VOLE base ZKの分類
1. QuickSilver Protocol
概要:QuickSilverは、Wolverine(Weng et al. S&P 21)とLPZK(Dittmer et al. ITC 21)のアイデアを基盤にしています。
特徴:これらのプロトコルの効率的な設計を引き継ぎつつ、さらなる改良や特徴の追加が期待される新しいVOLEベースのゼロ知識証明プロトコル。
重要点:QuickSilverは、以下で述べる既存のプロトコルと関連しながら、それらの長所を組み合わせた設計です。
2. Mac’N’Cheese (Baum et al. CRYPTO 21)
概要:分岐を持つステートメントの証明を可能にするプロトコル。通信コストは最も大きな分岐のサイズに線形に依存。
特徴: 分岐(条件分岐があるようなプログラム)を含む複雑な計算を効率的に証明。各分岐全体ではなく、最大サイズの分岐にのみ通信コストが比例する。
用途:プログラムの実行や複数の可能性を含む計算の証明に適用可能。
3. LPZKv2 (Dittmer et al. CCS 22)
概要:LPZKプロトコル(Dittmer et al. ITC 21)の改良版で、通信オーバーヘッドを最大2倍削減。
特徴:LPZKの効率性をさらに向上させ、通信コストを大幅に削減。計算量を保ちながら、よりスケーラブルな設計を実現。
用途:通信リソースが限られる状況での効率的なゼロ知識証明。
4. Mystique (Weng et al. USENIX 21)
概要:ブール値と算術値の一貫性を効率的に証明するプロトコル。
特徴:異なる型のデータ(ブール型、整数型など)の間での整合性を検証。特に複雑な回路設計での正当性証明に有用。
用途:多様な型のデータを処理する計算の証明(例:暗号プロトコルや複雑なプログラムの検証)。
5. Appenzeller to Brie (Buam et al. CCS 21) & MozZarella (Baum et al. CRYPTO 22)
概要:これらのプロトコルは、有限体上のステートメントから整数(整数値)にまで範囲を拡張。
特徴:従来のZKプロトコルが主に有限体上で動作していたのに対し、整数演算を含む計算も証明可能に。多様な計算に対応する柔軟性を提供。
用途:暗号学やプログラム検証、整数演算が含まれる計算モデル。
6. Franzese et al. (CCS 21)
概要:プライベートRAMアクセスを効率的に実行する機能を追加したプロトコル。
特徴:データベースや動的メモリアクセスを含む計算モデルのプライバシー保護。計算の効率性とセキュリティを両立。
用途:機密データを扱うシステムや、ランダムメモリアクセスが必要な計算の証明。
7. Antman (Weng et al. CCS 22)
概要:サブリニア通信を実現するIR-ZKP(Intermediate Representation-ZKP)プロトコル。
特徴:通信コストが入力サイズより小さい「サブリニア」を実現。ただし、追加の暗号学的構造(ビルディングブロック)が必要。\
用途:通信コストが特に重要な環境での効率的なZKP。
FAEST
主な貢献点は以下の通りです:
1. VOLE-in-the-Head技術の提案:
• Vector Oblivious Linear Evaluation (VOLE) を基盤とした最近の高速プロトコルを強化し、公開検証可能性を実現する新技術「VOLE-in-the-Head」を開発。
• MPC-in-the-Headベースのアプローチと比べて、プロトコルはより単純で効率的、かつ証明サイズが線形。
2. 新しいゼロ知識プロトコルの開発:
• バイナリ回路と大規模な有限体の両方をサポートするVOLE-in-the-Headプロトコルを構築。
• 特にSoftSpokenOT(Crypto 2022)のセキュリティを拡張し、VOLE相関を効率的に生成する仕組みを提案。
• 新しいVOLEベースのゼロ知識プロトコルを設計し、従来の指定検証者向けプロトコルに対して、通信コストがわずか2倍で公開検証を可能に。
3. 公開検証可能な署名スキーム(FAEST)の提案:
• FIAT-Shamir変換を用いて非対話型にした結果を、ポスト量子署名スキーム「FAEST」に応用。
• FAESTは、AESをベースとした初のポスト量子署名スキームであり、SPHINCS+(署名サイズ:7.9kB)と比較して署名サイズが5.6〜6.6kBと小型化。
• 検証時間はやや遅いものの、署名生成時間はSPHINCS+と比較して8〜40倍高速。