1. 序論

本論文は、ブロックチェーンセキュリティにおける根本的なギャップ、すなわちプルーフ・オブ・ワーク(PoW)ベースの合意形成、特に非逐次型の変種に対する具体的で非漸近的なセキュリティ境界の欠如に取り組む。ビットコインの中本合意は漸近的に分析されてきたが、その確率的性質により、ユーザーは決済確定性について不確実性を残している。Liら(AFT '21)による最近の研究は、逐次型PoWに対する具体的な境界を提供した。本研究はその厳密性を並列プルーフ・オブ・ワークに拡張し、単一のチェーンではなくブロックごとにk個の独立したパズルを使用する新しい状態複製プロトコル群(Ak)を提案する。

中核的な約束は、定量化可能で極めて低い失敗確率による単一ブロックでの決済確定性を可能にし、ビットコインのようなシステムを悩ませる二重支払いリスクを直接軽減することである。

2. 中核概念と背景

2.1 逐次型 vs. 並列型プルーフ・オブ・ワーク

逐次型PoW(ビットコイン): 各ブロックは1つのパズル解を含み、それは暗号的に直前の1つのブロックのみを参照し、線形のチェーンを形成する。セキュリティは「最長チェーン」ルールと複数の承認(例:6ブロック)の待機に依存する。

並列型PoW(提案): 各ブロックはk個の独立したパズル解を含む。これらの解は集約されてブロックを形成し、複数のプルーフ・オブ・ワーク・スレッドが単一の状態更新に寄与する構造を作り出す(PDFの図1参照)。この設計は、より規則的なブロック到着時間と単位時間あたりのより高密度なプルーフ・オブ・ワークの提供を目指す。

2.2 具体的なセキュリティ境界の必要性

漸近的なセキュリティ証明(例:「十分に大きなnに対して安全」)は、実世界での展開には不十分である。それらはユーザーにどれだけ待つべきか、あるいは正確なリスクが何かを教えない。具体的な境界は、特定のネットワークパラメータ(遅延$\Delta$)と攻撃者の能力($\beta$)が与えられた場合の最悪ケースの失敗確率(例:$2.2 \times 10^{-4}$)を提供する。これは、正確なリスク管理を必要とする金融アプリケーションにとって極めて重要である。

3. 提案プロトコル: Ak

3.1 プロトコル設計と合意サブプロトコル

プロトコル群Akは、中核となる合意サブプロトコルからボトムアップで構築される。このサブプロトコルは、正直なノードが限られた失敗確率で現在の状態について合意することを可能にする。この合意手順を繰り返すことで、具体的な誤差境界を継承する完全な状態複製プロトコルが構築される。

主要設計原理:k個の独立したパズルを使用してブロックを生成する。これにより、ブロック間隔あたりの「ワーク密度」が増加し、攻撃者が同等の重みを持つ競合チェーンを秘密裏に作成することが統計的に困難になる。

3.2 パラメータ選択と最適化

本論文は、幅広い仮定に対して最適なパラメータ(主にkとパズルの難易度)を選択するための指針を提供する:

  • ネットワーク同期性: 最悪ケースのメッセージ伝播遅延($\Delta$)。
  • 敵対的計算力: 攻撃者が制御する総ハッシュレートの割合($\beta$)。
  • 目標セキュリティレベル: 望ましい失敗確率の上限($\epsilon$)。
  • スループット/レイテンシ目標: 期待ブロック時間。

例えば、ビットコインの10分間の期待ブロック時間を維持しつつ、はるかに高いセキュリティを得るためには、ブロックあたりk=51個のパズルを選択し、各パズルは相応に解きやすくするかもしれない。

4. セキュリティ分析と具体的境界

4.1 失敗確率の上限

主な理論的貢献は、プロトコルAk最悪ケースの失敗確率の上限を導出することである。失敗は、安全性(例:二重支払い)または活性の侵害と定義される。境界は、$k$、$\beta$、$\Delta$、およびパズル難易度パラメータの関数として表現される。

この分析は、逐次型PoWに使用される「プライベート攻撃」および「バランシング攻撃」モデルに基づき、それを拡張し、攻撃者が競合するために複数のパズルを並列に解かなければならない並列設定に適応させたものと考えられる。

4.2 逐次型PoW(ビットコイン)との比較

セキュリティ比較:並列PoW (k=51) vs. 「高速ビットコイン」

シナリオ: 25%のハッシュレートを持つ攻撃者($\beta=0.25$)、ネットワーク遅延$\Delta=2s$。

  • 並列PoW(提案): 1ブロック後の一貫性の失敗確率 ≈ $2.2 \times 10^{-4}$。
  • 逐次型PoW(「高速ビットコイン」、7ブロック/分): 1ブロック後の失敗確率 ≈ 9%

解釈: 攻撃者は高速ビットコインに対しては約2時間に1回二重支払いに成功するが、並列プロトコルに対しては「何千ものブロックにわたって成功せずに作業を費やす」必要があるだろう。

5. 実験結果とシミュレーション

本論文には、理論的境界を検証し、堅牢性をテストするためのシミュレーションが含まれている。

  • 境界の検証: モデルの仮定下でのシミュレーションは、導出された具体的境界が成り立つことを確認する。
  • 堅牢性テスト: 設計仮定の部分的違反下でのシミュレーション(例:不完全な同期性、わずかに異なる敵対的挙動)は、提案された構成が堅牢性を維持することを示す。これは、理想的なモデルが完全に成り立つことは稀な実世界での展開において極めて重要である。
  • チャートの説明(暗示): 主要なチャートは、異なるkの値に対して、失敗確率(対数スケール)攻撃者ハッシュパワー($\beta$)に対してプロットするであろう。このチャートは、特に中程度の$\beta$に対して、kが増加するにつれて失敗確率が急峻で指数関数的な減少を示し、逐次型PoW(k=1の単一の線)に対するセキュリティ上の利点を視覚的に実証するであろう。

6. 技術詳細と数学的枠組み

セキュリティ分析は、PoW競争の確率モデリングに依存する。以下を定義する:

  • $\lambda_h$: 正直な集合体がパズルを解く速度。
  • $\lambda_a = \beta \lambda_h$: 攻撃者がパズルを解く速度。
  • $k$: ブロックあたりのパズル数。
  • $\Delta$: ネットワーク遅延の上限。

境界導出の中核は、正直なネットワークと攻撃者との間の二項またはポアソン過程の競争の分析を含む。攻撃者が正直なネットワークがそのノード全体で十分な数を解く前に、k個のパズルを秘密裏に解く(競合ブロックを作成する)確率は、裾確率不等式(例:チェルノフ限界)を用いて境界が定められる。並列構造は、問題を、正直なネットワークが一定のリードを達成する前に攻撃者がk回の成功を必要とするものに変える。これは、$\beta < 0.5$の場合、大きなkに対して指数関数的に起こりにくくなる。簡略化された概念的な境界は以下のようになるかもしれない: $$P_{\text{fail}} \leq \exp(-k \cdot f(\beta, \Delta \lambda_h))$$ ここで$f$は正直なノードの利点を捉える関数である。これはkによる指数関数的なセキュリティ向上を示す。

7. 分析フレームワーク:中核的洞察と論理的流れ

中核的洞察: 本論文の突破口は、単なる並列パズルではなく、それがもたらす定量化可能な確実性である。他の研究(例:Bobtail)が並列PoWがセキュリティを改善すると経験的に主張したのに対し、この研究は並列性(k)、作業速度、決済確定時間の間の正確なトレードオフを数学的に特定した最初のものである。それはセキュリティを「待って望む」ゲームから、工学的なパラメータへと変える。

論理的流れ:

  1. 問題: 逐次型PoW(ビットコイン)は、境界のない確率的な決済確定性を持つ。漸近的境界は実務家にとって役に立たない。
  2. 観察: ブロック内での作業の並列化は、チェーンの統計的「硬さ」を増加させ、秘密裏に追い越すことを困難にする。
  3. メカニズム設計: この硬さを活用する最小限の合意サブプロトコル(Ak)を構築する。そのセキュリティは同期モデルで分析可能である。
  4. 数学的定式化: Akの失敗確率に対する具体的で計算可能な上限を導出する。
  5. プロトコルの実体化: Akを繰り返して完全なブロックチェーンを構築する。セキュリティ境界は引き継がれる。
  6. 最適化と検証: kと難易度を選択する方法論を提供し、堅牢性を示すためにシミュレーションを行う。
この流れは、伝統的な分散システム(例:Paxosファミリー)で見られる厳密なセキュリティ工学を反映しており、今や許可不要型合意に適用されている。

8. 長所、欠点、実践的示唆

長所:

  • 具体的なセキュリティ: これが最大の強みである。それはリスク調整された展開を可能にする。決済ゲートウェイは今、「二重支払いリスクが正確に0.022%であり、これは我々のクレジットカード詐欺率よりも低いため、1ブロック後に取引を受け入れます」と言うことができる。
  • 単一ブロック決済確定性の可能性: 高額取引の決済遅延を劇的に削減し、金融におけるブロックチェーン採用の主要なボトルネックに対処する。
  • パラメータ化された設計: セキュリティ、スループット、分散性(より簡単なパズルはマイニング障壁を下げるかもしれない)の間のトレードオフを調整可能なノブ(k)を提供する。
  • 厳密な基盤: Passらの確立された同期モデルとLiらの具体的境界の研究に直接基づいて構築されており、学術的信頼性を与えている。

欠点と批判的疑問:

  • 同期モデルへの依存: 分析全体は既知の$\Delta$に依存している。実世界(インターネット)では、$\Delta$は境界ではなく確率変数である。仮定違反に対するシミュレーションの「堅牢性」は安心させるが、証明ではない。これはすべての同期型ブロックチェーン証明における根本的な緊張関係である。
  • 通信オーバーヘッド: ブロックあたりk個の解を集約することは、ブロックサイズと検証負荷を増加させる。k=51の場合、これは無視できない。本論文は、このオーバーヘッドのスケーラビリティについてより明確な議論を必要とする。
  • マイナーの戦略と中央集権化: 並列PoWはマイニングのゲーム理論を変えるか?それは(ビットコインで見られるような)プール形成を新しい方法で促進するか?分析は、プロトコルに従う正直な多数派を仮定している―標準的だがしばしば違反される仮定である。
  • 比較の基準: 「高速ビットコイン」(7ブロック/分)との対比は、やや不公平である。より公平な比較は、単位時間あたりの総ハッシュレートが同じ逐次型PoWとの比較かもしれない。しかし、決済確定の速度に関する彼らの主張は成り立つ。

実践的示唆:

  1. プロトコル設計者向け: これは青写真である。Ak群は、特に$\Delta$を合理的に境界付けできる制御環境(例:コンソーシアムチェーン)において、高速な決済確定性を必要とする新しいPoWチェーンの出発点となるべきである。
  2. 企業向け: 「6承認」をマントラとして使用するのをやめる。このフレームワークを使用して、あなたのリスク許容度、推定攻撃者能力、ネットワーク遅延に基づいて独自の承認深さを計算する
  3. 研究者向け: 最大の未解決問題は部分同期または非同期への橋渡しである。これらのより現実的なモデルで同様の具体的境界を導出できるか?また、並列PoWを他の決済確定性ガジェット(イーサリアムのCasperなど)と組み合わせたハイブリッド設計を探求する。
  4. 重要な次のステップ: これをテストネット(ビットコインコアのフォークなど)に実装し、実世界のネットワーク条件下でストレステストを行う。理論は有望である。今、それは実戦経験を必要としている。

9. 将来の応用と研究の方向性

  • 高頻度取引(HFT)決済: ブロックチェーンベースのHFTには、リスクがほぼゼロのサブ秒単位の決済確定性が必要である。低遅延の管理ネットワークにおける調整された並列PoWチェーンは、実行可能な解決策となり得る。
  • 中央銀行デジタル通貨(CBDC): 参加者が既知でネットワーク条件を管理できるホールセールCBDCにおいて、並列PoWは定量化可能な決済リスクを持つ、透明で監査に適した合意形成を提供する。
  • クロスチェーンブリッジとオラクル: これらの重要なインフラコンポーネントは、状態の決済確定性に対して極めて高いセキュリティを必要とする。ブリッジ合意専用の並列PoWサイドチェーンは、現在の多くの設計よりも強力な保証を提供し得る。
  • プルーフ・オブ・ステーク(PoS)との収束: PoSの「並列化可能」なバージョン、またはブロックあたりの複数のパズルに類似して、スロットごとに複数の独立したバリデータ委員会からセキュリティが導かれるハイブリッドモデルを探求する研究が考えられる。
  • ポスト量子時代の考慮: PoWは本質的に(検証ではなく発見に対して)ポスト量子耐性があるが、並列パズルの構造は、複数の独立した暗号問題に対する並列攻撃を要求することにより、量子敵対者に対する追加の耐性を提供するかもしれない。

10. 参考文献

  1. Keller, P., & Böhme, R. (2022). Parallel Proof-of-Work with Concrete Bounds. In Proceedings of the 4th ACM Conference on Advances in Financial Technologies (AFT '22).
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Li, J., et al. (2021). Bitcoin Security in the Synchronous Model: A Concrete Analysis. In Proceedings of AFT '21.
  4. Pass, R., Seeman, L., & Shelat, A. (2017). Analysis of the Blockchain Protocol in Asynchronous Networks. In EUROCRYPT.
  5. Garay, J., Kiayias, A., & Leonardos, N. (2015). The Bitcoin Backbone Protocol: Analysis and Applications. In EUROCRYPT.
  6. Bobtail: A Proof-of-Work Protocol that Achieves a Target Block Time and Lower Transaction Confirmation Times (Whitepaper).
  7. Buterin, V., & Griffith, V. (2019). Casper the Friendly Finality Gadget. arXiv preprint arXiv:1710.09437.
  8. Lamport, L. (1998). The Part-Time Parliament. ACM Transactions on Computer Systems.