理論的には極端だけど、この記事はかなりセンセーショナルだね。論文は半年前のもので、あまり注目されてないし、もしこれが重要なニュースならもっと報道があるはずだと思う。ここにもっとニュアンスのある見解を見つけたよ: https://blog.cryptographyengineering.com/2025/02/04/how-to-p... Quanta「マガジン」はあまり見たことないけど、こんな感じの内容ばっかりなのかな？

ざっと読んだ感じでは、ビットコインとは全く関係ないみたいだけど、もう少し複雑なイーサリアムのプロトコルには影響があるかもしれない。イーサリアム自体とは関係ないけど、ゼロ知識証明に関連しているみたい。編集: どうやら「GKRプロトコル」と呼ばれる、いくつかの暗号通貨が使っている（？）ものに関連しているみたいで、何かを証明するために使える（？）らしい。マイニングとか... ゼロ知識証明を使って... ここみたいに - https://www.polyhedra.network/expander （暗号通貨では、実際に何が行われているのか分かりにくいよね）私が素人として感じるのは、実験的なZK証明は確かに実験的だってこと。

たぶんそうだろうけど、結局は誰かが壊れてないプログラムで君の仕事を検証するから、捕まる可能性が高いよ。どれくらいその可能性があるかはよく分からないけど（暗号通貨に興味がないからアルゴリズムを掘り下げる気もないし、確かいくつかの異なる関係者が取引を本物と見なす前に合意する必要があるんだよね、そんな感じで混乱してると思ってくれればいいけど）、ビットコインの詐欺をたくさんやってたら誰かが気づくよ。詐欺を君に追跡できるかどうかは分からないけど。

数年前にセキュリティ研究者がブロックチェーンはハッキング可能だって見せてくれたんだ。証明は覚えてないけど、それ以来暗号通貨やブロックチェーンにはあまり興味がなくなった。お金を稼ぎたいけど、セキュリティが不安定なんだよね。

（これを鵜呑みにしないでね、先週このHNスレッドでFiat-Shamirヒューリスティックについて知ったばかりだから https://news.ycombinator.com/item?id=44458168、理論的な暗号学の基本的な経験しかない）ゼロ知識証明の概念があって、インタラクティブな文脈での動作の直感的な例はWikipediaページをチェックしてみて。基本的に、何かを証明したい人（証明者）にいくつかの質問（チャレンジ）をすることで、彼らが実際にそのことを知っているという確率的な信頼を得られるんだ： https://en.wikipedia.org/wiki/Zero-knowledge_proof#Abstract_... インタラクティブであることが重要なのは、証明者がその場で「ごまかす」のが難しくなるから。でも、オンラインでお互いに話す必要がない方が便利だよね。だから、同じことを非インタラクティブにやりたい。Fiat-Shamir変換（またはヒューリスティック）は、インタラクティブなプロトコルを「ランダム」なチャレンジに依存して非インタラクティブなものに変換できると言ってる。証明者がランダム性をコントロールできなければ、それはインタラクティブに挑戦するのと同じくらい良いことになる（例えば、補うためにもっと多くのチャレンジをさせることもできる）。ランダム性はどうやって得るの？コンピュータでは完全にランダムなものはないけど、暗号学的ハッシュ関数は出力を予測するのが非常に難しいと考えられている。だから、暗号学では「ランダムオラクルモデル」があって、「このプロトコルが実際のハッシュで安全かどうかは分からないけど、ハッシュ関数が本当にランダムオラクルだったら、安全だと証明できる」と言ってる。（Fiat-Shamir変換は、ランダムオラクルモデルを信じる場合にのみ証明可能に安全）。過去には、研究者たちがランダムオラクルモデルで安全な新しいプロトコルを構築してきたけど、実際のハッシュ関数を使うと、現実の実装の詳細のせいで破られることがある。この論文の要約にもあるように、「これまでのすべての例は、失敗するように特別に設計された作り話のプロトコルだった」。実際のハッシュ関数を選ぶとどうなるかのメカニズムについての議論は、https://crypto.stackexchange.com/q/879を見てみて。この新しい論文は、実際に使われている現実のプロトコルGKRをターゲットにした攻撃を示すことで、分野を進展させている。これを見ると（俺の解釈は鵜呑みにしないでね）、実際のハッシュ関数を選ぶと、攻撃者が望む出力を得るための入力（回路）を構築できることが分かる。--- 現実世界への影響は？実際に存在する非インタラクティブなゼロ知識証明システムがあって、主にブロックチェーンで使われてる。全ての情報を公開して（遅い）ブロックチェーン上で計算する代わりに、取引のプライバシーを守ったり、いくつかの更新を安価にまとめたり（ZKロールアップ）できる。理論的には、これらは論文で説明されている方法を使って攻撃される可能性がある。これらが影響を受けるかどうかは不明だけど（俺の予想では受けないと思う、もしそうなら言及されていたはずだから）。

いや、これはビットコインやイーサリアムのTXを偽造することはできないよ。この種の脆弱性は主に「ゼロ知識」証明手法に関するもので、ビットコインやイーサリアムの基盤層では発生しないんだ。でも、いくつかのチームはこれらのブロックチェーンの上にZK証明を構築しているから、そういうシステムは脆弱かもしれないけど、まだほとんど実験段階なんだよね。

初心者として、どうして人たちがこんな風にハッシュを使ってるのか理解するのがすごくイライラした。プロの人も「うん、でも衝突は本当に起こりにくいから」とか言って、ニュートリノの干渉と比べてたけど、それがどうして十分だと思えるの？

HyperLogLogアルゴリズムについて調べてみて。アルゴリズムが機能するためには、公平なハッシュの「ランダム性」が必要なんだ。ハッシュの擬似ランダム性が役立つケースもあるってことを言いたいんだよね。

でも、「ハッシュで説明された素材を生成するために使えない関数」を作ったら、すごく良い擬似ランダム化装置も作ったことになるよ。実際、暗号ハッシュ関数が明らかなランダム性を生み出す能力を信頼できないなら、その「意図された目的」に対しても信頼できないってことになる。どちらか一方か、両方とも得られるかだね。

今使われてる署名って、基本的にハッシュ関数をランダム性として使ってるって気づいた？

ごめん、でもこのコメントはすごく曖昧でわかりにくいよ。暗号学者たちは、ハッシュ（たとえ暗号的に強いものであっても！）が決定論的であることを知っているんだ。でも、インタラクティブ証明から非インタラクティブ証明に移行する際に、実際にはランダム性が必要ない場合もあるんだ。実際、特定のプロトコルのクラスに対しては、特定の性質（相関困難性）を満たすハッシュ関数を設計する方法がわかっているから、結果として得られる非インタラクティブ証明は信頼性があるんだ。ただ、(a) これらのハッシュは非効率的で、(b) これまでのところ、標準的なハッシュを使うことで攻撃につながるような非作為的なプロトコルは見つかっていないんだよね。

じゃあ、現代のCSPRNGからは離れた方がいいかもね。例えば、YarrowやFortunaは、ランダムな入力データのソースを混ぜて、強力なハッシュ関数（今はsha-256）を使って、エントロピーを消費せずに任意の速さで出力を生成するんだ。で、これがプログラマーが何もわかってないっていう批判に対してだけど、これらのアルゴリズムはブルース・シュナイアーやニールス・ファーガソン、ジョン・ケルシーが開発したものなんだよ。

私も結局、論文を読みに行ったよ。記事を読み進めるのが本当に難しかった。無駄に盛り上がった言葉、「嘘を証明する」とか、漏れたボートに対する過剰なこだわりとか... 著者は自分の専門外か、数学のコミュニケーションに不慣れな感じがした。でも、この記事は論文が提供しない少しの文脈を与えてくれる。ただ、正直言って、これはただの悪い記事で、無駄にセンセーショナルで、実際の知識を伝えることに失敗してる。

せめて記事の4段落目でそれに言及してるよ。こういう要約記事の多くはそういうことしないけどね。

このホワイトボードセッションもおすすめだよ！o.o https://blog.zksecurity.xyz/posts/pudding3/

俺の経験上、一般の人向けの暗号学の説明ってそんな感じだよ（ほとんど一般人だから）。アリスが洞窟に入って、ボブがどの出口から出るべきか叫ぶとか、アリスがボブにハミルトニアンサイクルを信頼なしで売ろうとするとか、アリスとボブがペンキのバケツを混ぜて郵送し合うとか、そういう複雑なアナロジーが一部の人には効果的かもしれないけど、俺には合わないな。

それは全然違う、関係ないタイプの脆弱性だね。大量のコイン盗難につながる実装ミスは確かに暗号通貨のニュースになるけど、暗号学のニュースにはならない。実際にピアレビューされたゼロ知識証明のスキームが破られるのは別の話。

時間は「昨年の10月」とされていて、彼らが不慣れだった研究は、おそらく「どのハッシュ関数を使っても攻撃に脆弱な作為的証明プロトコル」だと思うよ。前の文に書いてあったし。

記事が言っている「この作業」はGKRではなく、記事の前半で言及されている作業だと思うよ。> 2000年代初頭、コンピュータ科学者たちは、Fiat-Shamirを経ると失敗するように特別に設計されたインタラクティブ証明プロトコルを考案したんだ。記事は、GKRをターゲットにするアイデアがイーサリアム財団の研究者のものだと指摘しているよ。> Soukhanovは、GKRプロトコルに基づくFiat-Shamir証明システムをターゲットにするアイデアを持っていたんだ。

そう、君が見落としてるのは、これまでのFiat Shamirへの攻撃はかなり作り話だったってことだ。でも、論文は実際にROモデルで動作するプロトコルを破るかなりシンプルな方法が存在することを示している。そして、こういった効率的な攻撃は暗号学の世界ではかなり懸念される。だから、これは攻撃そのものの話ではなく、そんな簡単な攻撃が存在することについての話なんだ。

「プログラムを選ぶ」部分は曖昧だけど、多くの実用的なケースでは、ユーザーが入力データを選ぶことでプログラムを選ぶことになる。これは、君がCSの初期の頃に覚えているかもしれない「データ」と「プログラム」の間のあいまいな区別に戻る。より正確には、理論的なCSの視点から見ると、データとプログラムの間に明確な違いはない。ほとんどすべての実用的なZKスキームは、ユーザーが何らかの入力（例えば、ブロックチェーンの「現在の状態」を表すマークルツリーのルートや、キーや取引額のような秘密）を選ぶことを要求する。ある視点から見ると、異なる入力ごとに異なるプログラムが得られることになる。時々、これを「カリー化」や「部分評価」と呼ぶ人もいる。だから、最初に見えるよりも深刻な問題なんだ。

ここで見落としているのは、「悪意のあるプログラム」っていうのが、通常の「悪意」とは違う視点からのものだってことだよ。実際には元のプログラムと機能的に同じなんだ。つまり、同じ入力に対して同じ出力を返すし、何か秘密の入力があってそれが間違ったことをさせるわけじゃないんだ。それでも、修正が加えられたことで、FSがそれについて「偽のこと」を「証明」できるようになるから、「M(x)=y」を「証明」できるんだ。実際にM(x)を実行すると、yが得られないことがわかるのにね。