Blockstreamが先日公開した、Bitcoinのfungibilityの問題を改善するため、Pay to EndPoint(P2EP)という決済プロトコルを発表してたので見てみる↓
Bitcoinのプライバシーの課題
Bitcoinの課題の1つとして挙げられるのがfungibility。
現金であれば、それがどのような使われ方をして自分の財布の中にあったとしても、その紙幣を使って支払いができる。偽札でも無い限り、紙幣での支払いを拒否されることはない。1万円札はどこに行っても同じ1万円の価値があり、交換可能。
たがBitcoinの場合、自分が持っているコインがどういう経路を辿ってきたか、ブロックチェーンを分析することである程度分かる可能性がある。そのコインの出処によってはそのコインの支払いを拒否するといった可能性も否定できない。本来、どいういう経路であれ自分が受け取り財布の中にあるコインは、同じコインとして使用できるべきで、コインの出処によって関係のないユーザーの価値が毀損されるという自体は避けたいが、現金と比べると、こういった代替可能性がBitcoinの場合は低い。
このfungibilityの課題について改善しようというのがPay-to-EndPoint (P2EP)のゴール。
コインの出処や所有権が追跡できるようにしようとブロックチェーンの分析がされているが、この分析は、1つのトランザクションのインプットは全て同じユーザーが所有している「common input ownership」という仮定に基づいて行われている。まぁマルチシグやCoinJoinのような取引を除いて、ほとんどの取引は事実そういうトランザクションになっている。コインの追跡はこの前提を元に行われるので、この前提を壊せばコインの追跡がしにくくなり、Bitcoinにおけるfungibilityの課題を改善できるのではないか?ということみたい。
では、「common input ownership」の前提を崩すにはどうすれば良いかというと、
普段コインを送金する際は、コインの受信者が送信者にアドレスを伝え、送信者がそのアドレス宛にコインを支払うトランザクションを作成&署名し、ネットワークにブロードキャストする。この場合、当然送信者が作成するトランザクションのインプットのUTXOの所有権は送信者が持つものだ。
P2EPでは、この送金トランザクションのインプットに送信者のUTXOに加え、受信者のUTXOも加えることで「common input ownership」の前提を崩そうとしている。
具体的には↓
Pay to EndPointのプロトコル
Pay to EndPointでは、以下の手順で、受信者と送信者が協力して送金トランザクションを作成する。
手順1
受信者はまずBIP-21形式の送金先URIを生成し、送金先として送信者に送る。この時、URIにP2EPのエンドポイントを付与する。
bitcoin:175tWpb8K1S7NmH4Zx6rewF9WQrcZv245W?p2ep=3j4tau93wkc8mh32.onion
↑のようなURIが生成される。通常のBIP-21のURIに加えて、p2epキーでP2EPのエンドポイントのURI3j4tau93wkc8mh32.onionが付与されている。
※ BIP-21のURIの定義には未定義のkey-valueを指定可能なので、P2EPに対応していないウォレットは、従来の方法でコインを送ることになる。
手順2
送信者は受信者から送られてきたエンドポイントが有効であれば、受信者との対話を始める。
- エンドポイントが有効でない場合
通常の送金と同様BIP-21のURIに記載されているアドレス宛にコインを送金する。 - エンドポイントが有効な場合
UTXOの所有権の証明として、自分が送金する額を持つ自身のUTXOをトランザクションのインプットにセットした署名済みのトランザクションを受信者に送る。
手順3
受信者は署名のため多数のトランザクションを署名のため送信者に送る(これらのトランザクションはさっき送信者が送ってきた送信者のUTXOと、受信者のUTXOがセットされたものと思われる)。 ただこれらのトランザクションのうち、実際に受信者が所有しているUTXOがセットされたトランザクションは1つのみで、それ以外は未使用のUTXOプールから選択されたUTXOがセットされたトランザクションになる。
このトランザクションは、送信者に直列もしくは並列で送られる。
直列送信
順番に送信されるトランザクションのどれが受信者のUTXOを持つトランザクションかの確率は、受信者が選択し署名したトランザクションの数と順番がどのようにランダム化されたかによって代わる。一連のトランザクションの交換は、送信者が受信者のUTXOを使った署名済みのトランザクションを受信者に送ると終了する。
並列送信
受信者によって作成されたトランザクションは全て一度に送信者に送られる。送信者が受け取った一連のトランザクションの内、受信者が所有するのは1つのみ。送信者が正しいもの(受信者のUTXOを持つTx)を選択する確率は、受信者が選択して送信したトランザクションの数に比例する。送信者は全てのトランザクションに署名し、受信者に送付する。
上記いずれかの方法で受信者が送信するトランザクションの数は今のところ100個で、いずれかの側でプライバシーとデータ送信/処理のバランスを取る。
UTXOを交換する上記の方法は、Bulletproofsを使用する方法で置き換えられるかもしれない。
手順4
手順3のどちらのケースでも、受信者は署名済みのトランザクションを手に入れので、このトランザクションに受信者の署名を加えてブロードキャストする。このトランザクションのインプットには受信者と送信者の両方のUTXOが含まれている。
上記P2EPのプロセスが何らかの理由で失敗した場合は、従来通りの方法でコインを送金する。
P2EP送金の具体例
アリスがボブに1 BTC送金したい場合、P2EPのプロトコルを使って以下のようなトランザクションを作成する。
- アリスはトランザクションのインプットに3 BTCをセットする。
- ボブはトランザクションのインプットに5 BTCをセットする。
- アリスはお釣りとして2 BTC受け取る。
- ボブはアリスからの送金分とお釣りで6 BTC受け取る。
こうやってできたトランザクションは「common input ownership」の仮定を崩したものになる。これがどういう送金なのかはいろんな解釈ができる。例えば、アリスが3 BTCと5 BTCのUTXOを使って、ボブに6 BTC支払い、2 BTCのお釣りを受け取ったなど。
P2EPの利点と欠点
利点
- 「common input ownership」の仮定を崩せる。最小限の採用であっても、通常の非P2EPトランザクションのプライバシーを改善できる。
- subset sum analysisを壊す。
- 受信者のUTXOを使用することで、UTXOの膨張を低減させるのに役立つ。
- 受信者はP2EPを使うことでUTXOセットを統合できる。
- 従来のCoinJoinトランザクションと異なり、見た目は通常のトランザクションと変わらないので、トランザクションタイプを特定するのが困難。
- 送信者のウォレットは軽量ウォレットでいい。
- 送信者と受信者にはより大きなプライバシーが与えられる。
欠点
- P2EPトランザクションとして処理する必要があるので、受信者も送信者と同様オンラインでないといけない。
- P2EPのインタラクティブな性質によりトランザクションのブロードキャストが少し送れる。
- 受信者はトランザクションに署名するためのホットウォレットでないといけない。
- トランザクションサイズが増えるので送信者の手数料は大きくなる可能性がある。UTXOの統合をする場合、受信者と交渉して相殺される可能性はある。
- 従来トランザクションと比べるとウォレットの処理が増える。
- 受信者はフルノードにアクセスしなければならない。
P2EPの今後
P2EPはまだ初期段階なので、正式な提案の前に今後コミュニティからのレビューと改良が加えられる。
P2EPの考え方は、支払いの分割やコインスワップなど他の形態のトランザクションを含むよう拡張することも可能と。
