見えません。でも、銀行は自分の列（口座）の合計を計算して、残高が正しいか確認できます。

② 量子コンピュータにも負けない「新しい鍵」

これまでの技術は「離散対数問題」という古い数学の難問に基づいていましたが、量子コンピュータには簡単に解かれてしまいます。
この論文では、**「格子（Grid）」**という新しい数学の難問（格子暗号）を使っています。

• 例え： 古い鍵は「平らな地面」に埋められた鍵で、量子コンピュータという「強力な金属探知機」で見つかりやすい。新しい鍵は「複雑な迷路」の中に埋められていて、どんなに強力な探知機でも見つけられない、というイメージです。

3. すごい技術：どうやって「秘密」を守りながら「証明」するのか？

ここがこの論文の一番のハイライトです。
銀行は「お金の移動が正しいこと」を証明したいけど、「金額や相手」は教えたくない。どうすればいい？

【ゼロ知識証明（ゼロ・ナレッジ・プロofs）】
これは**「中身を見せずに、中身が正しいことを証明する魔法」**です。

• 例え： あなたが「100 万円持っている」ことを証明したいけど、金額を言いたくない。
  • 普通の証明：「はい、100 万円です！（見せる）」→ NG（秘密が漏れる）
  • ゼロ知識証明：「私は 100 万円持っています。でも、その金額は秘密です。でも、私が嘘をついていないことは、この魔法の箱（証明）を見れば分かります」→ OK

この論文では、この魔法をさらに進化させました。

① 「再コミットメント」というリレー

取引をするとき、送金側が作った「暗号の箱」を、受け取り側がそのまま使うと、受け取り側が「箱を開ける鍵（ランダム数）」を持っていないため、後で自分の残高を証明できません。
そこで、**「同じ中身（金額）の箱を、受け取り側が自分の鍵で作り直す（再コミットメント）」**という仕組みを導入しました。

• 例え： 送金側が「中身が 100 万円の箱」を渡す。受け取り側は「中身は 100 万円だ」と信じて、「自分の鍵で 100 万円が入っている箱を新しく作る」。
• ポイント： 送金側が「中身が 100 万円」だと証明した証拠（ゼロ知識証明）があれば、受け取り側は「自分の鍵で作った箱も 100 万円だ」と証明できます。中身（金額）は変えずに、鍵だけ変えるのです。

② 「同じ中身」を証明する新しい魔法

「送金側の箱」と「受け取り側の箱」が、**「中身（金額）は同じ」**であることを、鍵（ランダム数）を知っているかどうかに依存せずに証明する新しい技術を開発しました。

• 例え： 2 つの箱がある。中身が同じかどうかわからない。でも、「この箱をこう変形させると、中身が同じなら消える魔法の文字が出る」という仕組みで、中身が一致していることを証明します。

4. 実用性：本当に使えるの？

論文の最後には、実際にコンピュータで動かしたテスト結果があります。

• 速度： 取引の証明を作るのに約 500 ミリ秒（0.5 秒）程度。銀行のシステムとしては十分速いレベルです。
• サイズ： データのサイズも、複数の資産（ドル、円、株式など）を同時に扱えるように最適化されており、現実的な大きさです。

まとめ：この論文が意味すること

この論文は、**「銀行が安心して使える、未来（量子コンピュータ時代）に備えた、プライバシー保護された取引システム」**を提案しています。

• プライバシー： 取引内容は見えない（ガラスの箱ではない）。
• セキュリティ： 量子コンピュータでも破れない（新しい格子暗号）。
• 監査性： 銀行は自分の口座の残高を正しく確認できる（魔法の箱ではなく、管理された表）。
• 柔軟性： 複数の資産（ドル、円など）を同時に扱える。

つまり、**「銀行がブロックチェーンを使いたがらなかった『秘密』と『セキュリティ』の壁を、新しい数学の魔法で取り払った」**というのが、この論文の核心です。

技術概要

論文「A Practical Post-Quantum Distributed Ledger Protocol for Financial Institutions」の技術的サマリー

この論文は、JP モルガン・チェイスのグローバル・テクノロジー・アプライド・リサーチチームによって提出されたもので、金融機関向けに設計された**ポスト量子耐性を持つ分散型台帳プロトコル「PQ-TaDL (Post-Quantum Table-based Distributed Ledger)」**を提案しています。

従来のブロックチェーンや分散型台帳が抱えるプライバシー、監査、量子コンピュータ脅威への対応という課題に対し、格子暗号（Lattice Cryptography）とゼロ知識証明（ZKP）を組み合わせることで、実用的かつ安全なソリューションを構築しました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義 (Problem)

金融機関が分散型台帳技術を導入する際の主な障壁は以下の通りです。

• プライバシーと監査の両立の難しさ:
  • 従来の公開型台帳（例：Bitcoin）は透明性が高いですが、取引金額やアカウント情報の秘匿ができません。
  • 既存のプライベートなプロトコル（例：Monero の RingCT）は、ステルスアドレスやリング署名を用いて匿名性を提供しますが、金融機関が求める「カスタマイズ可能な監査」や「アカウント状態の効率的な検証」には不向きです。特に、ステルスアドレスを使用すると、監査のためにすべての取引履歴をスキャンする必要があり、ゼロ知識証明による監査が複雑化します。
• 量子コンピュータの脅威:
  • 既存の多くの分散型台帳は離散対数問題（Discrete Log）に基づいており、量子コンピュータ（Shor 法）によって破られる可能性があります。
  • 既存の格子ベースの RingCT 提案（MatRiCT+ など）は量子耐性がありますが、金融機関のユースケース（マルチアセット取引、常に支出可能なトークンの保証、効率的な監査）に完全には適合していません。
• 金融機関の要件:
  • 取引金額、入力/出力アカウント、資産の匿名性。
  • 原子交換（Atomic Exchange）のネイティブサポート。
  • カスタマイズされた監査可能性（特定の監査人が特定のアカウント状態を検証できること）。
  • 送信されたトークンが必ず受信者によって支出可能であることの証明（「常に支出可能」なトークンの保証）。

2. 手法と技術的アプローチ (Methodology)

提案されたプロトコル「PQ-TaDL」は、**暗号化されたテーブル型台帳（Encrypted Table-based Ledger: ETL）**モデルに基づいています。

2.1 ETL モデルの採用

RingCT ではなく、ETL モデルを採用しました。

• 構造: 台帳をテーブルとして表現し、行は取引、列は参加者（アカウント）を表します。
• 利点: アカウントの残高は、その列の取引エントリの単純な合計として表現でき、プリニング（不要なデータの削除）により状態を簡潔に表現できます。これにより、RingCT のようなステルスアドレスによるスキャン不要な監査が可能になります。

2.2 格子暗号に基づくトランザクションスキーム

• コミットメント: BDLOP（Bounded Distance Decoding with Linear Operations over Polynomial rings）および ABDLOP（Ajtai's commitment を組み合わせたもの）を用いた格子ベースのホモモルフィックコミットメントを使用します。
• ゼロ知識証明（ZKP）: 以下の 4 つの主要な証明を組み合わせてトランザクションの整合性を保証します。
  1. Balance Proof (PoB): 取引の合計値がゼロになることを証明（資産の消滅・創出防止）。
  2. Consistency Proof (PoC): コミットメントが正しい形式（メッセージ $v$ と $\sqrt{q}v$ の関係、およびランダム値 $r$ の短さ）であることを証明。これにより、秘密鍵所有者がコミットメントから値を正確に抽出（復号）できることを保証します。
  3. Equivalence Proof (PoE): 本論文の核心的な技術革新。 元のコミットメントのランダム値 $r$ を知らなくても、2 つのコミットメントが同じ値 $v$ を持っていることを証明する手法。これにより、送信者が生成したコミットメントを、受信者が自身のランダム値で再コミット（Re-commitment）し、その等価性を証明することで、トークンの所有権と支出権を安全に移転できます。
  4. Asset Proof (PoA): 残高が非負であることを証明する範囲証明（Range Proof）。NTT（数論的変換）ドメインでの効率的な実装や、コンパクトなマルチアセット対応を行っています。

2.3 量子耐性の証明 (QROM)

• 単に格子仮定に基づくだけでなく、**量子ランダム・オラクルモデル（QROM）**における安全性を分析しています。
• 使用されているシグマプロトコルが「弱く縮退する（Weakly Collapsing）」性質を持つことを示し、これにより量子証明知識（Quantum Proof of Knowledge）として機能し、Fiat-Shamir 変換後の非対話型ゼロ知識証明（NIZK）の安全性を QROM 下で保証しています。

2.4 コンパクト化 (PQ-TaDL Compact)

• 多項式環の係数に複数の資産値をエンコードすることで、マルチアセット取引を単一のリング要素で表現し、証明サイズを削減する拡張版も提案しています。

3. 主要な貢献 (Key Contributions)

1. PQ-TaDL の提案: 金融機関向けに設計された、新しい格子ベースの ETL トランザクションスキーム。マルチアセット取引、検証可能な支出可能トークン、効率的なゼロ知識監査をサポート。
2. ランダム値非依存の等価性証明: 元のコミットメントのランダム値 $r$ を知らずに、2 つのコミットメントが同じ値を持つことをゼロ知識で証明する新しい技術。これは ETL 環境で公開検証可能なトランザクションプロトコルを実現するために不可欠です。
3. QROM 下でのセキュリティ分析: 既存の格子ベース構成が ROM（古典的ランダム・オラクル）モデルでのみ分析されることが多いのに対し、本論文は QROM 下での安全性（量子証明知識）を厳密に分析・証明しました。
4. 実用性の検証: Rust による実装とベンチマークを通じて、証明生成時間や通信サイズなどのパフォーマンスを評価し、金融機関での実用可能性を示しました。

4. 結果とパフォーマンス (Results)

• セキュリティ:
  • 平衡性（Balance）とプライバシー（Privacy）が、NIZK の完全性・健全性、コミットメントの結合性、MLWE/MSIS 問題の困難性、および QROM 下での証明知識に基づいて保証されます。
  • 攻撃者が秘密鍵を持たずに不正な取引を行うことは、MSIS 問題の解決またはフォリッジ（署名偽造）が必要となり、計算量的に不可能です。
• パフォーマンス（M3 Pro MacBook でのベンチマーク）:
  • 1 参加者あたりのトランザクション生成にかかる時間は約 500ms（PoC と PoE が主要なコスト）。
  • 検証時間は約 25ms と高速です。
  • PQ-TaDL Compactモードでは、アセットあたりの証明時間が約 3.5ms、検証時間が 0.5ms まで削減されます。
• 通信サイズ:
  • 標準モードでは 1 参加者・1 アセットあたり約 1078 KB。
  • コンパクトモードでは、アセットあたり約 6.1 KB まで圧縮可能です。

5. 意義と結論 (Significance)

この研究は、金融機関がポスト量子時代に対応しつつ、プライバシーと監査性を両立した分散型台帳を実装するための道筋を示しました。

• RingCT からの脱却: 金融機関のユースケース（監査の容易さ、マルチアセット、トークンの確実な支出保証）において、RingCT よりも ETL モデルの方が適していることを示し、格子暗号を用いた ETL の実用化を成功させました。
• 量子耐性の確実性: 単なる「格子ベースである」という主張を超え、QROM 下での厳密な安全性証明を提供した点で、学術的にも実用的にも重要な進展です。
• 実用性: 数秒程度の処理時間と、金融機関の規模（参加者数が限定的）を考慮した通信オーバーヘッドは、実際の金融システムへの導入を現実的なものとしています。

総じて、PQ-TaDL は、量子コンピュータの脅威に耐えつつ、金融規制（監査）とプライバシーを両立させる、次世代の金融インフラとしての分散型台帳プロトコルの有力な候補となります。