特許ウォッチ

公開番号2025090713
公報種別公開特許公報(A)
公開日2025-06-17
出願番号2025037900,2023171811
出願日2025-03-11,2019-03-18
発明の名称ゼロ知識証明を可能にするためのコンピュータ実装されたシステム及び方法
出願人エヌチェーンライセンシングアーゲー
代理人弁理士法人ITOH
主分類H04L 9/32 20060101AFI20250610BHJP(電気通信技術)
要約【課題】算術回路充足可能性と公開鍵の妥当性に関する従属ステートメントの両方を同時に必要とする複合ステートメントの効率的なゼロ知識検証のための方法及びシステムを提供する。
【解決手段】方法において、証明者は、検証者に入力が対応する楕円曲線点乗数に等しい所与の関数回路の出力及び楕円曲線点に関するものであるステートメントを含む一組のデータを送信する。該データは、ステートメントの回路についての個々のワイヤコミットメント並びにバッチにされたコミットメント、入力及び出力を含む。証明者は、検証者からのチャレンジに応答してオープニングを送信する。検証者は、証明者から受信したデータを用いて、回路が満たされると判定し、楕円曲線点を計算して、ステートメントを検証し、ステートメントに対する証拠を保持していると決定する。検証者は、データを受信すると、計算を通じてデータがステートメントに適合することを決定する。
【選択図】なし
特許請求の範囲【請求項１】
証明者が、検証者に対して、ステートメントが真であることを、該ステートメントに対する証拠（ｗ）を秘密にしたまま証明するものである、ステートメント（Ｓ）のゼロ知識証明又は検証を可能にするためのコンピュータ実装された方法であって、当該方法は、
証明者が検証者に：
関数回路を実装して、所与の関数回路出力（ｈ）及び楕円曲線点（Ｐ）に対して、前記関数回路のワイヤへの関数回路入力（ｓ）が対応する楕円曲線点乗数（ｓ）に等しいかを判定する、ように構成されたｍ個のゲート及びｎ個のワイヤを有する算術回路によって表されるステートメント（Ｓ）と、
前記回路のワイヤについての個々のワイヤコミットメント及び／又はバッチにされたコミットメントと、
関数回路出力（ｈ）と、
証明キー（ＰｒＫ）と、
を送信することを含み、
これにより、前記検証者が、前記回路が満たされることを決定し、前記楕円曲線点（Ｐ）を計算して、前記ステートメントを検証すること、故に、前記証明者が前記ステートメントに対する前記証拠（ｗ）を保持していると決定することを可能にする、
コンピュータ実装された方法。
続きを表示（約 1,200 文字）【請求項２】
前記証明者は、前記証拠（ｗ）の知識を証明するために、個々のワイヤコミットメントを送信し、Σプロトコルを使用して前記検証者と通信する、請求項１に記載のコンピュータ実装された方法。
【請求項３】
前記証明者は、前記検証者からチャレンジ値（ｘ）を受信し、オープニングで応答する、請求項１又は２に記載のコンピュータ実装された方法。
【請求項４】
前記証明者は、前記検証者が前記ステートメントが真であると判定して前記楕円曲線点（Ｐ）を計算することを可能にするランダム値（ｘ）を前記検証者に送信する、請求項１又は２に記載のコンピュータ実装された方法。
【請求項５】
前記ランダム値（ｘ）は、少なくとも１つのコミットメントの関数である、請求項４に記載のコンピュータ実装された方法。
【請求項６】
前記ランダム値（ｘ）は、前記証明者によって生成されて前記検証者に送信された全ての前記コミットメントの連結をハッシュすることによって計算される、請求項４又は５に記載のコンピュータ実装された方法。
【請求項７】
前記コミットメントＷ
ｉ
は、Ｗ
ｉ
＝Ｃｏｍ（ｗ
ｉ
，ｒ
ｉ
）であり、
Ｃｏｍは前記関数回路へのコミットメントであり、
ｗ
ｉ
はワイヤ値であり、
ｒ
ｉ
は、ワイヤコミットメントごとに異なる乱数であり、
ｉはワイヤ種類であり、
Ｃｏｍ（ｗ，ｒ）＝ｗ×Ｇ＋ｒ×Ｆとされ、
Ｆ及びＧは楕円曲線点である、
請求項１乃至６のいずれか一項に記載のコンピュータ実装された方法。
【請求項８】
前記算術回路内のワイヤｌに対する入力が、ｋｏ＝ｒ
ｌ
×Ｆであり、
ｋｏはキーオープニング入力であり、
ｒ
ｌ
は乱数であり、
Ｆは楕円曲線上の点である、
請求項７に記載のコンピュータ実装された方法。
【請求項９】
前記検証者は、前記回路が満たされることを確認し、楕円曲線点減算：
ｐｋ
ｌ
＝Ｃｏｍ（ｗ
ｌ
，ｒ
ｌ
）－ｋｏ
ｌ
を介してワイヤｌに対する公開鍵を計算することができる、請求項８に記載のコンピュータ実装された方法。
【請求項１０】
前記証明者は、ワイヤコミットメントのバッチを送信し、各ワイヤについて楕円曲線点を計算するための乱数を生成して、前記証明キー（ＰｒＫ）を形成する、請求項１に記載のコンピュータ実装された方法。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
この明細書は、概して、例えばブロックチェーンネットワークのノードなどのコンピュータプロセッサ又は一群のそのようなプロセッサにおける実装に適した、コンピュータ実装された方法及びシステムに関する。ステートメントの効率的なゼロ知識検証を可能にするプルーフを生成する改良された方法が提供される。当該方法は、双線形ペアリングフレンドリー楕円曲線の使用を必要としない既存の回路充足可能性のための離散対数ベースゼロ知識プルーフプロトコルに組み込むのに好適である。本発明は、以下に限られないが、特に、プルーフを作成するために証明者によって実行される方法、及びプルーフを検証するために検証者によって実行される、及び２人以上の参加者間の共同作業に適している。参加者間の安全なトラストレスでのやり取りを実現するために、当事者のうちの１つが、キー又はステートメントの知識を、そのステートメントを明らかにすることなく証明することができる。
続きを表示（約 2,900 文字）【背景技術】
【０００２】
本文書おいて、用語‘ブロックチェーン’は、全ての形態の電子的な、コンピュータベースの、分散型台帳を含む。これらは、合意に基づく（コンセンサスベースの）ブロックチェーン及びトランザクションチェーンの技術、許可された及び許可されていない台帳、共有台帳、並びにこれらの変形を含む。ブロックチェーン技術の最も広く知られている用途はビットコイン台帳であるが、他のブロックチェーン実装も提案及び開発されている。
【０００３】
ここでは、便宜及び説明のために、ビットコインを参照することがあるが、留意されたいことには、本発明は、ビットコインブロックチェーンとの使用に限定されず、それに代わるブロックチェーン実装及びプロトコルも本発明の範囲内にある。用語“ユーザ”は、ここでは、人間又はプロセッサベースのリソースを指す。ブロックチェーンは、トランザクションからなる複数のブロックで構成されるコンピュータベースの非中央集権的な分散システムとして実装されるピア・ツー・ピアの電子台帳である。
【０００４】
各トランザクションは、ブロックチェーンシステムにおける参加者間でのデジタル資産の管理の移転を符号化するデータ構造であり、少なくとも１つのインプットと少なくとも１つのアウトプットとを含む。各ブロックが、そのブロックが一緒にチェーン化される先行ブロックのハッシュを含むことで、その開始以前にそのブロックチェーンに書き込まれた全てのトランザクションの恒久的で変更不可能な記録を作り出す。トランザクションは、それらのインプット及びアウトプットに埋め込まれるスクリプトとして知られた小プログラムを含み、それらが、トランザクションのアウトプットが誰によってどのようにアクセスされ得るかを指定する。ビットコインプラットフォーム上では、これらのスクリプトは、スタックベースのスクリプト言語を使用して書かれる。
【０００５】
さらに、この文書では、算術回路を使用する既知のゼロ知識プルーフプロトコル及びシステムの構造を参照する。ブロックチェーンは、第三者仲裁又は第三者預託を必要とせずに２つの相互に信頼のない２つの当事者間で公正なやり取りすることの問題に対するソリューションを可能にする非中央集権化された許可なしでのグローバル機構を提供した。金銭的報のための又は例えばデジタルグッズなどの情報との交換での、データ又は情報の公正な交換は、ＺＫＣＰ（Zero-Knowledge Contingent Payments）（非特許文献２）として知られるトランザクションプロトコルにて具体化されている。ＺＫＣＰでは、支払が確認された場合にのみ、指定されたデータが売り手から買い手に転送され、買い手から売り手への支払は、この指定されたデータが売却の条件に従って有効である場合にのみ完了される。このようなプロトコルの詳細は知られている（非特許文献１）が、それは基本的に、ハッシュ時間ロック契約（hash-time-locked contract；ＨＴＬＣ）とゼロ知識プルーフとの組み合わせに基づいており、これは、暗号化された情報（‘デジタルグッズ’）が有効／正確であることと、この情報を解読する‘パスワード’が支払いを請求するためにブロックチェーン上で明らかにされなければならないデータであることとを同時に検証するものである。
【０００６】
ＺＫＣＰプロトコルの中心コンポーネントは、データ／情報の妥当性又は正確性、キーの妥当性、及び対応するハッシュ値に関する一連の従属ステートメントに対するゼロ知識プルーフである。このような複雑な複合ステートメントは、全般的な計算のために効率的なゼロ知識プルーフシステムを必要とし、突き詰めると、これは、１つの当事者が、秘密の入力を用いて任意のプログラムを走らせ、そして、秘密の入力又はプログラムの実行に関する情報を何ら明らかにすることなく、他の当事者に対し、プログラムが入力を有効であると認めて正しく実行されたことを証明することを可能にする。既知のＺＫＣＰの例では、採用された汎用ゼロ知識プルーフシステムは、Ｐｉｎｏｃｃｈｉｏプロトコル（非特許文献３）及びＣ＋＋ｌｉｂｓｎａｒｋライブラリ（非特許文献４）で実装されるような、知識の簡潔な非対話型論証（succinct non-interactive arguments of knowledge；ＳＮＡＲＫ）フレームワークに基づいてきた。
【０００７】
ゼロ知識ＳＮＡＲＫ（ｚｋＳＮＡＲＫ）は、算術回路として表現可能な任意の計算の妥当性をゼロ知識で証明する方法を提供する。ｚｋＳＮＡＲＫの２つの主な特徴的性質は、それらが非対話的である（証明者が検証者に一手（１ムーブ）でプルーフを送る）こと及び簡潔である（プルーフが小さくて検証容易である）ことである。しかしながら、それらはかなりの制限を持つ：
－プルーフ生成が、極めて計算的要求が大きいものである。
－証明キーが非常に大きく、回路サイズに比例する。
－それらは、強力でテストされていない暗号仮定（すなわち、エクスポーネント仮定及びペアリングベース仮定の知識）に依存する。
－所与のプログラム（回路）に対して、それらは、設定パラメータを削除するために信頼されなければならない第三者によって共通参照文字列（common reference string；CRS）が計算されることを必要とする。設定パラメータの知識を持つ者が、偽のプルーフを作成する能力を持つ。
【０００８】
任意の暗号化楕円曲線キー操作を伴うステートメントを証明するｚｋＳＮＡＲＫの構築は、今日まで試みられていないが、仮説的に、何十万又は何百万ものゲートを備える算術回路で構成されることになり、結果として、プルーフ生成時間が数分かかることになるとともに、証明キーが数百メガバイトのサイズになるであろう。
【０００９】
技術的背景
対話型ゼロ知識プルーフのための基本システムは、証明者と検証者との間での何度かの通信ステップを伴うΣ（シグマ）プロトコルを使用することができる。通常、Σプロトコルは三手（３ムーブ）を必要とし、すなわち、証明者が最初のコミットメント（ａ）を検証者に送り、次いで、検証者がランダムチャレンジ（ｘ）で応答し、最後に証明者が最終応答すなわち‘ｏｐｅｎｉｎｇ’（ｚ）で応答する。そして、検証者が、トランスクリプト（ａ，ｘ，ｚ）に基づくステートメントを受け入れる又は拒絶する。
【００１０】
Σプロトコルは、証明者のみに知られている証拠（ｗ）の知識又は該証拠（ｗ）についてのステートメントを証明するために使用されることができる。コミットメントが、証拠に関するステートメントが真実であるという事実を除いて、証拠に関する情報すなわち秘密を検証者に明らかにしない場合、このプロトコルはゼロ知識である（非特許文献５）。
（【００１１】以降は省略されています）

関連特許