image

ビットコインに対する量子の脅威: パニックが物理学より先に暗号を破壊する仕組み

Tatsuya Yamamoto

ビットコインの量子計算はまだ何年も先のことかもしれないが、その恐怖はすでに到来している。 Google、カリフォルニア工科大学、IBMによる画期的な進歩により、差し迫った「Qデイ」、つまり量子コンピュータがビットコインと分散型金融を保護する暗号を打ち破る可能性がある瞬間をめぐる議論が再燃している。

しかし、専門家らは、本当の危険は方程式ではなく人間から最初にやってくる可能性があり、パニック、時期尚早な市場の反応、開発者の準備の遅れなどが、コードが実際に失敗するずっと前に自信を揺るがす恐れがあると警告している。

恐怖は数学よりも速く進む

暗号通貨では、パニックは理性よりも早く広がります。市場はコードで動いているかもしれませんが、やはり感情が価格を動かします。

ポスト量子暗号会社BOLTS Technologiesの創設者ユン・アウ氏は、先月市場で起きたフラッシュクラッシュを指摘し、量子コンピューターがビットコインを破るという誤った主張が一つでも連鎖反応を引き起こす可能性があると警告した。

「仮想通貨にはちょっとしたフラッシュクラッシュがありました」とアウ氏は語った。 「5,000万ドルから1億ドルの暴落は、従来の市場では基本的に何もありませんでしたが、ブロックチェーン資産全体に巨額の損失を引き起こしました。これは、システムが依然としていかに脆弱であるかを示しています。」

今月初め、中国からの輸入品に100%関税をかけると脅すドナルド・トランプ大統領のたった一つの投稿が、史上最大の1日当たりの仮想通貨一掃を引き起こし、ビットコインが一時10万2000ドルを下回る中、清算で190億ドルが消失した。

アウ氏は、量子恐怖の後に同じ力関係が展開する可能性があると述べ、「誰かが『(楕円曲線暗号は)今すぐに解読できる、おそらく瞬時ではないかもしれないが、すぐに解読できる』と言うのを聞いたことを想像してみてください。」誰もが出口に向かって急いだでしょう。システムが自らつまずいてしまうだろう。」

業界は以前にもそれを経験しました。 2017年、イーサリアム創始者ヴィタリック・ブテリン氏が死亡したと主張する虚偽の4Chan投稿により、トレーダーが偽物だと気づく前に時価総額数十億ドルが消失した。この下落は、情報が検証を上回ると信頼がいかに早く崩壊するかを示した。

量子タイムライン: あなたはここにいます

量子コンピューターは、古典的なコンピューティングとは異なる原理で動作します。量子ビットは、0 または 1 のビットの代わりに、一度に複数の状態で存在できます。量子ビットがリンクされると (エンタングルメントと呼ばれる性質)、多くの可能性を同時に処理できるようになります。この特性により、因数分解や離散対数などの特定の種類の数学を解くのが飛躍的に効率的になります。

1994 年、数学者のピーター ショールは、十分に強力な量子コンピューターが理論上、クレジット カードからビットコイン ウォレットに至るまであらゆるものを保護する暗号化を破ることができることを証明しました。ビットコインは楕円曲線暗号 (ECC) に依存しています。ECC は、計算は簡単ですが、元に戻すことは事実上不可能な方程式によって秘密鍵を公開鍵に変換します。

十分な大きさの量子コンピューターがあれば、ショールのアルゴリズムを実行してその計算を逆転させ、ブロックチェーン上で公開されている公開鍵の背後にある秘密鍵を明らかにすることができます。

secp256k1 として知られるビットコインの特定のシステムは、これらの楕円曲線方程式を使用して署名を生成および検証します。これらの計算を実行するのに十分強力な量子コンピューターは、目に見える公開鍵に関連付けられた秘密鍵と空のウォレットを回復できる可能性があります。 256 ビットの楕円曲線キーは、3,072 ビット RSA キーとほぼ同じ従来のセキュリティを提供し、今日の基準からすると非常に強力です。

今のところ、その危険性は理論上にとどまります。世界最大の量子プロセッサー(1,121量子ビットを備えたIBMのCondorと、6,000量子ビットを超えるカリフォルニア工科大学の中性原子アレイ)は、フォールトトレラントな計算のための数千の論理量子ビットを生成するのに必要な数百万の物理量子ビットにも程遠い。

現在の研究では、ショールのアルゴリズムでビットコインの楕円曲線暗号を解読するには、約 2,000 ~ 3,000 個の論理量子ビットが必要であることが示唆されています。このレベルに達するにはさらに 10 年以上かかる可能性がありますが、IBM と Google の楽観的な予測では、そのようなマシンは 2030 年代初頭から半ばになると予想されています。

「暗号に対する量子の脅威は現実的かつ深刻です」とランド研究所の物理学者エドワード・パーカー氏は語った。 「量子コンピューターが暗号化を脅かすことは決してないと考えている人もいますが、それは本当かもしれません。しかし、十分なリスクがあるため、事前に十分な準備をする必要があります。」

その慎重な警戒はネット上では曲解されることが多く、議論や準備を促すことを目的とした警告が、むしろ警戒心を煽り、誇張された「量子黙示録」のレトリックを煽る結果となっている。

米国政府はすでにその方向に進んでいます。 2022年の大統領令「国家安全保障覚書10」は、連邦政府機関に対し、ポスト量子暗号へのアップグレードを開始するよう命じた。これは、省庁を超えた長期的な調整のまれなケースである。パーカー氏は、暗号学者のミケーレ・モスカ氏が主導した2023年の研究で、暗号に関連する量子コンピューターの推定中央値が2037年頃であると指摘した。

研究科学者のイアン・マコーマックは、テクノロジーが実際にできることよりも、世間の不安が先に進んでいることに同意した。

「量子コンピューターは、R​​SA-2048 や意味のあるサイズの暗号を解読できるほど強力ではありません」と彼は言いました。 「エラー率を下げ、数千の量子ビットを組み合わせて実用的なことを行うには、時間と費用がかかり、試行錯誤が必要になります。」

しかし、マコーマック氏は、量子コンピューティングの神秘性がしばしば恐怖を増幅させると述べた。

「人々は量子コンピューティングについて聞くと、それは神のようなもの、または理解できないもののように聞こえます」と彼は言いました。 「しかし、その潜在力に関係なく、これは非常に難しい工学的問題にすぎません。耐量子暗号の開発は、現在の暗号を解読できる量子コンピューターを構築するよりも、ほぼ確実に早く実現するでしょう。」

Coin Metricsの共同創設者でCastle Island Venturesのパートナーであるニック・カーター氏は最近、量子コンピューティングを「ビットコインにとって最大のリスク」と呼んだ。彼はエッセイ「ビットコインと量子問題」の中で、ビットコイン全体のほぼ 4 分の 1、約 400 万枚がすでに公開鍵が公開されたアドレスに存在していると述べています。これらは、実用的な量子復号化が実現すると、理論的には脆弱になります。ビットコインの計算が解けないという信頼は、計算自体が崩れるずっと前に崩れる可能性がある。

ビットコインの耐量子化

脅威は遠く離れているとはいえ、専門家らは今が行動を起こす時だとしているが、それは広範な連携にかかっている。

ポスト量子サイバーセキュリティ企業QuSecureの共同創設者兼最高経営責任者(CEO)であるレベッカ・クラウトマー氏は、次のステップは明らかであり、楕円曲線暗号を導入する必要があると述べた。

「これを ML-DSA のようなポスト量子標準化アルゴリズムの 1 つに置き換える必要があります」と彼女は言いました。

ML-DSA は、Module Lattice-Based Digital Signature Algorithm の略で、米国国立標準技術研究所 (NIST) によって開発された新しいポスト量子暗号規格です。これは、多次元の数値グリッド内に情報を隠す暗号学の分野である格子ベースの数学に基づいて構築されています。

これらのグリッドを解読するには、「エラーによる学習」問題として知られる問題を解く必要があります。この方程式は非常に複雑なので、強力な量子コンピューターでも効率的に解くことができません。そのため、ML-DSA は、現在ビットコインで使用されている楕円曲線システムよりも復号化に対する耐性がはるかに高くなります。

現在、真に耐量子性を備えているブロックチェーンはほんのわずかですが、ほとんどのブロックチェーンは依然としてポスト量子暗号に適応しています。

Quantum Resistant Ledger (QRL) は、NIST によって標準化された XMSS ハッシュベースの署名スキームを使用して、量子安全性を確保するために構築されました。 Cellframe と Algorand は、NIST スイート (Crystals-Dilithium、FALCON、および NTRU) の格子ベースのアルゴリズムを使用しており、標準の進化に応じて柔軟なモジュール式アップグレードが可能です。 IOTA は、「Tangle」ネットワーク内の Winternitz ワンタイム署名に依存し、量子鍵の回復からトランザクションを保護します。 Nervos Network は、古典的なシステムと格子ベースのシステムをハイブリッド モデルで組み合わせ、ポスト量子セキュリティへの段階的な移行を可能にします。

ビットコイン、イーサリアム、カルダノ、ソラナなどの主要チェーンは依然として過渡期にある。イーサリアムの 3.0 ロードマップにはポスト量子署名に関する活発な研究とテストネットが含まれており、ビットコインのモジュール式タップルートとシュノアのアップグレードは将来の量子安全暗号を統合するための基礎を提供します。

この種のアップグレードは実現可能ですが、政治的に複雑です。ビットコインのセキュリティ モデルは、マイナー、開発者、ノード オペレーター間のネットワーク全体の合意に依存しています。暗号化の変更にはフォークが必要であり、そのプロセスには何年もの議論とテストが必要です。

「量子コンピューティングは抽象的に聞こえるかもしれません」とクラウトマー氏は言う。 「しかし、修正は驚くほど簡単です。私たちはすでに計算をしています。政府は量子安全基準を義務付けており、金融もそれに従うでしょう。難しいのは、緊急を要する前に人々に注意を払わせることです。」

ほとんどの専門家は、最も安全な方法は段階的であると述べています。新しいアドレスタイプまたはハイブリッド署名を通じてポスト量子サポートを今すぐ追加し、カストディアンとウォレットに新しい資金として使用してもらい、古いウォレットをゆっくりと移行します。これにより、全員が一度に鍵をローテーションする混乱、つまり実際の量子攻撃よりも早く信頼を損なう可能性のあるシナリオを防ぐことができます。

ビットコインの貢献者はすでに開発者フォーラムでポスト量子署名とハイブリッド方式を検討しています。課題はアルゴリズムを見つけることではありません。それをいつ、どのように展開するかを決定するのです。

ガバナンスの問題

テキサス大学オースティン校のコンピューターサイエンス教授スコット・アーロンソン氏は、ビットコインの分散モデルがアップグレードを困難にしていると述べた。

「イーサリアムや他のほとんどのチェーンでは、緊急になったときに誰かが耐量子暗号への移行を決定することができます」と彼は語った。 「ビットコインの場合、マイナーの過半数がフォークに同意する必要があります。そして、1,000億ドル相当の初期コインは依然としてECCによってのみ保護されています。」

中央の権限が欠けていると、導入が遅れる可能性があります。分割または急いで展開すると、ネットワークが破壊される可能性があります。それでも、多くのビットコイン開発者は、実行可能なアップグレードパスが存在すれば、機能するコードに関して合意が形成されるだろうと主張しています。

イーサリアムとソラナはより柔軟なガバナンスを備えており、より早く適応できる可能性があります。ビットコインは慎重な性格を持っているため、悪い考えから守られてきましたが、同じ保守主義によって大きな変化の実現が困難になっています。

Qデイはどれくらい近いですか?

ビットコインの暗号を解読できるほど強力な量子コンピューターはまだ存在していません。現在のプロトタイプでは数千の量子ビットがカウントされていますが、安定したスケーラブルな攻撃に必要なエラー訂正された数百万の量子ビットは含まれていません。

先月下旬、Google は量子研究における新たなマイルストーンを発表しました。同社の 105 量子ビット「Willow」プロセッサは、Frontier スーパーコンピュータで再現するには 3 年以上かかる物理シミュレーションをわずか 2 時間強で完了しました。この実験では、23 回路層にわたって 65 個のアクティブ量子ビットが使用され、2 量子ビットのゲート誤差の中央値は 0.0015 近くに達しました。その結果、検証可能な量子速度の向上が示されましたが、暗号化に対する脅威はなく、危険ではなく進歩でした。

量子コンピューティングを長期的な脅威とみなしている研究者でさえ、本当の危険はまだ数年先だと言う。

「量子計算は、ビットコインやその他の仮想通貨にとって、長期的な重大なリスク、さらには存続に関わるリスクとなる可能性がかなりの確率で、たとえば 5% 以上あると思います」と、ミシガン大学のコンピューター科学工学教授クリストファー・パイカート氏は語った。 「しかし、今後数年間はそれが本当のリスクになるとは思えません。量子コンピューティング技術とエンジニアリングが現代の暗号を脅かすまでには、まだ道のりは遠いのです。」

さらに難しいのは、ポスト量子システムが導入された後のパフォーマンスだ、とパイカート氏は付け加えた。 「ポスト量子署名では、はるかに大きな鍵が使用されます」と彼は言いました。 「暗号通貨はトランザクションとブロックの多くの署名に依存しているため、ポスト量子署名またはハイブリッド署名に切り替えると、ネットワーク トラフィックとブロック サイズが大幅に増加します。」

パイカート氏は、短期的な保護に関して、最善の緩和策は技術的なものではなく、行動的なものであると述べた。

同氏は、「短期的には、どうしても必要になるまでは公開鍵を公共ネットワーク上に公開することを避け、それらの鍵の有効期間を短くすべきだ」と述べた。 「長期的には、最も重要な機能と資産にポスト量子暗号を組み込むために、コアプロトコルを慎重に更新する必要があります。」

Express は、量子コンピューティングがすぐにビットコインを破壊するわけではないことに同意しています。重要なのは、そのような事態になったときにコミュニティが冷静でいられるかどうかだ。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。