ビットコインの1.3兆ドルのセキュリティ競争: 世界最大のブロックチェーンの耐量子化を目指す主要な取り組み
ビットコインのブロックチェーンを突破できる量子コンピューターは現在存在しません。しかし、開発者らは、潜在的な脅威に対する防御を構築するための一連のアップグレードをすでに検討しており、脅威はもはや仮説ではないため、当然のことです。
今週、Googleは、十分に強力な量子コンピュータが9分以内にビットコインの中核暗号を解読できることを示唆する研究を発表した。これは平均的なビットコインブロック決済時間より1分速い。アナリストの中には、こうした脅威が2029年までに現実になる可能性があると考えている人もいる。
賭け金は高い。数千億ドル相当の約 650 万個のビットコイン トークンが、量子コンピューターが直接ターゲットにできるアドレスに存在している。これらのコインの一部は、ビットコインの仮名の作成者であるサトシ・ナカモトのものです。さらに、潜在的な侵害は、ビットコインの中核となる理念、つまり「コードを信頼する」と「健全なお金」を損なう可能性があります。
ここでは、脅威がどのようなものであるか、またそれを軽減するために検討中の提案を示します。
量子マシンがビットコインを攻撃できる 2 つの方法
提案について議論する前に、まず脆弱性を理解しましょう。
ビットコインのセキュリティは、一方向の数学的関係に基づいて構築されています。ウォレットを作成すると、秘密鍵と秘密番号が生成され、そこから公開鍵が導出されます。
ビットコイン トークンを使用するには、秘密キーを公開するのではなく、それを使用してネットワークが検証できる暗号署名を生成することによって、秘密キーの所有権を証明する必要があります。
このシステムは絶対確実です。なぜなら、現代のコンピュータが楕円曲線暗号、特に楕円曲線デジタル署名アルゴリズム (ECDSA) を解読して、公開鍵から秘密鍵をリバース エンジニアリングするのに数十億年かかるからです。そのため、ブロックチェーンは計算上侵害不可能と言われています。
しかし、将来の量子コンピューターは、公開鍵から秘密鍵を導き出し、コインを排出することで、この一方通行を双方向に変えることができます。
公開鍵は 2 つの方法で公開されます。1 つはチェーン上でアイドル状態にあるコインから (長時間露光攻撃)、もう 1 つは移動中のコインまたはメモリ プール内で待機しているトランザクションから (短時間露光攻撃) です。
Pay-to-public key (P2PK) アドレス (Satoshi と初期のマイナーが使用) と、2021 年に有効化された現在のアドレス形式である Taproot (P2TR) は、長時間露光攻撃に対して脆弱です。これらのアドレス内のコインは、公開鍵を明らかにするために移動する必要はありません。暴露はすでに行われており、将来の量子攻撃者を含む地球上の誰でも読み取り可能です。約170万 $BTC サトシのコインを含む古い P2PK アドレスに存在します。
短期エクスポージャーは、未確認のトランザクションの待機室である mempool に関連付けられています。トランザクションがブロックに含められるのを待っている間、公開キーと署名はネットワーク全体に表示されます。
量子コンピューターはそのデータにアクセスできますが、対応する秘密鍵を導出し、それに基づいて動作するまでの時間は、トランザクションが確認されて追加のブロックに埋められるまでの短い時間しかありません。
取り組み
BIP 360: 公開キーの削除
前述したように、現在、Taproot を使用して作成されたすべての新しいビットコイン アドレスは、オンチェーン上の公開鍵を永続的に公開し、将来の量子コンピューターに決して消えることのないターゲットを与えます。
Bitcoin Improvement Proposal (BIP) 360 は、Pay-to-Merkle-Root (P2MR) と呼ばれる新しい出力タイプを導入することにより、オンチェーンに永続的に埋め込まれ誰もが閲覧できる公開キーを削除します。
量子コンピューターが公開キーを研究し、秘密キーの正確な形状をリバース エンジニアリングして、作業コピーを偽造することを思い出してください。公開キーを削除すると、攻撃の材料が何もなくなります。一方、Lightning 支払い、マルチシグネチャ設定、その他のビットコイン機能を含む他のすべては同じままです。
ただし、この提案が実装された場合、今後は新しいコインのみが保護されます。 170万 $BTC 公開された古いアドレスにすでに存在していることは別の問題であり、以下の他の提案によって対処されます。
SPHINCS+ / SLH-DSA: ハッシュベースのポスト量子署名
SPHINCS+ は、ハッシュ関数に基づいて構築されたポスト量子署名スキームで、ビットコインで使用される楕円曲線暗号が直面する量子リスクを回避します。 Shor のアルゴリズムは ECDSA を脅かしていますが、SPHINCS+ のようなハッシュベースの設計は同様に脆弱であるとは考えられていません。
このスキームは、長年にわたる公開レビューを経て、2024 年 8 月に国立標準技術研究所 (NIST) によって FIPS 205 (SLH-DSA) として標準化されました。
セキュリティとのトレードオフはサイズです。現在のビットコイン署名は 64 バイトですが、SLH-DSA のサイズは 8 キロバイト (KB) 以上です。そのため、SLH-DSA を採用すると、ブロック領域の需要が急激に増加し、トランザクション手数料が上昇します。
その結果、量子後セキュリティを犠牲にすることなく署名サイズを削減するために、SHRIMPS (別のハッシュベースの量子後署名スキーム) や SHRINCS などの提案がすでに導入されています。どちらも SHPINCS+ をベースに構築されており、ブロックチェーンの使用に適したより実用的でスペース効率の高い形式でセキュリティ保証を維持することを目指しています。
Tadge Dryja のコミット/公開スキーム: メンプールの緊急ブレーキ
この提案は、Lightning Network の共同作成者である Tadge Dryja によって提案されたソフト フォークであり、メモリプール内のトランザクションを将来の量子攻撃者から保護することを目的としています。これは、トランザクションの実行をコミットと公開の 2 つのフェーズに分けることで実現されます。
相手にメールを送信することを伝え、実際にメールを送信することを想像してください。前者はコミットフェーズ、後者はリビールフェーズです。
ブロックチェーン上では、これは、最初に自分の意図を示す封印されたフィンガープリントを公開することを意味します。これは、トランザクションについて何も明らかにしない単なるハッシュです。フィンガープリントを永続的に記録するブロックチェーンのタイムスタンプ。その後、実際のトランザクションをブロードキャストすると、公開キーが見えるようになります。そして、確かに、ネットワークを監視している量子コンピューターがそこから秘密キーを抽出し、競合するトランザクションを偽造して資金を盗む可能性があります。
しかし、その偽造された取引はすぐに拒否されます。ネットワークは、この支出にチェーン上に登録された事前のコミットメントがあるかどうかをチェックします。あなたもそうです。攻撃者はそうではありません。攻撃者はほんの少し前にそれを作成しました。事前に登録した指紋がアリバイになります。
ただし、取引が 2 段階に分かれることによるコストの増加が問題となります。したがって、これは、コミュニティが量子防御の構築に取り組んでいる間に展開するのに実用的な暫定的な橋として説明されています。
Hourglass V2: 古銭の支出を遅らせる
開発者 Hunter Beast によって提案された Hourglass V2 は、約 170 万個の量子脆弱性をターゲットにしています $BTC すでに公開されている古いアドレスに保持されています。
この提案は、これらのコインが将来の量子攻撃で盗まれる可能性があることを認めており、市場をクレーター化する可能性のある壊滅的な一夜にして大量清算を避けるために、販売をブロックごとに1ビットコインに制限することで出血を遅らせようとしている。
これは取り付け騒ぎに似ています。人々の引き出しを止めることはできませんが、システムが一夜にして崩壊するのを防ぐために引き出しのペースを制限することはできます。この提案は物議を醸しています。なぜなら、ビットコインコミュニティの一部の人たちは、この限定的な制限ですら、コインを使用する権利を外部の者が決して干渉してはならないという原則に違反しているとみなしているからです。
結論
これらの提案はまだ発動されておらず、開発者、マイナー、ノードオペレーターにまたがるビットコインの分散ガバナンスは、アップグレードが実現するまでに時間がかかる可能性が高いことを意味している。
それでも、今週のGoogleの報告書に先立って次々と提案が相次いでいることは、この問題が開発者らの関心を長い間気にしていたことを示唆しており、これが市場の懸念を和らげるのに役立つかもしれない。
