タイムスタンプの再発見と「いわゆるブロックチェーン」
(第三者)検証可能な形で情報の非改ざんを保証すること
ブロックチェーン技術の登場により、「情報が改ざんされずに検証できる形で残る」という機能が注目を集めている。しかし、ブロックチェーン技術の文脈でこの機能との関係を考える時に、多くの議論において技術史を踏まえない曖昧な議論が散見され、これが様々な場面で無用なディベートを生み出しているように見られる。そこで、この機能についての歴史を紐解きながら、「いわゆるブロックチェーン」をどう理解したらいいのかを述べたい。
この節のタイトルのように、第三者検証可能な形で情報の非改ざんを保証すること、という要請はもちろん古くから存在する。その多くは、信頼される第三者機関が、ある時点で文書が存在したことを証明するというもので、日本では法務省が所轄する公証制度が存在する[1]。[1]では、公証制度のことを以下のように書いている。
公証制度とは,国民の私的な法律紛争を未然に防ぎ,私的法律関係の明確化,安定化を図ることを目的として,証書の作成等の方法により一定の事項を公証人に証明させる制度です。
詳細は[1]を参照いただきたいが、公証制度における業務としては、(1)公正証書の作成、(2)確定日付の付与、(3)認証が含まれる。
同様の要請は、当然デジタルデータにも存在する。デジタルデータに対して、第三者検証可能な形での情報の非改ざんは、電子署名によって初めて実現される。1976年に、DiffieとHellmanが、落とし戸付き一方向性関数が存在すれば電子署名が実現できることを示し[2]、1978年にRivest, Shamir, Adlemanが、RSA暗号とその応用の電子署名アルゴリズムで、その最初の実現方法を示した。電子署名アルゴリズムにより、あるメッセージと電子署名の組があれば、電子署名を付与した後にデータが改ざんされていれば検知することができる。単に改ざん検知だけであればハッシュ値の照合だけでもできるが、当のハッシュ値の導出の責任の所在を明らかにする必要があり、その機構のために非対称鍵による電子署名とPKI(公開鍵認証基盤)が必要となる.
このように、第三者検証可能な形で、情報の非改ざんを保証する、という要請は大昔からあり、そのための制度や技術も古くから存在する。
1990年のタイムスタンプの発明
前述した電子署名は、情報の非改ざんの検証に加え、情報の作り手の証明を行う機能を持つ。その点において、最初に掲げた要請からすると冗長な機能を持つことになる。そこで、情報の非改ざんを証明する、という機能に絞って考え出されたのが、暗号学的タイムスタンプである。
1990年のCRYPTO(暗号技術のトップカンファレンス)で発表されたHaberとStornettaによって書かれた”How to Time Stamp a Digital Document”は、ドキュメントのハッシュ値をリンクさせることによって、ドキュメントがある時間に存在したことと、複数のドキュメントの前後関係を事後に検証できるプロトコルを提案している[4]。このプロトコルでは、信頼できるタイムスタンプ局が存在し、利用者はドキュメントのハッシュ値をタイムスタンプ局に送信し、タイムスタンプ局の内部で、ドキュメントのハッシュ値のチェーンを作り、その処理結果をタイムスタンプトークンとして返すというものだった。そして、ドキュメントの非改ざんについて係争が発生した場合に、タイムスタンプ局が第三者として証拠を提出するというのが、基本的なモデルだ。そして、タイムスタンプ局自身が、正しい処理を行なっていることを、さらに別の信頼できる第三者の力を借りて証明するために、定期的(例えば1週間に1度)、ハッシュチェーンの中の最新のハッシュ値を、新聞に掲載していた(図1)。
このプロトコルは1991年にMerkle Treeを使い効率化されたものに改良されている[5,6] (図2)。
ここで注意が必要なのは、このプロトコルにおけるハッシュチェーンの計算と構造は、基本的には今のブロックチェーンで用いられているものと同じである。つまり、ある技術がこの計算と構造を使っていることだけをもって「ブロックチェーン」であると名乗ることは不適切である。この点は後で詳しく論じる。むしろ、1990年時点での限界は、第三者検証可能な非改ざん検知を行うには、信頼できるエンティティが必要であったという点が重要なポイントである。また、他の信頼できる紙媒体にハッシュ値などを掲載し、その信頼を間借りする形でサービスのトラストを形成するという手段も1990年から存在していたことは強調したい。
タイムスタンプの国際標準化
このタイムスタンプ技術は、ISO/IEC JTC1 SC27/WG2においてISO/IEC 18014として標準化されている。そのうち、上記のリンクトークン式タイムスタンプはISO/IEC 18014–3として標準化されている。その他は、タイムスタンプ局がハッシュチェーンを保持するのではなく、時刻情報と共に電子署名を返す独立トークン式タイムスタンプ(ISO/IEC 18014–2)と、時刻情報のトレービリティを担保するためのプロトコル(ISO/IEC 18014–5、日本のJISの国際提案)である。18014–2と18014–3は、2009年に国際標準化が完了している。
また、インターネットにおける技術標準化を行なっているIETFにおいても、2001年8月のRFC3161 “Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)”として、電子署名に基づいたタイムスタンプ局とクライアントの間の通信プロトコルが規定されている。
米国標準を決めるANSIでは、ANSI X9.95において、RFC3161のタイムスタンプ標準を拡張する形で、リンク式タイムスタンプ、MAC(メッセージ認証コード)に基づく方式、リンクと署名に基づく方式を標準化している。
日本におけるタイムスタンプビジネスと法制
このリンクトークン方式のタイムスタンプ技術を用いて、1995年にSurety社はタイムスタンプビジネスを開始した。その後、NTTデータが、このリンクトークン方式のタイムスタンプ技術を用いて、タイムスタンプビジネスを開始した。図3は、定期的に新聞に掲載されていたハッシュ値である。
(なお、私は当時NTTデータに所属しており、この関係で、リンクトークン方式のタイムスタンププロトコルの安全性の研究を行っており、UC安全性の定義の査読付き論文などを発表している[8,9]。)
同時期に多くのタイムスタンプ事業者が日本に誕生している。そして、日本のタイムスタンプビジネスのルールづくりのために、2004年に法律が制定されていたことを強調したい。これが、「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」(平成16年法律第149号)と「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」(平成16年法律第150号)、いわゆるe文書法である[10]。これにより、商法や税法で保存が義務付けられている文書について、電子化されたファイルでの保存が認められるようになっている。また、これに関連する法律やガイドラインで、いくつかの応用にタイムスタンプが利用できるようになっている。1つ例を挙げると、税務上保管すべき領収書について、スキャンした上で、一定の認証を受けたタイムススタンプを付与したものであれば、そのファイルが税務上の証拠となる。これに伴い、国税庁、厚生労働省、国土交通省、総務省、経済産業省などで、電子データの非改竄のためにタイムスタンプを使うガイドラインが作成されている。そして、一般社団法人、日本データ通信協会が、時刻認証業務認定事業者の認定作業を行っている。この詳細と認定タイムスタンプ業者については、[11]を参考にされたい。タイムビジネス認定センターの発表によると、タイムスタンプの発行枚数は、2019年上期で1億4300万件である[12]。
長期保証というチャレンジ
タイムスタンプのような、文書の存在と非改竄の検証のためのビジネスとそれを実現する技術は、主に法律の要請に従って、極めて長期間有効であることが求められる。[13]は、法律の要請に基づく文書の保存期間の例を示したものであるが、永久とされているものもある。もちろん、その文書が通貨、証券、資産を表すものである場合、短期間に有効期間がなくなるということは通常許容されないだろう。
この長期保証というのは極めて難しいチャレンジだ。技術的には、利用しているハッシュ関数や電子署名アルゴリズムなどの暗号技術が、当初想定している安全性を保てなくなる状況(暗号技術の危殆化)が発生することで、現代暗号においてはタイミングは予想できないものの、これまでの標準暗号に関する経験では、数十年単位で発生している。
そして、技術的な問題と同じくらい大事な視点として、ビジネス上の継続性の問題がある。タイムスタンプビジネスの場合、タイムスタンプ局を運営する事業者が、事業上の収益性がなくなり、赤字を垂れ流す状態になっても、顧客に提示したサービス上の約束を果たすために事業がやめられない、という状態に陥る。これは営利企業にとっては許容できる条件ではない。インターネットビジネスでも、事業の停止に伴いコンテンツも失われるというケースは近年問題になっているが、これがデータの存在と非改竄を検証できるサービスで起こったらどうなるだろうか。あるいは、事業が他社に譲渡されるとして、サービスレベルが担保されるのか疑義が生じることもあるだろう。
つまり、責任ある社会的な基盤として、長期的に文書の存在と非改竄を保証するということは、技術的にも大きなチャンレンジなだけではなく、継続性という意味で大きなチャレンジであり、営利企業が担うのには、高いハードルがある。
タイムスタンプの再発見の歓迎とブロックチェーンにまつわる誤解
タイムスタンプの研究に関わり、暗号プロトコルの研究に関わっている(もともと収益性がないので)陽の当たらない分野の20年以上の研究者として、ブロックチェーンの認識が広がるにともない、タイムスタンプが目指していた目標が改めて注目されていること、あるいは一般的なネットワーク利用者が暗号技術に関心をもつようになることは、非常に歓迎するものである。まさに、「タイムスタンプの再発見」と名付けてよいだろう。
一方で、誤解と批判を恐れずに書けば、ブロックチェーンがBitcoinの論文に端を発するものであるとするならば、いわゆるプラベートブロックチェーンやコンソーシアムブロックチェーンと呼ばれているものは、ブロックチェーンと呼ぶのをやめて、「タイムスタンプ2.0」のような別の言葉を使うことも考えてはどうだろうか。それは、これらの技術が、リンクトークン型タイムスタンプのデータ構造の上に、決められたノードによる合意アルゴリズムを加え、記録した情報に対するビジネスロジックに応じた情報処理を加えたものであるからだ。根っこの技術は、同じHaberらによるタイムスタンプを元にしているものの、ブロックチェーンの発端となったBitcoinの論文が目指した「信頼できる第三者機関を不要にする」という方向とは別の方向の進化をしているもので、その別の2つの方向のものを同一の枠で扱うことには無理があり、理解や発展を考える上で両方にとって弊害がある。
タイムスタンプ2.0は、その支え手となるノードの運営企業が、(赤字を出しても)運営を続けるというのが大前提になっている。この仮定が成り立つという前提であれば、不特定多数の分散合意などという難しい問題もなく、スケーラビリティの問題も比較的容易になり、様々なアプリケーションを作ることはできる。その技術はすでにおよそ30年存在し、2000年代には法整備もされ、事業者も存在するような、枯れたものがベースになっているからだ。タイムスタンプに特定の数の合意アルゴリズムと、アプリケーションを書くプログラムを載せることは、不特定多数の分散合意の上にアプリケーションを書けるようにするよりは、はるかに簡単な問題だ。その意味で、今に始まったことではなく、すでに実戦投入可能で、世の中を進歩させることができるタンジブルなものだ。だから、タイムスタンプが再発見され、その発展形である2.0が早く普及して、世の中が良くなることはすぐにでも始まってほしいところだ。
一方で、Bitcoinから始まった流れは異なる。Bitcoinの論文の最大のポイントは、そのデータ構造ではなくて、新たなトラストモデルの提示だ。だからこそ、この論文には、Bitcoinは以下のように説明されているし、Haberらの論文がこのPaperに引用されているのだ。
An electronic payment system based on cryptographic proof instead of trust, allowing any two willing parties to transact directly with each other without the need for a trusted third party.
(日本語訳)同意している二者が信頼できる第三者を必要とせず、直接取引が可能な、トラストの代わりに暗号的証明に依拠する電子支払いシステム
In this paper, we propose a solution to the double-spending problem using a peer-to-peer distributed timestamp server to generate computational proof of the chronological order of transactions.
(日本語訳)分散されたピア・ツー・ピアのタイムスタンプサーバーを使って、トランザクションの時間的順序の計算機的証明を生成することによる、二重支払い問題を解決するシステム
(英語はSatoshi Nakamoto, “Bitcoin: A Peer-to-Peer Electronic Cash System”より引用、日本語訳は松尾ほか『ブロックチェーン技術の未解決問題』より、崎村夏彦氏の翻訳を引用)
Satoshi NakamotoがこのPaperに書いたように、信頼できる機関を不要にするということは、不正への対応という意味合いのほかに、より持続的なネットワークを作るという意味合いが含まれる。つまりは、マイニング報酬によるインセンティブ構造が機能する限りにおいて、一企業の収益性の判断よりも持続性のあるシステムができる、という主張をしているのだ。そして、それを担保するために、不特定多数の参加者による合意が必要になり、Proof-of-Workを組み込んだ報酬の体系を導入する必要があった。だから、この技術は、タイムスタンプ2.0よりもはるかに難易度が高いし、以前の私のブログ記事にあるように、「支払い」というビジネスロジックを超えた範囲で安全に動作するかは、まだ保証がないくらい、長期的な研究課題なのだ。
この違いを図4に視覚化した。このように解決している問題が全く異なり、実用化のための道のりも、その難易度も異なる2つの技術を同じワードで括り、すでに実用化目前だとか、まだ理想にはたどりついていないというようなディベートをするのは建設的ではないし、多くの誤解を招く。混同したまま、技術開発、ビジネス化、そしてエンジニアの雇用をしたとしても、技術の限界や未熟さに失望する結果につながる可能性が高い。今、ブロックチェーンがハイプサイクルの幻滅期にあるのは、まさにその反映だ。
タイムスタンプ2.0と書いたプライベートブロックチェーンや、コンソーシアムブロックチェーンは、トラストモデルの意味では、リンクトークン式のタイムスタンプと同じであるし、タイムスタンプビジネスが抱えている本質的な問題は解決していない。それなのに、場合によっては投資を集める意味で、より魅力的に見えるワードを身に纏って誤解を招くのは、良くないことのように思える。むしろ、堂々とタイムスタンプ2.0として、いますぐ使える技術として売り出すべきではないだろうか。先に述べたように、すでに日本にはタイムスタンプの活用を見据えたe文書法という法律が15年も存在する。今やるべきことは、むしろ、タイムスタンプ2.0のために、e文書法を良くすることなのではないか。
一方で、世界の多くの研究開発は、タイムスタンプ2.0ではない、SatoshiのPaperに端を発したブロックチェーンの流れにそったものになっている。Bitcoinは、インセンティブメカニズムのほうが私企業の事業判断よりも持続的だ、という考えのもとに設計されていると書いたが、この主張にももちろん前提条件があり、多くの議論がある。たとえば、Proof-of-workが消費する電力量を考えると、そちらも持続的ではないという長年の議論も生まれるし、電力消費の問題を抑えるために、Proof-of-Stakeにすると新たなセキュリティの問題が出るかもしれないという議論が生じる。ただ、タイムスタンプビジネスがそうであるように、組織や組織のビジネスの永続性にも絶対の保証はないわけで、たとえば、プライベートブロックチェーンを運営しているスタートアップが30年ビジネスを継続できるといえるのかは、大きな論点だ。大企業のコンソーシアムチェーンと言えども、赤字が続けば運営が中止されるのは仕方のないことだ。だからこそ、かつてインターネットの研究開発に多大な貢献をした、米国の軍に関係する研究開発を司るDARPAは、今年の2月に、私も参加したクローズドなワークショップ "Applications and Barriers to Consensus Protocols (ABC)"を開催し、金銭的インセンティブに基づかない分散合意プロトコルの研究開発の可能性の議論を行っている。本稿で書いているように、事業の継続性の観点で言うと、タイムスタンプ2.0を使うよりも、(パブリックな)ブロックチェーンを使う方が、むしろビジネス上のリスクヘッジができるのかもしれないのだ。
タイムスタンプ2.0も、ブロックチェーンも、それぞれ解決したい異なる課題があり、解決するための努力がなされている。それぞれ、世の中を大きく進歩させるもののはずだ。だからこそ、曖昧に言葉を使ってしまい、無用なディベートをすることは避ける必要がある。車輪の再発明は必要ないし、過去に知られている課題を無知が故に再発見する必要もない。そのためにも、一度ブロックチェーンにつながる技術史に思いを馳せることも必要なのではないかと考える。
参考文献
[1] “公証制度について,” http://www.moj.go.jp/MINJI/minji30.html
[2] “New Directions in Cryptography”, IEEE Transactions on Information Theory, IT-22(6):644–654, Nov. 1976.
[3] Rivest, R.; A. Shamir; L. Adleman (1978). “A Method for Obtaining Digital Signatures and Public-Key Cryptosystems”
[4] Haber, S. & Stornetta, W.S. J. Cryptology (1991) 3: 99. https://doi.org/10.1007/BF00196791
[5] Benaloh, Josh; de Mare, Michael (1991). “Efficient Broadcast Time-Stamping”. Technical Report 1. Clarkson University Department of Mathematics and Computer Science. CiteSeerX 10.1.1.38.9199.
[6] Bayer, Dave; Stuart A., Haber; Wakefield Scott, Stornetta (1992). “Improving the Efficiency And Reliability of Digital Time-Stamping”. Sequences II: Methods in Communication, Security and Computer Science. Springer-Verlag: 329–334. CiteSeerX 10.1.1.46.5923.
[7] http://www.secureseal.jp/timestamp/about.html
[8] Shin’ichiro Matsuo and Hiroaki Oguro, “User-side Forward-dating Attack on Time-stamping Protocols,” In Proceedings of The Third International Workshop for Applied PKI, 2004, October 3–5, 2004, Fukuoka, Japan.
[9] Toshihiko Matsuo and Shin’ichiro Matsuo, “On Universal Composable Security of Time- stamping Protocol ,” Applied Public Key Infrastructure — 4th International Workshop: IWAP 2005, pp.169–181, 2005, IOS Press, September 21–23, 2005, Singapore.
[10] https://ja.wikipedia.org/wiki/E-文書法
[11] https://www.dekyo.or.jp/touroku/
[12] https://www.dekyo.or.jp/tb/contents/publish/
[13] http://naitou.nagoyajp.net/wakisaka1/a05-05-03.pdf
[14] https://en.wikipedia.org/wiki/Linked_timestamping
著者
Shin’ichiro Matsuo, Ph.D
Georgetown University, Department of Computer Science, Research Professor. Blockchain Technology and Ecosystem Design (B-TED) Research Center, Director.
アカデミアの立場からブロックチェーン技術を成熟させる活動を行い、ブロックチェーンに関するセキュリティを中心とした研究成果を発表している。ジョージタウン大学Department of Computer Scienceの研究教授として、Blockchain Technology and Ecosytem Design(B-TED)研究センターのDirectorを務めている。日本では、東京大学、慶應義塾大学を中心としたブロックチェーンに関する中立な産学連携のためのBASEアライアンスを立ち上げ、東京大学生産技術研究所・リサーチフェロー、慶應義塾大学大学院政策・メディア研究科特任教授としても活動中。ブロックチェーン専門学術誌LEDGER誌エディタ、IEEE, ACM, W3C, BPASE等のブロックチェーン学術会議やScaling Bitcoinのプログラム委員を務める。ブロックチェーンの中立な学術研究国際ネットワークBSafe.networkプロジェクト共同設立者。ISO TC307におけるセキュリティに関するTechnical Reportプロジェクトのリーダー・エディタ、またおよびセキュリティ分野の国際リエゾンを務める。過去にはISO/IEC JTC1における暗号技術の標準化の日本National Bodyの代表、電子政府推奨暗号を定める暗号技術検討会構成員を歴任。
