ElixxirのTechnical Briefを日本語に翻訳してみました。ご参考にしていただけたら幸いです。

＜内容＞

エグゼクティブサマリー

創設者からの手紙

1 序論

2 アーキテクチャ概観

__2.1 スケーリング戦略

__2.2 ブロックのプロパゲーション

3 コンセンサス・プロトコル

__3.1 コンセンサスの特性

__3.2 チームのレジリエンス

__3.3 ネットワークのレジリエンス

__3.4 参加の平等

__3.5 シビル攻撃耐性

4 支払い

__4.1 ブロック構造

__4.2 支払いの下準備

__4.3 支払いの実行

5 ミキシングメッセージとミキシングトランザクション

6 結論

7 参考文献

エグゼクティブサマリー

ブロックチェーン技術とデジタル通貨が広く普及するために、消費者に必要なのは、ユーザー体験即ちブロックチェーンの性能と利便性を損なうことなくユーザーのデジタル主権に対する権利を認めて擁護するスケーラブルで高性能なメッセージングおよび支払いプラットフォームである。Elixxirブロックチェーンは、消費者が必要とするプライバシーを維持しながら、現行の分散型システムの普及を妨げる性能上の問題に対処できるように設計されている。

Elixxirがユーザーに提供するのは：

•スピード: 数秒で完了する支払いとメッセージ送信

• トランザクションのプライバシー保護: 送信者と受信者のみが支払い履歴を閲覧して証明できる。ト ランザクションのデータはブロックチェーン上に保存されない。

•通信のプライバシー保護:通信を行なっている当事者たちの身元やデバイスは非公開である。

Elixxirプラットフォームのアーキテクチャでは、ネットワークに加わるコンピューターが増えるにつれて、処理性能が直線的に拡張する。ネットワークノードは、セキュリティを確保しながらスループットを最大化するようインセンティブが与えられ、支払いにはデジタル署名ではなく、より高速なハッシュベースの所有メカニズムが使用される。

Elixxirのコンセンサスでは、全てのノードに個別に作業を完了するように要求するものとは対照的に、ノードにはチームワークが要求され、ブロック生成のタスクが順次割り当てられる。チームの中の各ノードはすべて個別に暗号学的に検証可能な証明を出す必要があり、その証明は新しいブロックと同時に発行されて、トランザクションが受信されて適切に処理されたことを証明する。Elixxirのユーザーは、その証明を用いてトランザクションの処理の完全性を検証できる。さらに、そのチーム内に正直なノードがたった一つ存在するだけで、ユーザーの匿名性の保護には十分である。

Elixxirのプライバシー機能には、分散テクノロジーの中では類例のない斬新な特徴がある。ユーザーと分散アプリケーションの双方が、プライバシーを守るメッセージングとトランザクションを可能とする高度な匿名化プロトコルの恩恵を受けている。プラットフォームがブロックチェーン上に格納するのはトークンのみで、トランザクションは格納されないので、ユーザーのプライバシー保護はさらに高められる。

Elixxirを創り出したチームのメンバーは、実用的で匿名性が高く検証可能な暗号システムのパイオニアたちだ。彼らは、デジタル通貨、ミックスネットワーク*、未許可の暗号、匿名ユーザー発見、検証可能な投票制度、その他数多くの暗号学上の進歩的な技術を提唱して、利用可能にした先駆者たちだ。その彼らがこの業界の数十年に及ぶ経験を協力して捧げてきたのがこの画期的なプラットフォームである。

Elixxirは現行の集中管理型システムをスケール及び高速応答時間の両面で置き換えることができる。Elixxirプラットフォームは、ゲームチェンジをもたらす検証機能、プライバシー保護、デジタル主権をターゲットにしている。なぜなら、その３つが揃うことがデジタルの未来であるからである。

創設者からの手紙

「大規模な自動トランザクションシステムの誕生が差し迫っています。そのアーキテクチャーとして最初に選択されたものが経済的および社会的な勢い集めるにつれて、逆転することがますます困難になっています。どのようなアプローチをとっても、経済的自由、民主主義、我々の情報に関する権利に深刻で永続的な影響を与える可能性が高いでしょう。」

「現行のアプローチでは、経済的自由への成約が強化される可能性があります。市場参加者たちの情報へ特別にアクセスできる者たちによって市場が操作されてしまうこともよくあります。たとえば、情報サービスプロバイダーやその他の主な利害関係者たちは、消費者に関する広範な情報収集に基づく高度なマーケティング手法を用いてその地位を強固にしながら、さまざまな情報やメディアの流通経路への支配力を握り続けることができます。コンピュータ化によって、そういった組織はかつてない規模と影響力を持つようになりました。コンピュータ化が現在の方向性で続いていくならば、そのような支配はさらに強化されていくかもしれません。しかし、情報の収集と普及のコンピュータ化が、必ずしも中央集権化へと向かう必要はありません。ここで提示した支払いシステムを通信システムと統合することで、個人および小規模組織にも同等の情報流通チャネルへの無制限のアクセスを与えることができます。さらに、個人や組織の取引に関する情報が、相互に関係を持たないリンク不可能な状態に分割されれば、市場の操作と支配をもたらす可能性のある情報の大規模な収集という潮流を逆転できます。」

「現行のアプローチでコンピューター化を進めようとすると、デモクラシーも破壊されます。既に言及したように、広範囲に反対派を生み出す可能性があるのです。そうして事態が行き詰まった結果として作り出されるセキュリティー・メカニズムは、適度の事前抑制を提供することができず、人々の記録のリンク付に基づく厳重な監視を必要とするようになります。そうした監視によって、個人の団体生活や公の場への参加や表現活動が大幅に抑制される可能性があります。それだけでなく、セキュリティー対策が不十分な状態で個人を識別できる記録が蓄積されると、国家的な脆弱性も引き起こされます。さらに、マーケティングでも使われているような高度なデータ取得及びデータ分析技術は、世論や選挙を操作するためにも利用されています。しかしながら、監視を増強させることなく許容範囲のセキュリティを提供することで、以上のような潮流を逆転するだけでなく、デモクラシーを強化するチャンスも存在します。例えば、投票や世論調査は、この新しいシステムを使えば適切に実施することができます。回答者たちは仮名で関連する認証情報を示すことができるので、中央集権型の管理は要らなくなるのです。」

「この新しいアプローチによって、現行のアプローチでは得ることのできない２つの新たな情報に関する人権の現実的な基盤が提供されます。1つは、個々人が取引システムを使用する際に組織団体と平等である権利です。これは実際には、不正使用から守ったり、論争を解決したり、委任状を授与したり、サービスを提供する際に、個人が組織と平等になれば確立されます。もう一つは、情報源と流通経路へのアクセスや、組織との取引や、そしてより根本的には、個人の情報生活で行われるすべてのインターアクションにおいて必要最小限の情報だけを開示する権利です。

「情報技術の進歩は常に大きな社会的変化を伴ってきました。例えば、部族社会から大きな階級社会への移行は書き言葉とともに行われたし、印刷技術は大規模な民主主義の誕生を促進しました。コンピュータがテレコミュニケーションと結びつくことによって、究極のメディアと呼ばれるものが生み出されます。これは確かに”紙”からの大きな一歩ですが、「この新しい技術は、どのような形態の社会をもたらすのだろう？」と疑問に思いませんか。2つのアプローチはその疑問に対して全く異なる回答を持っているように見えます。」

- David Chaum 1987年 [1]

1 序論

Elixxirhは、安全性と機密性を維持しながら通信や価値の交換を実行できる分散型ブロックチェーンプラットフォームである。Elixxirの革新的な設計によって生み出される分散型ネットワークは、100万tpsのスケールで取引が処理されるように拡張できるポテンシャルがあるが、これは従来の主要な支払いシステムに典型的な数千tpsを遥かに凌駕している。Elixxirの設計に基づいてユーザーに提供されるブロックチェーンプラットフォームは、消費者が現在の集中管理型システムに期待する次の性能を実現する。

1. スピード:支払いの開始から取消不可能となる支払い完了まで秒単位で処理
2. スケール:数万tps
3. 真のプライバシー: 取引はユーザーや他の取引とリンクされない。通信はエンドツーエンドで暗号化されており、所定の受信者しか読むことができない。

Elixxirは、デジタル主権が本当に存在する世界のビジョン、つまり取引を行うときにユーザーは必要最小限の情報だけを開示するだけなので、自分の身を守り、自分で自分のプライバシーを管理できる世界を実現するために設計されている。Elixxirはユーザーのために作られている。ユーザーが自分で自分のキーを生成して管理し、ユーザーが自分の全ての機密性の高いデータのやり取りへのアクセスも管理し、ユーザーが自身の全てのデジタル資産に排他的にアクセスでき、ユーザーが個人的な認証情報の自分のデータへのリンク付を管理する。つまりユーザーが自分のデジタルの未来を管理できるのである。

ブロックチェーン技術が一般的に広く採用されるためには、ユーザーのデジタル主権を守りながら、高い取引処理性能を持つプラットフォームが必要である。それを目標として、David Chau博士に率いられたElixxirチームは、ブロックチェーン技術やコンセンサスメカニズムや未許可の暗号技術や暗号通貨やオンライン投票におけるイノベーターとしての自分たちの経験を存分に活かして、Elixxirを創り出すことを通じて課題に取り組んできた。

2 アーキテクチャの概要

ユーザーのデジタル主権を守るために、Elixxirプロトコルは高速化されたミックスネットワークを利用して機密性を確保している。ミックスネットワーク[2]は、メッセージの発信元、内容、宛先を分離するために暗号を使用するルーティングプロトコルである。ここで述べた「メッセージ」とは、単なるテキストメッセージか、もしくはブロックチェーン上の支払いのトランザクションである。Elixxirプロトコルは、機密性の高いブロックチェーンを創るためにミックスネットワークを分散型台帳と組み合わせて使用している。

第１図: チームのメンバー（緑色）はノードのグループからランダムに選ばれる。

他のブロックチェーンプロトコルとは異なり、Elixxirプロトコルではノードのグループが決定論的にチームに編成されるが、そのElixxirチームは一時的なもので、ブロックを生成する責任がある期間だけ存在する。そのチームは、第3章で説明するコンセンサスプロトコルを使用して、暗号化された各メッセージを匿名化し、復号化前にすべてのメッセージを処理することに個別に同意してから、（依然としてネットワーク上にてエンドツーエンドで暗号化されている）各メッセージを復号化して処理するオペレーションの検証と認証を行う。ブロックが生成されると、そのチームは解散し、メンバーのノードは新しくランダムに選ばれるチームに配属できるようになる。図2に示すように、このチームによって、メッセージが双方向に匿名で送信できるようになるのである。

第２図:各チームは、ブロックチェーン内の各ブロックを処理するために匿名で検証可能な双方向型のトランザクションチャンネルを作る

Elixxirチームが実行するすべてのオペレーションは、事前計算を使用することで加速化される[3]。この事前計算によって、ブロック生成中にチーム内のノードがいかに情報を処理すべきかの方法を指示するテンプレートが作成される。従って、そのテンプレートはブロック生成のためにメッセージ情報が到着する前に完全に定義される。事前計算を使用すると機密性が確保されると同時に、ブロックを生成するための情報処理の速度 が飛躍的に向上する。

ノードがElixxirネットワーク上のメッセージとトランザクションの処理に参加するには、選出されなくてはならい。ノードが立候補の資格を得るためには、ネットワーク上にトークンをステークする必要がある。選出されたノードは、Elixxirチームに入る資格を持つ。

第３図: トランザクションが送受信される前に時間のかかる計算に特化するチームによって事前計算が実行される。これにより、ブロックチェーン内の各ブロックを生成するためのトランザクションの計算が、非常に高速にリアルタイムで実行できるようになる。事前計算を使用することで、従来のブロックチェーンとは異なり、セキュリティがレイテンシから切り離されるので、レイテンシに対するペナルティがなくても高レベルのセキュリティを提供できる。

図3に示すように、Elixxirチームによるブロック生成には2つのフェーズがある。まず最初にチームは、前述のように計算特化型の事前計算を実行し、ブロックの情報やメッセージの処理方法を定義する固有のテンプレートを作成する。次にメッセージが到着したら、チームの各ノードはその固有のテンプレートに従ってメッセージを協力してリアルタイムに処理するが、この処理にかかる時間は、事前計算にかかる時間の1/20未満である。

シャーディングの提案やライトニングネットワーク[4]とは異なり、Elixxirチームがコンセンサスメカニズムの完全性に影響を与えることはできない。ブロック生成のあらゆる面が、厳密に検証可能かつ変更不可能な方法で独立して決定されるためである。さらに、チーム内のすべてのノードは、ブロックの最終確認の前にそのブロックの正当性を立証する証明をそれぞれが独自に提供する。

正常なシステムの機能性を確保するために、ノードは復号化の前に、一斉にそれぞれが独自にバッチ完全性のコミットとして暗号証明を生成する。コミットが一致しない場合は、ノードによって生成されたすべての証明を検査して、ノードの障害または不正行為を特定する。正直なノードは、悪意があるノードや誤動作していると特定されたノードとは、その後のやり取りを拒否し、残りのネットワーク全体に対してその不正行為または誤動作の証明をブロードキャストする。悪質であると確認されたノードは。ステークしたトークンを焼却されて失い、ネットワークから追放される。以上の他に更に追加的なセキュリティの仕組みによって、ユーザはトランザクションの不正処理を証明することができる一方で、ノードやチームを不当に非難することはできないようになっている

2.1スケーリング戦略

任意のある時点のネットワーク内には、数十から数百のチームが存在していて、様々な段階の事前計算を実行している。ただし、いかなる時点でもブロックを生成するのは一つのチームだけである。事前計算は、図4に示されるように、段階的に次々とオーバーラップしながら実行されていく。その結果、ネットワークに加わるノードが増加してチームの数が増えると、ネットワークのスループットが向上する。これにより、このプラットフォームは、追加されるノードの増加に比例して処理性能を拡大することができる。

Figure 4: Elixxirプラットフォームで処理できるトランザクション件数を最大化する。

チームの数が増加すると、結果としてネットワークのレジリエンスが高まる。ネットワークに障害を与えたり、完全に破壊するためにダウンさせなければならないチームの数も増えるからである。事前計算の時間が長くなると、各チームによって処理されるメッセージの数も増える可能性がある。

2.2 ブロックのプロパゲーション

生成されたブロックデータは、次のチームの各ノードにブロードキャストされる。次に作業をするチームがそのブロックデータを受信すると、そのデータはネットワーク内の残りのノードにブロードキャストされる。このシーケンスでは、ブロック生成を担当する次のチームとの通信が優先され、効率的なブロックのプロパゲーションが保証される。

3 コンセンサス・プロトコル

Elixxirのコンセンサス・プロトコルは、匿名でかつスケーラビリティを備えたブロックチェーン・メッセージングおよび支払いソリューション向けに設計されている。Elixxirコンセンサス・プロトコルは、ブロックチェーンを想定した多様なアプリケーションに対応できる回復力が高くトラストレスなプラットフォームの制作を可能にする。

チーム内の各ノードは、Elixxirのコンセンサス・プロトコルの中で、以下のオペレーションを実行する。

1. トランザクションが開示される前に、チームはトランザクションのメッセージ・スロットへのコミットを含むテンプレートを定義する。そのテンプレートは、ブロック内で各トランザクションが処理される順序と、チーム内のノードがトランザクションを開始する方法を決定するが、開示はしない。
2. チーム内のノードはそれぞれ独自に、トランザクションの内容を知ることなくトランザクションを受け入れてコミットし、そのコミットを他のすべてのチームのノードにブロードキャストする。
3. 一つのチームとして、各ノードは一緒に全てのトランザクションを所定の順番で開始して、各トランザクションの内容を開示する。チームが全てのトランザクションの正当性に同意して、トランザクションを適切に処理するコミットが完了していたら、ノードは再びそのコミットを他の全てのノードにブロードキャストする。
4. その後に、チームは全てのトランザクションを遂行する。各ノードは別々に独立してブロックを一つ生成してブロードキャストするが、チーム内の他の全てのノードから生み出されたブロックと同一でなくてはならい。

Elixxirのコンセンセスが他のコンセンサスメカニズムより優れている点は、チームに参加している各ノードが、トランザクションを適切に処理していることの短い証明を提供し、その証明をブロックの一部として発行することだ。さらに、各チームは、ブロックの内容が知られる前に、ブロックの生産の各段階にコミットするので、結果として、アプトプットとしてのブロックは、正当だと認証されたインプットから生産されたものとなる。不一致が生じたら、不正行為を働くノードに起因する間違った証明ということ結果になり、その不正なノードのネットワーク内のIDは無効にされる。

3.1 コンセンサスの特性

第５図:９ユニット構成でコンセンサスを達成するために必要な正直なノード（緑色）の数やハッシュレート・ユニットの数やステークの数。グラフや従来のプローフ・オブ・ワーク（プルーフ・オブ・ステーク）といったソリューションと異なり、Elixxirコンセンサスでは、ユーザーが検証可能なオペレーションを実行するために必要なのは、一つの正直なノードだけである。

Elixxirコンセンサスでは、他のプラットフォームとは異なり、図5に示すように51％の攻撃に対する脆弱性はない。正直なノードが一つあれば、チームのコンセンサスが守られる。全員が不正直なチームであってもできることは、そのラウンド内のユーザーグループに提出された取引に対する証明のみである。そのため、ノードが利己的に偽のトランザクションを作成したり、偽造されたトランザクションに対して有効な証明を作成することもできない。万が一にも完全に不正直なチームが現れても、そのチームにできることは単にトランザクションの順序を変更したり、トランザクションの非匿名化を行ったり、証明を提示することに失敗する、即ち失敗を偽装することに限定されている。

ブロックチェーンの世界において、コンセンサスアルゴリズムの最大の障害となってきたのは帯域幅の制限である。即ちブロックは、ファイナリティーが達成される前にシステムの大部分に伝播される必要がある。小さなブロックであっても、ネットワーク全体に転送するには、ファイルサイズよりも遥かに多くの帯域幅が必要となる。Elixxirコンセンサスプロトコルでは、諸々のノードがネットワークを通じて最適化して伝搬される短い証明を評価することによってファイナリティーに到達する。その結果として、Elixxirコンセンサスのメカニズムでは、秒単位のファイナリティーが容易となる

3.2 チームのレジリエンス

Elixxirプロトコルには、タイムアウト期間が組み込まれている。チームがタイムアウト期間までにブロックを完成できなかった場合、クライアントはトランザクションの処理を別のチームに再提出する必要がある。この遅延のために、ブロック生成に失敗したチームには、計算作業の対価としてのトークン収入は与えられない。さらに失敗のメトリクスが公開されるので、そのチームノードはネットワークに再選されなくなるなど好ましくない結果に陥る可能性がある。こうした潜在的なペナルティがインセンティブとなって、ノードは自分が参加するチームが確実にブロック生成を完成するようにレジリエンスの高いネットワーク接続を提供する。攻撃しようとする者がいても、ターゲットとなるチームは絶えず流動的で予測不能なので、ネットワークの安定性に影響を与えるためには非対称攻撃のパターンを強いられるので攻撃を断念する。

ネットワークのチームの規模が大きくなるにつれて、１つノードがブロックの完成に影響を及ぼす確率が高まるので、レジリエンスの高いブロック生成との最重要なエンジニアリング上のトレードオフはチームの規模である。またチームの規模が大きくなると、リアルタイムの処理時間が増加して、スループットが低下する。秒単位のブロック生成を行うシステムを作るにためには、チームの規模は5ノードから30ノードの範囲でおさめるべきである。このようなチームの規模でも、他のネットワークの支配的勢力全体に勝るとも劣らない。（例えば、EOSネットワークを支配しているのは２１個のノードで、ビットコインを支配しているのは５つのマイニングプールである。https://www.ccn.com/bitmains-mining-pools-now-control-nearly-51-percent-of-the-bitcoin-hashrate/ )

3.3 ネットワークのレジリエンス

Elixxirプラットフォームは、ノードがプロトコルのルールに従うようにインセンティブの設計がなされている。悪意のあるノードまたは非生産的ノードがチームに入っていてルールに従わなかったら、そのチームの中のすべてのノードに対してペナルティが課されることになる。ノードにはプロトコルが干渉することなく動作できるようにインセンティブが与えられる。このプロトコルは、ネットワーク障害に対処する際にも大きな柔軟性を発揮する。どれが有効なノードのグループかは知られている。ネットワークに参加するために選出されていなくてはならないからだ。チームはカスケード式に配置されているため、いずれかのチームが失敗しても、その失敗の影響は次に配置されているチームによって容易に軽減できる。

ブロック生成の中断に成功するには、すべての所定のチームを無効にする必要がある。最も一般的な障害（個々のノードの障害、地域的な停電、国全体のオフライン状態になるなど）は、プラットフォームの運用に影響を与えることなく処理される。標的型で拡張された大規模なネットワーク攻撃が所定の全チームの無効化に成功したら、Elixxirプラットフォームは “最長チェーン/最大の計算能力が勝つ”という他のシステムで見られるのと同様のリカバリーの仕組みを用いることができる。

3.4 参加の平等

Elixxirによって実現される平等主義の特性は、他のコンセンサス・メカニズムと比較して非常に有利である。とりわけこのプラットフォームでは、ノードに高い計算能力があったり大きなステークがあるからといって他のノードよりも有利になるわけではない。

ブロック生成の正常な完了とは、即ち「有用な仕事の証明（proof of useful work）」に類似した暗号学的に安全なグループ計算のことである。Elixxirのトランザクションの処理はマイニング作業と考えることができるが、その仕事は無駄になることなく、プラットフォームの特性の提供に直結する。したがって、予期しないアルゴリズムの進歩や新しいASICの設計やその他の開発によって、1つのチームや1つのノードが他のものより有利にすることはない。さらに、各ノードは平等に扱われ、その一つ一つは自動的に他のすべてのノードの正直さを監査する。

3.5 シビル攻撃レジリエンス

Elixxirプロトコルでは、検証可能なリアルタイムのノード間のパフォーマンステスト、ステーキング、および選挙の利用を通じて、シビル攻撃[5]への耐性が作られる。ステーキングするためには、ノードはガバナンスで決定された数のトークンを「エスクロー」に預ける必要がある。そのトークンは、不正行為を働いてシステムから追放されるとバーン（焼却）されることになる。

Elixxirの選挙で無作為標本投票や囮投票などの方法が用いられるのは、どのノードがチームに参加するために検証されるか、あるいはどのノードが除外されるかをシステムの利用者が選ぶことができる誠実で信頼できる選挙を実施するためである。Elixxirプラットフォームのすべての選挙では、暗号学的に安全で、投票者が検証可能なエンドツーエンドの選挙プロトコルが使用される。Elixxirチームは以上のプロトコルのパイオニアとして、そうしたシステムを一番最初に提案し[7]、拘束力のある政府の選挙でそれらを一番最初に導入し[8]、選挙において選挙データを公開するためにブロックチェーンを一番最初に使用した[9] 。

4 支払い

Elixxirプラットフォームのトークンの取り扱いにはいくつかのユニークな特質がある。現在の最も一般的なブロックチェーンシステムにおけるトークンの取り扱いはウォレットベースであるが、Elixxirプロトコルにおけるトークンの取り扱いはトークンベースである。つまり、トークンは静止した状態のままであり、所有権を証明するためには秘密が必要となる。その秘密はオフチェーンで保存されるが、トークンの所有権が新しい所有者に割り当てられると変更される。

Elixxirは、ウォレット全体を丸ごと守るのではなく、個々のトークンを守護する。 1人のユーザーが所有する一つ一つのトークンは、個々の秘密を知っていることによって守護される。つまり、攻撃者がブルートフォース攻撃を成功させたとしても、被害を受ける可能性があるのはそのユーザーのトークン１枚のみである。

Elixxirのブロックには、送信者、受信者、金額などのトランザクションに関する情報は一切含まれていない。その代わりにElixxirブロックチェーンのブロックにあるのは、受取人に属するアドレスへのトークンの割り当て、および支払人に属する以前のアドレスである。さらに、ブロックチェーンにおいて支払人と受取人をリンクする情報はなく、オンチェーンではリンク不能と言い換えられる。

4.1 ブロック構造

Elixxirは、ブロックに含まれる情報に対して新しいアプローチを取る。各ブロックには、そのブロックのトランザクションによってトークンが割り当てられた過去および新規アドレスの順序のないリストしかない。
ある観察者がブロックチェーン全体を分析しても取引相手、または取引の特徴（例えば何枚送られたか等）を互いにリンクさせることはできない。結果として、ある特定のブロックにおいて1組のトークンが古いアドレスから新しいアドレスにリンク不能な状態で割り当てられているということしか推測できない。
このようなブロック情報を文脈化するために、図6のElixxirブロックエクスプローラツールに存在するものの断片を表示する。

第６図: ブロックエクスプローラーからブロック＃３

データは、ブロックとノードの両方の中で、マークル木（ツリー）[10]と結合した２進法の基数木として格納される。この構造により、ノード内でルートの高速な検索と再ハッシュ化、およびブロック内でトークンの存在を検証する証明の生成が可能となる。これはそのブロックのルートとトークンと中間にある全ての非リーフのデータブロックのハッシュを明らかにするだけで実現できる。その結果、関連するブロックの全データに利害のあるトランザクションを参照するように要求することなく、簡略な証明を生成して検証のために用いることができる。

4.2 支払いの下準備

通常、ブロックチェーンの世界ではユーザーは自分の秘密鍵で署名されたトランザクションをシステムに送信する。それからシステム内のノードがユーザのその秘密鍵とペアになっている公開鍵を使用して、トランザクションの正当性をチェックする。もし公開鍵が正当なものでユーザーがその支払い用の資金を持っていたら、トランザクションはブロックに書き込まれる。

Elixxirではハッシュベースの所有権という新しい高速なコンセプトを導入する。ハッシュ関数は逆算することが不可能であると考えられるので、ユーザは特定の像（イメージ）の所有権の証明として原像（プリイメージ）を使用することができる。Elixxirプロトコルを使ってこの現像を公開するプロセスをチェーン化して連結することにより、ユーザーは匿名で安全に支払いトランザクションが実行できる。さらに、このプロセスによって、他人のトークンを盗むためにトランザクションを偽造することが誰にもできないことが保証される。

4.3 支払いの実行

.Elixxirのシステムの簡易な支払いトランザクションは、請求書から始まる。ボブは支払先アドレス（彼女がお金を送る場所）を含む請求書をアリスに送信する。そのアドレスは、ボブが前もってランダムな原像（ハッシュ関数への入力であり本人以外知らない秘密）から生成した像（ハッシュ関数の出力）である。

アリスは、送り先の像（アドレス）を受信した後、支払いトランザクションをシステムに提出する。このトランザクションには、ボブの請求書からの像（アドレス）とともに所有するトークンの原像（秘密）が含まれている。

Elixxirシステムは、アリスが送信した原像（秘密）が有効で、台帳に存在するかどうかをチェックしてから、指定された金額をアリスのトークンからボブの送り先の像（アドレス）に転送する。トランザクションが正常に処理された後、Elixxirシステムは証明の領収書をアリスに送り、アリスはそれをボブと共有することができる。こうしてトランザクションが正しく実行されたことを認証する。

その領収書は、ボブに送信されたトークンのブロック内にマークルパスを提供することによって、トランザクションがブロック内に適切に記録されていることの証明となる。これだけでその転送が正しく行われ、トークンが現在ボブの所有となっている十分な証明となる。しかし、どちらの側（アリスまたはボブ）も、ブロックチェーンを自由にチェックして、支払先の像（アドレス）と正しい金額が該当するブロックの中に存在することを検証できる。

Elixxirの独特なアーキテクチャーと支払い処理メカニズムは、従来のアプローチに比べて次の3つの利点がある。

1. ユーザーの機密性は、オンチェーンで利用可能な情報が制限されることによって保護される。
2. ウォレットの代わりにトークンを確保することにより、セキュリティが大幅に強化される。極めて稀なケースとしてブルートフォース攻撃が成功したとしても、影響を受ける可能性があるのは最大で1つのトークンのセキュリティだけである。
3. ハッシュベースの所有権は、従来のブロックチェーンプラットフォームでデジタル署名に必要な時間と比べるとごく僅かな時間で完了できるため、トランザクション処理が高速である。

他で述べられているように [11]、従来のブロックチェーンプラットフォームに特有のデジタル署名と、Elixxirプラットフォームで使用されるハッシュベースのデジタル署名を対比すると、「すべての署名方式は暗号学的ハッシュ関数を使用し、ハッシュベース署名は他に何も使用しない」最後に、デジタル署名と異なりハッシュは量子計算能力に対して安全である。

5 メッセージとトランザクションのミキシング

Elixxirプラットフォームの各チームは、cMixプロトコル[12]に基づいて、ミキシングネットワーク（ミックスネット）の単一インスタンスを実行する。ミックスネットはメッセージ群とトランザクション群を匿名化する一方で、各メッセージの機密性と完全性を保護する。これらの機能はユーザー間の安全な通信をサポートするほか、Elixxirのコンセンサスプロトコルの主要機能を提供するために活用・拡張されている。

cMixプロトコルはそれ自体が画期的なもので、他のどのミックスネットよりもリアルタイムの暗号化処理のレイテンシを大幅に低減させる。コアとなるcMixプロトコルは、事前計算を使用することによって、送信者と受信者のためにノードによって実行される高価なリアルタイムの公開鍵操作をすべて排除する。これにより、リアルタイムのレイテンシが短縮され、クライアントの計算コストが削減される。チーム活動の第2フェーズであるコアのリアルタイムフェーズでは、ほんの数回の速算が必要なだけであり、スマートフォン上のチャットメッセージングシステムや低電力デバイス上のアプリケーションや — 最も重要な — トランザクション処理などの軽量クライアント上で動作するアプリケーションに非常に適している。

cMixのメッセージ処理には、受信、置換、および配信の3つのオペレーションが伴う。受信時には、各々のエンドツーエンドで既に暗号化されているメッセージにマスキングネットワークの暗号化が追加される一方で、ユーザーとネットワーク間の暗号化は取り除かれ、送信者のIDがメッセージから分離される。置換では、バッチ内のメッセージの順序がシャッフルされ、メッセージが受信された順序を送信者のIDと関連付けるオブザーバーの機能が取り除かれる。最後に配信中は、各ノードはすべてのマスキングネットワークの暗号化を個別に取り除き、エンドツーエンドの暗号化メッセージをラベル付き目的地に送信する。

cMixプロトコルにある次の3つの重要な追加的機能は、cMixプロトコルをユニークなものにしている。

• リターンパス。リターンパスにより、受信者はミックスネットを介して即時にレスポンスを送信者に戻すこと（リターン）ができる。これによってトランザクションの領収書をユーザーに送るときに、プラットフォームにアドレス情報を知らせる必要がないので、送信者の身元を隠すことができる。このために、ノードはリターンパスのための追加のキー材料を生成し、レスポンスが元の送信者に到着するよう逆置換を用いる。

• コミットメント。コミットメントは、ハッシュ化によって生成されることが多いデータを生成するプロトコルであり、ノードによって実行された計算を第三者が後で監査することを可能にする[13]。ノード間で交わされるすべてのメッセージと、ノードが実行する置換と、ミックスネットの事前計算におけるすべてのキー材料は、本質的にメッセージが将来ブロック生成のリアルタイムフェーズの間にどのように処理されるかに関するコミットメントとして機能する。ノードはまた、復号化が行われる前に暗号化されたメッセージ群のコミットを生成する。コミットは、ノードが自分のオペレーションを正しく実行することを検証するための効率的なメカニズムとして機能する。

• グループオープンニング。配信オペレーションの最中に、チーム内の各ノードは受信したメッセージ群を復号化する前に、そのメッセージ群のコミットを作成し、すべてのコミットが同一であることを互いに確認し、それから各々独自にメッセージ群の解読へと進む。これにより、機密情報が受信される前にチーム内のすべてのノードが取り組むコンテンツが同じであることが保証される。こうしてどの単一のノードも、他のノードが機密情報へのアクセスから除外されたら、その機密情報にアクセスできなくなる。これにより、チーム内のすべての正直なノードは、チームの完全性と自分たちが提供する機密性と匿名性という特性を守れることが確実となる。

こうした機能により、Elixxirのプラットフォームを通じてメッセージとトランザクションを送信するユーザーには完全性と匿名性が与えられる。Elixxirでは、どの正直なノードでも、無視できない確率で完全性に違反するノードを特定することができ、そして悪意のあるノードが正当なノードを不当に告発するのを防ぐこともできる。最後に、たった１つの正直なノードでもユーザーの匿名性を保護することもできる。

6 結論

Elixxirはユーザーに期待されるプライバシーとスピードを提供することで、真のデジタル主権を初めて実現できるように設計されている。Elixxirのチームメンバーは、デジタル資産と通信の完全性とプライバシーを独自の方法で保証するプラットフォームを創出するために、数十年に渡って蓄積されてきた暗号システムのイノベーション・・・その多くは彼ら自身の業績・・・をベースとしてElixxirを構築してきた。Elixxirなら、誰もあなたのメッセージを読んだり、あなたのお金を盗むことはできい、、、以上！

Elixxirプラットフォームは、匿名のミックスネットプロトコルと、トランザクションではなくトークンを格納するブロックチェーンによってプライバシーを保護する。同様に、従来の署名ベースの支払い処理を捨てて、ハッシュベースの認証を選ぶことで素早くファイナリティーに到達する。これはシステムノードの一つのグループがチームとして作業するプラットフォームのユニークなコンセンサス・メカニズムと、検証可能な証明を介して提供される完全性の保証を通じて達成される。Elixxirでは、今後の計算能力の向上はブロックのファイナリティの到達速度の増加に直結し、ネットワークの成長に比例して、アーキテクチャのブロック処理能力も拡大できる。

Elixxirの設計のユニークな点は、デジタル主権に対する権利を認めて保護する高性能の支払いとメッセージング向けソリューションを世界規模でユーザーに提供することができるということである。

7 参考文献

[1] David Chaum. “Security Without Identification: Transaction Systems to Make Big Brother Obsolete”. In: Commun. ACM 28.10 (Oct. 1985), pp. 1030–1044. ISSN: 0001–0782. DOI: 10.1145/4372.4373. URL: https://www.chaum.com/ publications/Security_Wthout_Identification.html.

[2] David Chaum. “Untraceable electronic mail, return addresses, and digital pseudonyms”. In: Communications of the ACM 24.2 (Feb. 1981).

[3] Ernest F. Brickell et al. “Fast Exponentiation with Precomputation (Extended Ab- stract)”. In: Advances in Cryptology — EUROCRYPT ’92, Workshop on the Theory and Application of of Cryptographic Techniques, Balatonfüred, Hungary, May 24–28, 1992, Proceedings. 1992, pp. 200–207. DOI: 10.1007/3–540–47555–9\_18. URL: https:

//doi.org/10.1007/3–540–47555–9%5C_18.

[4] Joseph Poon and Thaddeus Dryja. The bitcoin lightning network: Scalable off-chain instant payments. Tech. rep. Technical Report (draft). https://lightning. network,

2015.

[5] John R. Douceur. “The Sybil Attack”. In: Revised Papers from the First International

Workshop on Peer-to-Peer Systems. IPTPS ’01. London, UK, UK: Springer-Verlag,

2002, pp. 251–260. ISBN: 3–540–44179–4. URL: http://dl.acm.org/citation. cfm?id=646334.687813.

[6] David Chaum. Random Sample Voting. https : / / rsvoting . org / whitepaper /

white_paper.pdf. Accessed: 2018–09–11.

[7] David Chaum. “Elections with Unconditionally-Secret Ballots and Disruption Equivalent to Breaking RSA”. In: Advances in Cryptology — EUROCRYPT ’88. Ed. by D. Barstow et al. Berlin, Heidelberg: Springer Berlin Heidelberg, 1988, pp. 177–

182. ISBN: 978–3–540–45961–3.

[8] Richard Carback et al. “Scantegrity II Municipal Election at Takoma Park: The First E2E Binding Governmental Election with Ballot Privacy”. In: 19th USENIX Security Symposium. USENIX Association. Washington, DC, USA, Sept. 2010. URL: http:

//carback.us/rick/papers/carback-tpcasestudy-2010-usenix.pdf.

[9] Jeremy Clark and Aleksander Essex. “CommitCoin: Carbon Dating Commitments with Bitcoin”. In: Financial Cryptography and Data Security. Ed. by Angelos D. Keromytis. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012, pp. 390–398. ISBN: 978–3–642–32946–3.

[10] Ralph Charles Merkle. “Secrecy, Authentication, and Public Key Systems.” AAI8001972. PhD thesis. Stanford, CA, USA, 1979.

[11] Daniel J. Bernstein et al. “SPHINCS: Practical Stateless Hash-Based Signatures”.

In: Advances in Cryptology — EUROCRYPT 2015. Ed. by Elisabeth Oswald and Marc

Fischlin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2015, pp. 368–397. ISBN:

978–3–662–46800–5.

[12] David Chaum et al. “cMix: Mixing with Minimal Real-Time Asymmetric Cryp- tographic Operations.” In: ACNS. Ed. by Dieter Gollmann, Atsuko Miyaji, and Hiroaki Kikuchi. Vol. 10355. Lecture Notes in Computer Science. Springer,

2017, pp. 557–578. ISBN: 978–3–319–61204–1. URL: http : / / dblp . uni — trier.de/db/conf/acns/acns2017.html#ChaumDJKKRS17.

[13] Shai Halevi and Silvio Micali. “Practical and Provably-Secure Commitment Schemes from Collision-Free Hashing”. In: Proceedings of the 16th Annual Inter- national Cryptology Conference on Advances in Cryptology. CRYPTO ’96. London, UK, UK: Springer-Verlag, 1996, pp. 201–215. ISBN: 3–540–61512–1. URL: http://dl.acm.org/citation.cfm?id=646761.706019.