翻訳:《Building Cicada: タイムロックパズルを使用したプライベートオンチェーン投票》 by Michael Zhu、a16zコンピレーション:Kxp、BlockBeatsすべての投票システムが効果的であるためには、完全性と透明性に依存する必要があります。表面的には、ブロックチェーンはこれらのシステムを構築するための理想的なプラットフォームであるように見えます。実際、許可のない投票は、多くの場合、多大な財政力の行使や主要なプロトコル パラメータの調整という文脈で、集団的意志を表現するために多くの分散型組織によって採用されています。ただし、オンチェーン投票にはいくつかの欠点があり、Web3 投票システムではプライバシーの問題が十分に検討されていないため、マイナスの影響が生じています。現在使用されているほとんどのオンチェーン投票プロトコルでは、投票用紙と投票結果は完全に公開されています。プライバシー保護の欠如は、投票結果が操作されやすいことを意味すると同時に、有権者に対する一貫性のないインセンティブをもたらし、非民主的な結果を招く可能性があります。そのために、私たちは Cicada を立ち上げます。これは、オンチェーンのプライベート投票にタイムロック パズルとゼロ知識証明を活用する、新しいオープンソースの Solidity ライブラリです。既存のシステムと比較して、Cicada は独自のプライバシー特性を備え、信頼への依存を最小限に抑え、イーサリアム メインネット上でも非常に効率的です。このペーパーでは、投票プライバシーの現状を調査し、Cicada がどのように機能するかについて概要を説明します (正式な証明は続きます)。また、開発者には GitHub リポジトリにアクセスして詳細を確認することをお勧めします。Cicada は、さまざまな投票スキームや機能に合わせて柔軟に調整および拡張できます。私たちはコミュニティと協力して、これらの可能性を一緒に探求できることを楽しみにしています。### 投票のプライバシーの概要どのような投票システム(オンチェーンであろうとそれ以外であろうと)においても、さまざまなレベルのプライバシーを考慮する必要があります。個々の投票用紙、進行中の投票数、および有権者の身元情報の開示はすべて、有権者にさまざまな形で影響を与えます。望ましいプライバシー特性は投票ごとに異なりますが、暗号化と社会科学の文献でよく取り上げられるものを以下に示します。**·**投票のプライバシー: 「オーストラリアの投票」としても知られる秘密投票は、現実世界の投票システムにおける個々の有権者のプライバシーを保護し、贈収賄や強制を削減する方法です (上記の環境では、秘密投票よりも強力なメカニズムが必要になる場合があります。詳細については、以下の「領収書なし」を参照してください)。投票のプライバシーは、社会的望ましさのバイアスを軽減する効果もあります。人々は、自分の選択について他人がどう思うかに基づいて投票する可能性が低くなります。**·**開票のプライバシー: 多くの投票システムは、投票率や有権者のインセンティブへの影響を避けるために、有権者の投票中に進行中の開票数、つまり各選択肢が受け取った票数を隠します。私たちはこれが現実の世界で起こっているのを見てきました。たとえば、後で投票する米国上院議員は、早く投票する上院議員よりも自分の党に同調する可能性が高くなります。チェーン上のトークン加重投票では、巨大なクジラは相手をリードしておくことで誤った安全感を維持し(どうせ勝つだろうと考えて投票するのが面倒な人もいるでしょう)、その後、投票所で自分たちに投票します。最後の瞬間、投票で結果が決まります。**·** 有権者の匿名性: 多くの現実世界の投票システムでは、あなたの投票は非公開に保たれますが、投票したかどうかは他の人に知られることがよくあります。誰が投票したかの記録を公開すると、誰かが自分の名前で投票したかどうかを確認できるようになるため、これは不正投票に対する保護として機能する可能性がある。ただし、オンチェーンでは、暗号化プリミティブを使用して、匿名性を維持しながら投票者の不正を防ぐことができます。たとえば、セマフォを使用すると、自分が有権者であり、まだ投票していないことをゼロ知識の方法で証明できます。***·** 受領不可: 有権者は、自分の投票がどのように誰かに投じられたかを証明するために、第三者に投票用紙の「受領書」を提供してはなりません。これは、投票用紙の販売につながる可能性があります。強制耐性も密接に関連する性質であり、誰かが特定の方法で投票を強制されるのを防ぎます。これらの特性は、スマートコントラクト市場を通じて議決権が流動化する可能性がある分散型環境では特に魅力的です。残念ながら、これらの特性を実現するのは非常に困難です。実際、Juels らは、信頼できるハードウェアがなければ、パーミッションレス設定ではこれらの特性を達成することは不可能であると指摘しています。Cicada は継続的な投票数のプライバシーに重点を置いていますが、(後で説明しますが) 有権者の匿名性と投票のプライバシーのためにゼロ知識グループのメンバーシップ証明と組み合わせて使用できます。### Cicada: 準同型タイムロック パズルを使用した投票集計のプライバシー継続的な投票数のプライバシーを実現するために、Cicada は (私たちの知る限りでは) オンチェーンで使用されたことのない暗号化プリミティブを借用しています。まず、タイムロック パズル (Rivest、Shamir、Wagner、1996 年) は、あらかじめ決められた時間が経過した後でのみ、より具体的には、特定の並列化不可能な計算を繰り返し実行することによってのみ秘密を明らかにできる暗号パズルです。パズルを解くために使用されます。タイムロック パズルは、進行中の投票数のプライバシーを確保するための投票のコンテキストで役立ちます。ユーザーはタイムロック パズルとして投票を送信できるため、投票プロセス中は投票が非公開のままですが、投票が公開された後にアクセスできます。他のほとんどの民間投票構造とは異なり、これにより、統計機関 (紙の投票用紙やデジタル投票用紙を数える選挙職員など)、しきい値暗号化 (メッセージを復号するには複数の信頼できる関係者が協力する必要がある)、またはその他の信頼できる関係者に依存することなく、開票集計のプライバシーを実現できます。 : 投票後に結果が確実に明らかになるように、誰でもタイムロック パズルを解くことができます。第二に、準同型タイムロック パズル (Malavolta Thyagarajan、2019) には、秘密鍵、パズルの復号化、またはバックドアの使用を知っていれば、暗号化された値に対して一部の計算を実行できるという追加の特性があります。特に、線形準同型タイムロック パズルを使用すると、パズルを組み合わせて、元のパズルの秘密値の合計を含む新しいパズルを生成できます。論文の著者らが指摘しているように、線形準同型タイムロック パズルはプライベート投票に特に適しています。投票はパズルとしてエンコードでき、それらを準同型的に組み合わせて最終統計をエンコードしたパズルを取得できます。これは、投票ごとに固有のパズルを解くのではなく、最終的な集計を明らかにするために必要な計算が 1 回だけであることを意味します。#### 新しいシステム: 効率とトレードオフ実際にオンチェーンに適用できる投票スキームについては、考慮すべき要素がいくつかあります。まず、攻撃者は、誤ってエンコードされた投票用紙を送信することで、投票結果の操作を試みる可能性があります。たとえば、各投票のタイムロック パズルがブール値 (投票された決議案には「1」、反対決議案には「0」) をエンコードすることを期待する場合があります。熱心な支持者は、有効投票力を高めるために「100」のようなコードを使用しようとするかもしれません。投票者に投票用紙自体の提出に加えて知識ゼロ証明の提出を要求することで、この攻撃を防ぐことができます。ただし、ゼロ知識証明は計算コストが高くなる可能性があります。投票者の参加コストをできるだけ低く抑えるために、証明は (1) クライアント側で効率的に計算され、(2) オンチェーンで効率的に検証される必要があります。証明をできるだけ効率的に行うために、カスタム シグマ プロトコルを使用します。これは、一般的な証明システムではなく、特定の代数関係用に設計されたゼロ知識証明です。これにより、証明時間が大幅に短縮されます。既製のラップトップでは、Python で投票用紙の有効性証明を生成するのにわずか 14 ミリ秒しかかかりません。このシグマ プロトコルの検証プロセスは概念的には単純ですが、実際にはいくつかの大規模なモジュロ指数演算が必要です。 Malavolta と Thyagarajan の線形準同型スキームは Paillier 暗号化を使用するため、これらの指数演算は RSA 法 N^2 を法として実行されます。 N がかなり大きい場合、これらのべき乗演算は、ほとんどの EVM チェーンでは法外な操作になります (数百万のガスが必要です)。このコストを削減するために、Cicada は代わりに指数 ElGamal を使用します。これは加法準同型性を提供しますが、より小さい係数 (N^2 ではなく N) で動作します。ElGamal を使用することの欠点の 1 つは、統計を解読するために徹底的な離散対数が必要になることです (これはオフチェーンで実行され、オンチェーンで効率的に検証されることに注意してください)。したがって、予想される最終的な数が比較的小さい場合 (たとえば、2^32、約 430 万票未満) にのみ使用する必要があります。元の Paillier ベースのスキームでは、統計のサイズに関係なく効率的に復号化できます。RSA モジュラス N の選択にはトレードオフも関係します。私たちの方法では、ガス効率を向上させるために 1024 ビットの係数を使用します。これは因数分解の最大 RSA モジュラス (829 ビット) をはるかに上回っていますが、RSA 暗号化または署名に一般に推奨される 2048 ビット サイズを下回っています。ただし、私たちのアプリケーションでは、長期的なセキュリティは必要ありません。選挙が終了すると、将来の N が因数分解されてもリスクはありません。タイムロックの期限が切れた後は、統計と投票が公開されることを想定して、比較的小さな係数を使用するのが合理的です。 (因数分解アルゴリズムが改善された場合、これは将来簡単に更新することもできます。)#### 匿名性と投票資格上で述べたように、Cicada は継続的な投票集計のプライバシーを提供します。タイムロック パズルにより、投票中の集計は秘密にされます。ただし、各投票用紙はタイムロック パズルでもあり、同じ公開パラメータで暗号化されます。これは、統計情報を (必要な計算を実行することで) 復号化できるのと同じように、各投票も復号化できることを意味します。言い換えれば、Cicada は投票中の投票用紙の秘密を保証するだけです。好奇心旺盛な観察者が特定の有権者の投票用紙を解読したい場合は、投票終了後にも解読することができる。 1 つの投票用紙を復号化するコストは、最終集計を復号化するコストと同じであるため、n 人の投票用紙を完全に復号化するには O(n) の作業が必要です。ただし、これらすべての投票は (十分なコンピューターがあると仮定して) 並行して復号化することができ、そのプロセスには最終的な集計を復号化するのと同じ時間がかかります。一部の世論調査では、これは理想的ではない場合があります。私たちは一時的な投票数のプライバシーに満足していますが、永続的な投票のプライバシーを望むかもしれません。これを達成するには、Cicada を、グループ メンバーシップのゼロ知識証明による匿名有権者資格プロトコルと組み合わせることができます。そうすれば、たとえ投票用紙の機密が解除されたとしても、誰かがどのように投票したかだけが明らかになり、それはすでに集計で明らかになります。私たちのリポジトリでは、投票者の匿名性のためにセマフォを使用するコントラクトの例を提供しています。 Cicada 契約自体は、有権者の資格の決定や強制について何ら仮定を行っていないことに注意してください。特に、Semaphore を Semacaulk または ZK Proof of State に置き換えることができます。#### 投票集計機関Cicada を設計したときの最初の目標の 1 つは、票集計機関への依存を避けることでした。多くの民間投票では、票を受け取り集計する半信頼された集計機関 (または安全な複数政党間計算によって協力する委員会) が必要です。ブロックチェーンのコンテキストでは、これは、これらのスキームがスマート コントラクトだけでは実行できず、ある程度の人間の介入と信頼が必要であることを意味します。ほとんどの政権では、統計機関は完全性の点で信頼されています (投票数を操作できない) が、統計機関は活動し続けなければなりません。統計機関がオフラインの場合、最終結果は計算できず、投票結果は無期限に停止します。一部のシステムでは、統計機関がプライバシーを維持することも信頼されています。つまり、彼らは各有権者の投票を知っていますが、その情報を明らかにせずに結果を公開します。統計機関は現実世界の多くのシナリオでは合理的 (かつ必要) ですが、信頼を最小限に抑えて検閲への耐性を確保することが目標であるブロックチェーンのコンテキストでは理想的ではありません。### 結論Cicada は、オンチェーン投票のプライバシーの分野で多くの方向性を模索し、他のグループによる進行中の研究を補完します。前述したように、Cicada は、セマフォ、ZK ストレージの証明、レート制限無効化などの匿名グループ メンバーシップ テクノロジを補完します。 Cicada を、Nouns Vortex チームが提案した楽観的プルーフ チェッカーと組み合わせて、有権者のガス負担を軽減することもできます。また、さまざまな投票スキーム (重み付け投票、二次投票など) をサポートするように Cicada を調整する機会もあります。より複雑なスキームはイーサリアム メインネットでは計算コストがかかる可能性がありますが、レイヤー 2 ネットワークでは実現可能である可能性があります。これを念頭に置いて、Cicada の将来の方向性に関するあらゆる提案を歓迎します。
a16z: ZK チェーン上の投票プロジェクト Cicada の動作原理の詳細な説明
翻訳:《Building Cicada: タイムロックパズルを使用したプライベートオンチェーン投票》 by Michael Zhu、a16z
コンピレーション:Kxp、BlockBeats
すべての投票システムが効果的であるためには、完全性と透明性に依存する必要があります。表面的には、ブロックチェーンはこれらのシステムを構築するための理想的なプラットフォームであるように見えます。実際、許可のない投票は、多くの場合、多大な財政力の行使や主要なプロトコル パラメータの調整という文脈で、集団的意志を表現するために多くの分散型組織によって採用されています。ただし、オンチェーン投票にはいくつかの欠点があり、Web3 投票システムではプライバシーの問題が十分に検討されていないため、マイナスの影響が生じています。現在使用されているほとんどのオンチェーン投票プロトコルでは、投票用紙と投票結果は完全に公開されています。プライバシー保護の欠如は、投票結果が操作されやすいことを意味すると同時に、有権者に対する一貫性のないインセンティブをもたらし、非民主的な結果を招く可能性があります。
そのために、私たちは Cicada を立ち上げます。これは、オンチェーンのプライベート投票にタイムロック パズルとゼロ知識証明を活用する、新しいオープンソースの Solidity ライブラリです。既存のシステムと比較して、Cicada は独自のプライバシー特性を備え、信頼への依存を最小限に抑え、イーサリアム メインネット上でも非常に効率的です。
このペーパーでは、投票プライバシーの現状を調査し、Cicada がどのように機能するかについて概要を説明します (正式な証明は続きます)。また、開発者には GitHub リポジトリにアクセスして詳細を確認することをお勧めします。Cicada は、さまざまな投票スキームや機能に合わせて柔軟に調整および拡張できます。私たちはコミュニティと協力して、これらの可能性を一緒に探求できることを楽しみにしています。
投票のプライバシーの概要
どのような投票システム(オンチェーンであろうとそれ以外であろうと)においても、さまざまなレベルのプライバシーを考慮する必要があります。個々の投票用紙、進行中の投票数、および有権者の身元情報の開示はすべて、有権者にさまざまな形で影響を与えます。望ましいプライバシー特性は投票ごとに異なりますが、暗号化と社会科学の文献でよく取り上げられるものを以下に示します。
**·**投票のプライバシー: 「オーストラリアの投票」としても知られる秘密投票は、現実世界の投票システムにおける個々の有権者のプライバシーを保護し、贈収賄や強制を削減する方法です (上記の環境では、秘密投票よりも強力なメカニズムが必要になる場合があります。詳細については、以下の「領収書なし」を参照してください)。投票のプライバシーは、社会的望ましさのバイアスを軽減する効果もあります。人々は、自分の選択について他人がどう思うかに基づいて投票する可能性が低くなります。
**·**開票のプライバシー: 多くの投票システムは、投票率や有権者のインセンティブへの影響を避けるために、有権者の投票中に進行中の開票数、つまり各選択肢が受け取った票数を隠します。私たちはこれが現実の世界で起こっているのを見てきました。たとえば、後で投票する米国上院議員は、早く投票する上院議員よりも自分の党に同調する可能性が高くなります。チェーン上のトークン加重投票では、巨大なクジラは相手をリードしておくことで誤った安全感を維持し(どうせ勝つだろうと考えて投票するのが面倒な人もいるでしょう)、その後、投票所で自分たちに投票します。最後の瞬間、投票で結果が決まります。
· 有権者の匿名性: 多くの現実世界の投票システムでは、あなたの投票は非公開に保たれますが、投票したかどうかは他の人に知られることがよくあります。誰が投票したかの記録を公開すると、誰かが自分の名前で投票したかどうかを確認できるようになるため、これは不正投票に対する保護として機能する可能性がある。ただし、オンチェーンでは、暗号化プリミティブを使用して、匿名性を維持しながら投票者の不正を防ぐことができます。たとえば、セマフォを使用すると、自分が有権者であり、まだ投票していないことをゼロ知識の方法で証明できます。
*· 受領不可: 有権者は、自分の投票がどのように誰かに投じられたかを証明するために、第三者に投票用紙の「受領書」を提供してはなりません。これは、投票用紙の販売につながる可能性があります。強制耐性も密接に関連する性質であり、誰かが特定の方法で投票を強制されるのを防ぎます。これらの特性は、スマートコントラクト市場を通じて議決権が流動化する可能性がある分散型環境では特に魅力的です。残念ながら、これらの特性を実現するのは非常に困難です。実際、Juels らは、信頼できるハードウェアがなければ、パーミッションレス設定ではこれらの特性を達成することは不可能であると指摘しています。
Cicada は継続的な投票数のプライバシーに重点を置いていますが、(後で説明しますが) 有権者の匿名性と投票のプライバシーのためにゼロ知識グループのメンバーシップ証明と組み合わせて使用できます。
Cicada: 準同型タイムロック パズルを使用した投票集計のプライバシー
継続的な投票数のプライバシーを実現するために、Cicada は (私たちの知る限りでは) オンチェーンで使用されたことのない暗号化プリミティブを借用しています。
まず、タイムロック パズル (Rivest、Shamir、Wagner、1996 年) は、あらかじめ決められた時間が経過した後でのみ、より具体的には、特定の並列化不可能な計算を繰り返し実行することによってのみ秘密を明らかにできる暗号パズルです。パズルを解くために使用されます。タイムロック パズルは、進行中の投票数のプライバシーを確保するための投票のコンテキストで役立ちます。ユーザーはタイムロック パズルとして投票を送信できるため、投票プロセス中は投票が非公開のままですが、投票が公開された後にアクセスできます。他のほとんどの民間投票構造とは異なり、これにより、統計機関 (紙の投票用紙やデジタル投票用紙を数える選挙職員など)、しきい値暗号化 (メッセージを復号するには複数の信頼できる関係者が協力する必要がある)、またはその他の信頼できる関係者に依存することなく、開票集計のプライバシーを実現できます。 : 投票後に結果が確実に明らかになるように、誰でもタイムロック パズルを解くことができます。
第二に、準同型タイムロック パズル (Malavolta Thyagarajan、2019) には、秘密鍵、パズルの復号化、またはバックドアの使用を知っていれば、暗号化された値に対して一部の計算を実行できるという追加の特性があります。特に、線形準同型タイムロック パズルを使用すると、パズルを組み合わせて、元のパズルの秘密値の合計を含む新しいパズルを生成できます。
論文の著者らが指摘しているように、線形準同型タイムロック パズルはプライベート投票に特に適しています。投票はパズルとしてエンコードでき、それらを準同型的に組み合わせて最終統計をエンコードしたパズルを取得できます。これは、投票ごとに固有のパズルを解くのではなく、最終的な集計を明らかにするために必要な計算が 1 回だけであることを意味します。
新しいシステム: 効率とトレードオフ
実際にオンチェーンに適用できる投票スキームについては、考慮すべき要素がいくつかあります。まず、攻撃者は、誤ってエンコードされた投票用紙を送信することで、投票結果の操作を試みる可能性があります。たとえば、各投票のタイムロック パズルがブール値 (投票された決議案には「1」、反対決議案には「0」) をエンコードすることを期待する場合があります。熱心な支持者は、有効投票力を高めるために「100」のようなコードを使用しようとするかもしれません。
投票者に投票用紙自体の提出に加えて知識ゼロ証明の提出を要求することで、この攻撃を防ぐことができます。ただし、ゼロ知識証明は計算コストが高くなる可能性があります。投票者の参加コストをできるだけ低く抑えるために、証明は (1) クライアント側で効率的に計算され、(2) オンチェーンで効率的に検証される必要があります。
証明をできるだけ効率的に行うために、カスタム シグマ プロトコルを使用します。これは、一般的な証明システムではなく、特定の代数関係用に設計されたゼロ知識証明です。これにより、証明時間が大幅に短縮されます。既製のラップトップでは、Python で投票用紙の有効性証明を生成するのにわずか 14 ミリ秒しかかかりません。
このシグマ プロトコルの検証プロセスは概念的には単純ですが、実際にはいくつかの大規模なモジュロ指数演算が必要です。 Malavolta と Thyagarajan の線形準同型スキームは Paillier 暗号化を使用するため、これらの指数演算は RSA 法 N^2 を法として実行されます。 N がかなり大きい場合、これらのべき乗演算は、ほとんどの EVM チェーンでは法外な操作になります (数百万のガスが必要です)。このコストを削減するために、Cicada は代わりに指数 ElGamal を使用します。これは加法準同型性を提供しますが、より小さい係数 (N^2 ではなく N) で動作します。
ElGamal を使用することの欠点の 1 つは、統計を解読するために徹底的な離散対数が必要になることです (これはオフチェーンで実行され、オンチェーンで効率的に検証されることに注意してください)。したがって、予想される最終的な数が比較的小さい場合 (たとえば、2^32、約 430 万票未満) にのみ使用する必要があります。元の Paillier ベースのスキームでは、統計のサイズに関係なく効率的に復号化できます。
RSA モジュラス N の選択にはトレードオフも関係します。私たちの方法では、ガス効率を向上させるために 1024 ビットの係数を使用します。これは因数分解の最大 RSA モジュラス (829 ビット) をはるかに上回っていますが、RSA 暗号化または署名に一般に推奨される 2048 ビット サイズを下回っています。ただし、私たちのアプリケーションでは、長期的なセキュリティは必要ありません。選挙が終了すると、将来の N が因数分解されてもリスクはありません。タイムロックの期限が切れた後は、統計と投票が公開されることを想定して、比較的小さな係数を使用するのが合理的です。 (因数分解アルゴリズムが改善された場合、これは将来簡単に更新することもできます。)
匿名性と投票資格
上で述べたように、Cicada は継続的な投票集計のプライバシーを提供します。タイムロック パズルにより、投票中の集計は秘密にされます。ただし、各投票用紙はタイムロック パズルでもあり、同じ公開パラメータで暗号化されます。これは、統計情報を (必要な計算を実行することで) 復号化できるのと同じように、各投票も復号化できることを意味します。
言い換えれば、Cicada は投票中の投票用紙の秘密を保証するだけです。好奇心旺盛な観察者が特定の有権者の投票用紙を解読したい場合は、投票終了後にも解読することができる。 1 つの投票用紙を復号化するコストは、最終集計を復号化するコストと同じであるため、n 人の投票用紙を完全に復号化するには O(n) の作業が必要です。ただし、これらすべての投票は (十分なコンピューターがあると仮定して) 並行して復号化することができ、そのプロセスには最終的な集計を復号化するのと同じ時間がかかります。
一部の世論調査では、これは理想的ではない場合があります。私たちは一時的な投票数のプライバシーに満足していますが、永続的な投票のプライバシーを望むかもしれません。これを達成するには、Cicada を、グループ メンバーシップのゼロ知識証明による匿名有権者資格プロトコルと組み合わせることができます。そうすれば、たとえ投票用紙の機密が解除されたとしても、誰かがどのように投票したかだけが明らかになり、それはすでに集計で明らかになります。
私たちのリポジトリでは、投票者の匿名性のためにセマフォを使用するコントラクトの例を提供しています。 Cicada 契約自体は、有権者の資格の決定や強制について何ら仮定を行っていないことに注意してください。特に、Semaphore を Semacaulk または ZK Proof of State に置き換えることができます。
投票集計機関
Cicada を設計したときの最初の目標の 1 つは、票集計機関への依存を避けることでした。多くの民間投票では、票を受け取り集計する半信頼された集計機関 (または安全な複数政党間計算によって協力する委員会) が必要です。ブロックチェーンのコンテキストでは、これは、これらのスキームがスマート コントラクトだけでは実行できず、ある程度の人間の介入と信頼が必要であることを意味します。
ほとんどの政権では、統計機関は完全性の点で信頼されています (投票数を操作できない) が、統計機関は活動し続けなければなりません。統計機関がオフラインの場合、最終結果は計算できず、投票結果は無期限に停止します。一部のシステムでは、統計機関がプライバシーを維持することも信頼されています。つまり、彼らは各有権者の投票を知っていますが、その情報を明らかにせずに結果を公開します。
統計機関は現実世界の多くのシナリオでは合理的 (かつ必要) ですが、信頼を最小限に抑えて検閲への耐性を確保することが目標であるブロックチェーンのコンテキストでは理想的ではありません。
### 結論
Cicada は、オンチェーン投票のプライバシーの分野で多くの方向性を模索し、他のグループによる進行中の研究を補完します。前述したように、Cicada は、セマフォ、ZK ストレージの証明、レート制限無効化などの匿名グループ メンバーシップ テクノロジを補完します。 Cicada を、Nouns Vortex チームが提案した楽観的プルーフ チェッカーと組み合わせて、有権者のガス負担を軽減することもできます。
また、さまざまな投票スキーム (重み付け投票、二次投票など) をサポートするように Cicada を調整する機会もあります。より複雑なスキームはイーサリアム メインネットでは計算コストがかかる可能性がありますが、レイヤー 2 ネットワークでは実現可能である可能性があります。これを念頭に置いて、Cicada の将来の方向性に関するあらゆる提案を歓迎します。