ECDSAに対応したゼロ知識証明の論文がGoogleから出ています

こんにちは、富士榮です。

AAMVAのモバイル運転免許証のガイドラインでも触れましたが、mdocやSD-JWTのリンク可能性へ対応するためには今後ゼロ知識証明が大切になります。

年末にGoogleの研究者が

Anonymous credentials from ECDSA

というタイトルでペーパーを出しています。

https://eprint.iacr.org/2024/2010

AIでイラスト生成すると色々とおかしなことになって面白いですねw

アブストラクトの中からポイントを抜粋すると、従来のBBS+では暗号スイートへの対応に関する要件が厳しかったのでレガシーで対応できるようにECDSAでもできるようにしたよ、ということのようですね。

Part of the difficulty arises because schemes in the literature, such as BBS+, use new cryptographic assumptions that require system-wide changes to existing issuer infrastructure.  In addition,  issuers often require digital identity credentials to be *device-bound* by incorporating the device’s secure element into the presentation flow.  As a result, schemes like BBS+ require updates to the hardware secure elements and OS on every user's device.

その難しさの一部は、BBS+などの文献に記載されているスキームが、既存の発行者インフラストラクチャにシステム全体にわたる変更を必要とする新しい暗号化前提条件を使用していることに起因しています。さらに、発行者は、デバイスのセキュアエレメントを提示フローに組み込むことで、デジタルID認証をデバイスに紐づけることを求めることがよくあります。その結果、BBS+のようなスキームでは、すべてのユーザーのデバイスのハードウェアセキュアエレメントとOSのアップデートが必要になります。

In this paper, we propose a new anonymous credential scheme for the popular and legacy-deployed Elliptic Curve Digital Signature Algorithm (ECDSA) signature scheme.  By adding efficient zk arguments for statements about SHA256 and document parsing for ISO-standardized identity formats, our anonymous credential scheme is that first one that can be deployed *without* changing any issuer processes, *without* requiring changes to mobile devices, and *without* requiring non-standard cryptographic assumptions.

本稿では、広く普及し、レガシーシステムにも導入されている楕円曲線デジタル署名アルゴリズム（ECDSA）署名スキームのための新しい匿名クレデンシャルスキームを提案する。 SHA256に関する効率的なzk引数と、ISO標準化されたIDフォーマットの文書解析を追加することで、この匿名クレデンシャルスキームは、発行者側のプロセスを変更することなく、モバイルデバイスの変更を必要とすることなく、また、非標準の暗号化前提条件を必要とすることなく実装できる初めてのスキームです。

 なかなか期待できますね。生成速度に関してもこのような記載があります。

Our proofs for ECDSA can be generated in 60ms.  When incorporated into a fully standardized identity protocol such as the ISO MDOC standard, we can generate a zero-knowledge proof for the MDOC presentation flow in 1.2 seconds on mobile devices depending on the credential size. These advantages make our scheme a promising candidate for privacy-preserving digital identity applications.

当社のECDSAの証明書は60ミリ秒で生成できます。ISO MDOC標準のような完全に標準化されたアイデンティティプロトコルに組み込まれた場合、クレデンシャルのサイズにもよりますが、モバイルデバイス上でMDOCプレゼンテーションフロー用のゼロ知識証明書を1.2秒で生成できます。これらの利点により、当社の方式はプライバシー保護型デジタルアイデンティティアプリケーションの有望な候補となっています。

mdocのプレゼンテーション時にゼロ知識証明を1.2秒で生成、このくらいなら実用性がありそうですね。

論文の本文もPDFで閲覧できるようになっているので、おいおい見ていこうと思います。

 

 

最新のガートナーのプライバシーに関するハイプサイクルではゼロ知識署名が廃れそうになっている？

こんにちは、富士榮です。

なかなか挑戦的な調査レポート（というかハイプサイクル）がガートナーから出てきてザワザワしていますね。

Gartner's latest Privacy Hype Cycle has a controversial take on Zero-Knowledge Proofs; they are now obsolete.

I wonder what the ZK community think of this? @AnnaRRose, @OmerShlomovits, @EliBenSasson, @SuccinctJT pic.twitter.com/qhDgExNtry

— Nigel Smart (@SmartCryptology) August 6, 2024

念の為、スクショも（あくまでバックアップ用途）

これはみなさんお馴染みにガートナーのハイプサイクルのプライバシーに関するものです。

ゼロ知識証明が幻滅期に入ってきており、「obsolete before plateau（廃れる前の踊り場将来、安定期に達する前に陳腐化するだろう）」とされていますね。

※Nさん！適訳をありがとうございます！

コメントを見ていると、

• ガートナーは2023年にマルチパーティ計算を同じようにobsoleteにしていたよね
• ゼロ知識に関するハイプはプライバシーではなくスケラービリティに関する話ばっかりだったしなぁ
• ガートナーもweb3の文脈ではゼロ知識証明に積極的だったはず
• 現時点でゼロ知識証明は過小評価されているが、いずれもっとユビキタスになっていくはずだ
• AIについても同じように言われていたから気にするな
• ゼロ知識証明がブロックチェーンに関連して語られすぎているからじゃない？

などと、ざわついている感じではありますがあんまりみんな気にしてない感じではありますね。

さてさてどうなることやら。

（ちなみに分散型アイデンティティも同じく幻滅期にきていますね）

なお、幻滅期という言い方が悪いんでしょうが、本来のガートナーのハイプサイクルの見方では

幻滅期： 実験や実装で成果が出ないため、関心は薄れます。テクノロジの創造者らは再編されるか失敗します。生き残ったプロバイダーが早期採用者の満足のいくように自社製品を改善した場合に限り、投資は継続します

と定義されています。

（出典：ガートナー・ハイプ・サイクル）

つまり、キーワードだけで過剰に投資が集まる時期（過度な期待の時期）が過ぎて、より現実を見つめる時期に入ってきている、ということですね。

 この時期に入った今こそ、ちゃんとPSF（Problem Solution Fit）を達成できる状態を作り、PMF（Product Market Fit）まで持っていけるように助走をつけないと本当に廃れちゃいますね・・・

選択的開示に関するReview論文を読む（４）

こんにちは、富士榮です。

引き続き選択的開示に関する調査論文を読んでいきます。

Selective disclosure in digital credentials: A review

https://www.sciencedirect.com/science/article/pii/S2405959524000614

今回はゼロ知識証明（ZKP）の利用に関してです。

著者が調査した論文の60％がZKPについて言及されていたようですが、本論文では選択的開示のための手法としてZKPを利用しているものを対象として扱っています。

なお、著者はZKPを利用することで選択的開示について以下のように補完することができると述べています。

Granular control over data sharing — necessary attributes are proven without being revealed;

Enhanced privacy — sensitive information does not need to be revealed, which reduces the risk of data exposure and lowers the chances of identity theft and fraud since the actual information is not disclosed, just proven;

Increased trust — allowing the user to control the revealed or proven data, the level of trust increases among users;

Post-quantum security — certain methods are resistant to quantum attacks;

Compliance and regulatory adherence — using ZKP compliance and identity can be proved without compromising personal data privacy, as demanded by GDPR or CCPA.

データ共有のきめ細かい管理 — 必要な属性は公開されることなく証明される。

プライバシー保護の強化 — 機密情報を公開する必要がないため、データ漏洩のリスクが軽減され、実際の情報が開示されるのではなく証明されるだけなので、個人情報の盗難や詐欺に遭う可能性も低くなります。

信頼性の向上 — 公開または証明されたデータをユーザーが管理できるため、ユーザー間の信頼度が高まります。

ポスト量子セキュリティ — 特定の方法は量子攻撃に耐性があります。

コンプライアンスと規制遵守 — ZKPコンプライアンスとIDを使用することで、GDPRやCCPAで要求されているように、個人情報のプライバシーを損なうことなく証明することができます。

 

一方で、ZKPを使うことによるデメリットとして以下を挙げています。

• Complexity — creation and verification with ZKPs can be computationally intensive, which is a problem for systems not optimized for such operations;
• Issues of understanding — designing systems that use ZKPs correctly requires cryptographic expertise, which can be a barrier to widespread adoption;
• Scalability — since ZKPs are computationally intensive, scaling them for large scaling applications remains a challenge;
• Interoperability — integration of ZKP within existing infrastructure is often complex;
• Trusted setup and auditing — some methods require a trusted setup phase;
• Privacy vs. regulation — a balance must be achieved for when ZKP is needed and when it is not.

• 複雑性 — ZKP を用いた作成と検証には膨大な計算処理が必要となり、そのような処理に最適化されていないシステムにとっては問題となります。
• 理解の問題 — ZKPを正しく使用するシステムの設計には暗号化の専門知識が必要であり、これが普及の妨げとなる可能性がある。
• スケーラビリティ — ZKPは計算負荷が高いので、大規模なスケーリングアプリケーションへの適用は依然として課題となっています。
• 相互運用性 — 既存のインフラストラクチャに ZKP を統合することは、しばしば複雑である。
• 信頼性の高い設定と監査 — 信頼性の高い設定段階を必要とする方法もあります。
• プライバシーと規制 — ZKPが必要とされる場合とそうでない場合について、バランスを取る必要があります。

確かに、としか言いようがありませんね。どうしても難しくなりがちなので、実装ミスにも繋がりますので、この辺はバランスをとっていくことになるんだと思います。