Suiが発表したア秒級MPCネットワークlkaから見るFHE、TEE、ZKPとMPCの技術的競争
IkaはSui財団が支援するア秒級MPCネットワークであり、性能と安全性の間で画期的なバランスを実現し、プライバシー計算の4つの主要技術パス—FHE、TEE、ZKP、MPC—間の技術的競争を再燃させました。異なるソリューションは、信頼モデル、計算コスト、適応シーンにおいてそれぞれ利点と欠点があり、今後のプライバシー計算の進化は多技術融合のモジュール化された組み合わせが主導する可能性があります。
著者:YBB Capital Researcher Ac-Core
一、Ikaネットワークの概要と位置付け
図源:Ika
Sui財団が戦略的支援を行うIkaネットワークは、最近、技術的な位置付けと発展方向を正式に公開しました。多者安全計算(MPC)技術に基づく革新的なインフラとして、このネットワークの最も顕著な特徴は、そのサブ秒レベルの応答速度であり、同類のMPCソリューションの中では初めてのことです。IkaとSuiブロックチェーンの技術的適合性は特に際立っており、両者は並行処理、分散型アーキテクチャなどの基盤設計理念において高度に一致しています。将来的には、IkaはSui開発エコシステムに直接統合され、Sui Moveスマートコントラクトに即時利用可能なクロスチェーンセキュリティモジュールを提供します。
機能的な位置付けから見ると、Ikaは新しい安全検証層を構築しています:Suiエコシステムの専用署名プロトコルとして機能するだけでなく、全業界に向けて標準化されたクロスチェーンソリューションを提供します。その階層設計はプロトコルの柔軟性と開発の便利さを兼ね備えており、MPC技術が大規模に多チェーンシナリオに適用される重要な実践例となる可能性があります。
1.1 コア技術の解析
Ikaネットワークの技術実現は、高性能の分散署名に基づいており、その革新点は2PC-MPC閾値署名プロトコルを利用し、Suiの並行実行とDAGコンセンサスと組み合わせることで、真のサブ秒レベルの署名能力と大規模な分散ノードの参加を実現していることです。Ikaは2PC-MPCプロトコル、並行分散署名、Suiコンセンサス構造との密接な結合を通じて、超高性能と厳格な安全要求を同時に満たす多者署名ネットワークを構築しようとしています。そのコアの革新は、ブロードキャスト通信と並行処理を閾値署名プロトコルに導入することにあります。以下はコア機能の分解です。
2PC-MPC署名プロトコル:Ikaは改良された二者MPCソリューション(2PC-MPC)を採用しており、実質的にはユーザーの秘密鍵署名操作を「ユーザー」と「Ikaネットワーク」の二つの役割が共同で参加するプロセスに分解しています。元々ノードが二者間で通信する必要があった複雑なプロセス(例えば、微信群聊で各自が全員にプライベートメッセージを送るようなもの)をブロードキャストモード(群公告のようなもの)に変更し、ユーザーにとっての計算通信コストも定数レベルに保たれ、ネットワーク規模に依存せず、署名遅延をサブ秒レベルに保つことができます。
並行処理、タスクを分解して同時に実行:Ikaは並行計算を利用して、単一の署名操作を複数の並行サブタスクに分解し、ノード間で同時に実行することで速度を大幅に向上させようとしています。ここではSuiのオブジェクト並行モデル(object-centric model)を組み合わせており、ネットワークは各取引に対してグローバルな順序合意を達成する必要がなく、多くのトランザクションを同時に処理することができ、スループットを向上させ、遅延を低下させます。SuiのMysticetiコンセンサスはDAG構造を用いてブロック認証の遅延を排除し、即時のブロック提出を可能にすることで、IkaがSui上でサブ秒レベルの最終確認を得ることを可能にします。
大規模ノードネットワーク:従来のMPCソリューションは通常4-8ノードしかサポートできませんが、Ikaは千を超えるノードが署名に参加することができます。各ノードは秘密鍵の断片の一部のみを保持しており、一部のノードが攻撃されても単独で秘密鍵を復元することはできません。ユーザーとネットワークノードが共同で参加する場合にのみ有効な署名を生成でき、いかなる単一の当事者も独立して操作したり署名を偽造したりすることはできません。このようなノードの分布はIkaのゼロトラストモデルの核心です。
クロスチェーン制御とチェーン抽象:モジュール化された署名ネットワークとして、Ikaは他のチェーン上のスマートコントラクトがIkaネットワーク内のアカウント(dWalletと呼ばれる)を直接制御することを許可します。具体的には、あるチェーン(例えばSui)のスマートコントラクトがIka上の多者署名アカウントを管理する場合、そのチェーンの状態をIkaネットワーク内で検証する必要があります。Ikaは自身のネットワーク内に対応するチェーンの軽量クライアント(state proofs)を展開することでこれを実現しています。現在、Suiの状態証明が最初に実装されており、Sui上のコントラクトはdWalletをビジネスロジックに組み込むことができ、Ikaネットワークを通じて他のチェーン資産の署名と操作を完了することができます。
1.2 IkaはSuiエコシステムに逆に力を与えることができるか?
図源:Ika
Ikaがオンラインになった後、Suiブロックチェーンの能力の境界を拡大する可能性があり、Suiエコシステム全体のインフラにもいくつかの支援をもたらすでしょう。SuiのネイティブトークンSUIとIkaのトークン$IKAは協調して使用され、$IKAはIkaネットワークの署名サービス料の支払いに使用されるとともに、ノードのステーキング資産としても機能します。
IkaがSuiエコシステムに与える最大の影響は、Suiにクロスチェーン相互運用能力をもたらすことです。IkaのMPCネットワークは、ビットコインやイーサリアムなどのチェーン上の資産を比較的低い遅延と高い安全性でSuiネットワークに接続することをサポートし、流動性マイニングや貸し出しなどのクロスチェーンDeFi操作を実現し、Suiの競争力を向上させるのに役立ちます。確認速度が速く、拡張性が高いため、Ikaは現在、複数のSuiプロジェクトに接続されており、エコシステムの発展をある程度促進しています。
資産の安全性に関して、Ikaは分散型の保管メカニズムを提供しています。ユーザーや機関は、その多者署名方式を通じてチェーン上の資産を管理でき、従来の中央集権型保管ソリューションよりも柔軟で安全です。たとえオフチェーンで発起された取引要求であっても、Sui上で安全に実行されることができます。
Ikaはまた、チェーン抽象層を設計しており、Sui上のスマートコントラクトが他のチェーン上のアカウントや資産を直接操作できるようにし、煩雑なブリッジや資産の封装プロセスを経ることなく、クロスチェーン相互作用のプロセスを簡素化しています。また、ネイティブビットコインの接続により、BTCは直接Sui上でDeFiや保管操作に参加できるようになりました。
最後の点として、IkaはAI自動化アプリケーションに多者検証メカニズムを提供し、無許可の資産操作を防ぎ、AIが取引を実行する際の安全性と信頼性を向上させ、Suiエコシステムが将来的にAI分野で拡張する可能性を提供していると考えています。
1.3 Ikaが直面する課題
IkaはSuiと密接に結びついていますが、クロスチェーン相互運用の「汎用標準」となるためには、他のブロックチェーンやプロジェクトが受け入れるかどうかにかかっています。現在、市場にはすでに多くのクロスチェーンソリューションが存在し、AxelarやLayerZeroなどが異なるシナリオで広く使用されています。Ikaが突破口を見出すためには、「分散型」と「性能」の間でより良いバランスを見つけ、より多くの開発者が接続したいと思うようにし、より多くの資産が移行したいと思うようにする必要があります。
MPCについては多くの議論があり、一般的な問題は署名権限の取り消しが難しいことです。従来のMPCウォレットのように、一度秘密鍵を分割して配布してしまうと、再度分割しても古い断片を持っている人が理論的には元の秘密鍵を復元できる可能性があります。2PC-MPCソリューションはユーザーの継続的な参加を通じて安全性を高めていますが、現在「どのように安全かつ効率的にノードを変更するか」という点において、特に完璧な解決メカニズムは存在しないと考えています。これは潜在的なリスクポイントとなる可能性があります。
Ika自体もSuiネットワークの安定性と自身のネットワーク状況に依存しています。将来的にSuiが重大なアップグレードを行った場合、例えばMysticetiコンセンサスをMVs2バージョンに更新する場合、Ikaも適応する必要があります。DAGに基づくこのMysticetiコンセンサスは、高い同時実行性と低手数料をサポートしていますが、主チェーン構造がないため、ネットワークパスがより複雑になり、取引の順序付けが難しくなる可能性があります。さらに、非同期記帳であるため、効率は高いものの、新たな順序付けやコンセンサスの安全性の問題を引き起こすことになります。また、DAGモデルはアクティブユーザーに非常に依存しており、ネットワークの使用度が低いと、取引確認の遅延や安全性の低下が発生しやすくなります。
二、FHE、TEE、ZKPまたはMPCに基づくプロジェクトの比較
2.1 FHE
Zama & Concrete:MLIRに基づく汎用コンパイラに加え、Concreteは「階層的ブートストラッピング」戦略を採用し、大規模回路をいくつかの小規模回路に分割してそれぞれを暗号化し、結果を動的に結合することで、単一のブートストラッピングの遅延を大幅に削減しました。また、遅延に敏感な整数操作にはCRTエンコーディングを使用し、並行性が高いブール操作にはビットレベルのエンコーディングを使用する「混合エンコーディング」をサポートし、性能と並行性を両立させています。さらに、Concreteは「鍵パッケージ化」メカニズムを提供し、一度の鍵インポート後に同型演算を何度も再利用でき、通信コストを削減します。
Fhenix:TFHEを基に、FhenixはEthereum EVM命令セットに対していくつかのカスタマイズされた最適化を行いました。「暗号文仮想レジスタ」を明文レジスタの代わりに使用し、算術命令の実行前後に自動的にミニブートストラッピングを挿入してノイズ予算を回復します。同時に、Fhenixはオフチェーンオラクルブリッジモジュールを設計し、オンチェーンの暗号文状態とオフチェーンの明文データとの相互作用の前に証明チェックを行い、オンチェーンの検証コストを削減します。FhenixはZamaと比較して、EVM互換性とオンチェーンコントラクトのシームレスな接続に重点を置いています。
2.2 TEE
Oasis Network:Intel SGXを基に、Oasisは「階層的信頼の根」(Root of Trust)概念を導入し、底層ではSGXクオーティングサービスを使用してハードウェアの信頼性を検証し、中間層には軽量のマイクロカーネルがあり、疑わしい命令を隔離してSGXセグメントの攻撃面を減少させます。ParaTimeのインターフェースはCap'n Protoバイナリシリアル化を使用しており、ParaTime間の通信を効率的に保証します。同時に、Oasisは「耐久性ログ」モジュールを開発し、重要な状態変化を信頼できるログに書き込むことで、ロールバック攻撃を防ぎます。
2.3 ZKP
Aztec:Noirコンパイラに加え、Aztecは証明生成に「増分再帰」技術を統合し、複数の取引証明を時間系列に従って再帰的にパッケージ化し、統一して小型のSNARKを生成します。証明生成器はRustで書かれた並列深さ優先探索アルゴリズムを使用しており、マルチコアCPU上で線形加速を実現します。さらに、ユーザーの待機時間を短縮するために、Aztecは「軽ノードモード」を提供しており、ノードは完全な証明ではなくzkStreamのみをダウンロードして検証する必要があり、帯域幅をさらに最適化しています。
2.4 MPC
Partisia Blockchain:そのMPC実装はSPDZプロトコルを拡張し、「前処理モジュール」を追加して、オフチェーンでBeaver三元組を事前に生成し、オンライン段階の計算を加速します。各シャード内のノードはgRPC通信とTLS 1.3暗号化チャネルを通じて相互作用し、データ転送の安全性を確保します。Partisiaの並行シャーディングメカニズムは動的負荷バランシングもサポートしており、ノードの負荷に応じてリアルタイムでシャードのサイズを調整します。
三、プライバシー計算FHE、TEE、ZKPとMPC
図源:@tpcventures
3.1 異なるプライバシー計算ソリューションの概要
プライバシー計算は現在のブロックチェーンとデータセキュリティ分野のホットトピックであり、主な技術には全同態暗号(FHE)、信頼実行環境(TEE)、多者安全計算(MPC)が含まれます。
- 全同態暗号(FHE):暗号化されたデータに対して復号化せずに任意の計算を行うことを許可する暗号化スキームであり、入力、計算プロセス、出力の全過程が暗号化されています。複雑な数学的問題(例えば格子問題)に基づいて安全性を保証し、理論的には完全な計算能力を持っていますが、計算コストが非常に高いです。近年、業界や学術界ではアルゴリズムの最適化、専用ライブラリ(ZamaのTFHE-rs、Concreteなど)、ハードウェアアクセラレーション(Intel HEXL、FPGA/ASIC)を通じて性能を向上させていますが、依然として「遅行快攻」の技術です。
信頼実行環境(TEE):プロセッサが提供する信頼されたハードウェアモジュール(Intel SGX、AMD SEV、ARM TrustZoneなど)であり、隔離された安全なメモリ領域でコードを実行でき、外部のソフトウェアやオペレーティングシステムが実行データや状態を覗き見ることができません。TEEはハードウェアの信頼の根に依存しており、性能はネイティブ計算に近く、一般的には少量のオーバーヘッドしかありません。TEEはアプリケーションに機密実行を提供できますが、その安全性はハードウェアの実装とメーカーが提供するファームウェアに依存しており、潜在的なバックドアやサイドチャネルリスクがあります。
多者安全計算(MPC):暗号プロトコルを利用して、複数の当事者が各自のプライベートな入力を漏らすことなく、共同で関数の出力を計算することを許可します。MPCは単一の信頼点のハードウェアを必要としませんが、計算には多者間の相互作用が必要で、通信コストが高く、性能はネットワークの遅延や帯域幅に制約されます。FHEに比べて、MPCは計算コストがはるかに小さいですが、実装の複雑さが高く、プロトコルやアーキテクチャを慎重に設計する必要があります。
ゼロ知識証明(ZKP):暗号技術であり、検証者が追加情報を漏らすことなく、ある主張が真であることを検証できるようにします。証明者は、検証者に対して自分がある秘密情報(例えばパスワード)を持っていることを証明できますが、その情報を直接公開する必要はありません。典型的な実装には、楕円曲線に基づくzk-SNARKやハッシュに基づくzk-STARが含まれます。
3.2 FHE、TEE、ZKPとMPCの適合シーンは?
図源:biblicalscienceinstitute
異なるプライバシー計算技術はそれぞれ異なる重点を持ち、重要なのはシーンのニーズです。クロスチェーン署名を例にとると、これは多者の協力を必要とし、単一の秘密鍵の露出を避ける必要があります。このような場合、MPCが非常に実用的です。閾値署名(Threshold Signature)では、複数のノードがそれぞれ一部の鍵の断片を保持し、一緒に署名を完了します。誰も単独で秘密鍵を制御することはできません。現在、さらに進んだソリューションもあります。例えばIkaネットワークは、ユーザーを一方のシステムノードとし、もう一方を2PC-MPC並行署名として扱い、一度に千件以上の署名を処理でき、横方向に拡張可能で、ノードが増えるほど速くなります。しかし、TEEもクロスチェーン署名を実行でき、SGXチップを通じて署名ロジックを実行することで、速度が速く、展開が容易ですが、問題はハードウェアが攻撃されると秘密鍵も漏洩するため、信頼は完全にチップと製造業者に依存します。FHEはこの点で比較的弱く、署名計算は得意な「加法乗法」モデルには含まれないため、理論的には可能ですが、コストが非常に高く、実際のシステムでこれを行う人はいません。
DeFiシーンについて言えば、マルチシグウォレット、金庫保険、機関保管など、マルチシグ自体は安全ですが、問題は秘密鍵をどのように保存し、署名のリスクをどのように分担するかです。MPCは現在の主流の方法であり、Fireblocksのようなサービスプロバイダーは、署名をいくつかの部分に分割し、異なるノードが署名に参加することで、いずれかのノードがハッキングされても問題が起きないようにしています。Ikaの設計も非常に興味深く、二者モデルを通じて秘密鍵の「共謀不可能性」を実現し、従来のMPCの「皆で相談して一緒に悪事を働く」可能性を減少させています。TEEもこの点で応用があり、ハードウェアウォレットやクラウドウォレットサービスでは、信頼実行環境を使用して署名の隔離を保証しますが、ハードウェアの信頼の問題を回避することはできません。FHEは保管の面では現在あまり直接的な役割を果たしておらず、取引の詳細や契約のロジックを保護することに重点を置いています。例えば、プライバシー取引を行うと、他の人は金額やアドレスを見ることができませんが、これは秘密鍵の保管とはあまり関係がありません。このシーンでは、MPCは分散信頼に重点を置き、TEEは性能を強調し、FHEは主に上層のプライバシーロジックに使用されます。
AIとデータプライバシーの面では、状況はまた異なります。FHEの利点はここで非常に明確です。データを最初から最後まで暗号化された状態に保つことができ、例えば医療データをチェーン上に置いてAI推論を行う場合、FHEはモデルが明文を見ずに判断を行い、その結果を出力することを可能にします。この「暗号中計算」の能力は、特にクロスチェーンやクロス機関の協力時に敏感なデータ処理に非常に適しています。Mind Networkのように、PoSノードがFHEを通じて互いに知らない状態で投票検証を行い、ノードが答えを盗むのを防ぎ、全体のプロセスのプライバシーを保証することを探求しています。MPCも共同学習に使用でき、異なる機関が協力してモデルを訓練し、各自がローカルデータを保持し共有せず、中間結果のみを交換します。しかし、この方法は参加者が多くなると通信コストや同期が問題になり、現在は主に実験的なプロジェクトが多いです。TEEは保護された環境でモデルを直接実行できる一方で、モデルの集約に使用する連邦学習プラットフォームもありますが、その制限も明らかで、メモリ制限やサイドチャネル攻撃のリスクがあります。したがって、AI関連のシーンでは、FHEの「全過程暗号化」能力が最も際立っており、MPCとTEEは補助ツールとして機能しますが、具体的なソリューションとの組み合わせが必要です。
3.3 異なるソリューションの差異
性能と遅延:FHE(Zama/Fhenix)は頻繁なブートストラッピングにより遅延が高いですが、暗号化された状態で最強のデータ保護を提供できます。TEE(Oasis)は遅延が最も低く、通常の実行に近いですが、ハードウェアの信頼が必要です。ZKP(Aztec)はバッチ証明時の遅延が制御可能で、単一取引の遅延はその中間に位置します。MPC(Partisia)は遅延が中低で、ネットワーク通信の影響を最も受けます。
信頼の仮定:FHEとZKPは数学的問題に基づいており、第三者を信頼する必要はありません。TEEはハードウェアとメーカーに依存しており、ファームウェアの脆弱性リスクがあります。MPCは半誠実または最大t異常モデルに依存しており、参加者の数と行動の仮定に敏感です。
拡張性:ZKPロールアップ(Aztec)とMPCシャーディング(Partisia)は自然に水平拡張をサポートします。FHEとTEEの拡張には計算リソースとハードウェアノードの供給を考慮する必要があります。
統合の難易度:TEEプロジェクトの接続は最も低いハードルであり、プログラミングモデルの変更が最も少ないです。ZKPとFHEは専用の回路とコンパイルプロセスを必要とします。MPCはプロトコルスタックの統合とノード間通信が必要です。
四、市場の一般的な見解:「FHEはTEE、ZKPまたはMPCより優れている」?
FHE、TEE、ZKP、MPCのいずれも、実際のユースケースを解決する際に「性能、コスト、安全性」という不可能な三角形の問題を抱えています。FHEは理論的なプライバシー保護において魅力がありますが、すべての面でTEE、MPC、ZKPより優れているわけではありません。性能が低いことの代償は、FHEの普及を難しくし、計算速度は他のソリューションに大きく遅れをとっています。リアルタイム性とコストに敏感なアプリケーションでは、TEE、MPC、ZKPがより実行可能な選択肢となることが多いです。
信頼と適用シーンも異なります。TEEとMPCはそれぞれ異なる信頼モデルと展開の便利さを提供し、ZKPは正当性の検証に焦点を当てています。業界の見解が指摘するように、異なるプライバシーツールにはそれぞれの利点と限界があり、「一刀切り」の最適なソリューションは存在しません。例えば、オフチェーンの複雑な計算の検証にはZKPが効率的に解決でき、複数の当事者がプライベートな状態を共有する計算にはMPCがより直接的です。TEEはモバイル端末やクラウド環境で成熟したサポートを提供し、FHEは極めて敏感なデータ処理に適していますが、現在はハードウェアアクセラレーションが必要です。
FHEは「普遍的に優れている」わけではなく、どの技術を選択するかはアプリケーションのニーズと性能のトレードオフによります。将来的には、プライバシー計算は多様な技術の相互補完と統合の結果となることが多く、単一のソリューションが勝つことはないでしょう。Ikaは設計上、鍵の共有と署名の調整に重点を置いており(ユーザーは常に一部の秘密鍵を保持)、その核心的な価値は、保管なしで分散型の資産管理を実現することにあります。それに対して、ZKPは数学的証明を生成し、オンチェーンでの状態や計算結果の検証に供します。両者は単純な代替や競争関係ではなく、むしろ補完的な技術です。ZKPはクロスチェーン相互作用の正確性を検証するために使用でき、一定程度でブリッジの信頼ニーズを減少させることができます。一方、IkaのMPCネットワークは「資産管理権」の基盤を提供し、ZKPと組み合わせてより複雑なシステムを構築することができます。さらに、Nillionは多様なプライバシー技術を統合して全体的な能力を向上させることを開始しており、そのブラインド計算アーキテクチャはMPC、FHE、TEE、ZKPをシームレスに統合し、安全性、コスト、性能のバランスを取ることを目指しています。したがって、将来的なプライバシー計算エコシステムは、最も適切な技術コンポーネントの組み合わせを使用して、モジュール化されたソリューションを構築する方向に進むでしょう。
(2)https://blog.sui.io/ika-dwallet-mpc-network-interoperability/
リスク警告 リスク警告
