量子脅威論の復活で、仮想通貨の基盤は揺らいだのか？

オリジナル記事 | Odaily Planet Daily ( @OdailyChina )

著者｜あずま（ @azuma_eth ）

最近、量子コンピューティングが仮想通貨に及ぼす脅威が、インターネット上で再び議論の的となっています。この新たな関心の高まりは、量子コンピューティングと仮想通貨業界の複数の主要人物が、量子コンピューティングの発展とその潜在能力に関する新たな予測を発表したことに端を発しています。

まず、11月13日、量子コンピューティングの第一人者であり、テキサス大学量子情報センター所長のスコット・アーロンソン氏は、ある記事の中で次のように述べました。「私は今、次の米国大統領選挙までに、ショアのアルゴリズムを実行できるフォールトトレラントな量子コンピュータが登場する可能性があると確信しています... 」

その後、11月19日にはイーサリアムの共同創設者であるヴィタリック・ブテリン氏もブエノスアイレスのDevconnectカンファレンスで講演し、楕円曲線暗号（ECC）は2028年の米国大統領選挙前に量子コンピューティングによって解読される可能性があると述べ、イーサリアムが4年以内に量子耐性アルゴリズムにアップグレードするよう促した。

量子脅威とは何ですか?

スコットとヴィタリックの予測を解釈する前に、「量子脅威」とは何かを簡単に説明する必要があります。

簡単に言えば、暗号通貨に対する量子脅威とは、将来的に十分に強力な量子コンピュータが現在の暗号通貨を保護している暗号基盤を破り、そのセキュリティ モデルを破壊する可能性があることを意味します。

現在、ほぼすべての暗号通貨（ビットコインやイーサリアムなど）のセキュリティは、「非対称暗号化」と呼ばれる技術に依存しており、その中で最も重要な 2 つの要素は「秘密鍵」と「公開鍵」です。

• 秘密鍵: ユーザーによって秘密に保持され、トランザクションに署名し、資産の所有権を証明するために使用されます。
• 公開鍵: 秘密鍵から生成され、公開され、ウォレット アドレスまたはアドレスの一部として使用できます。

暗号通貨のセキュリティの根幹は、公開鍵から秘密鍵を導出することが現時点では計算量的に不可能であるという事実にあります。しかし、量子コンピューティングは量子力学の原理を活用し、特定のアルゴリズム（前述のショアのアルゴリズムなど）を実行することで、特定の数学的問題を解くプロセスを大幅に加速する可能性があります。これはまさに非対称暗号の弱点です。

ショアのアルゴリズムとは何か、説明を続けましょう。ここでは数学的な詳細には触れませんが、簡単に言えば、ショアのアルゴリズムの本質は、古典コンピュータでは「ほぼ解けない」数学的問題を、量子コンピュータでは「比較的容易に解ける」周期探索問題に変換する能力にあります。これは、既存の暗号通貨の「秘密鍵・公開鍵」暗号システムを脅かす可能性があります。

より分かりやすい例を挙げると、イチゴの入ったバスケット（秘密鍵クラス）をジャム（公開鍵クラスに類似）に変えることは簡単ですが、当然のことながら、ジャムをイチゴに戻すことはできません。しかし、もしチートコードが突然現れれば（量子コンピューティングに類似）、ショアのアルゴリズムに類似した、簡便な方法でこれを実現できる可能性があります。

暗号通貨の基盤は揺らいだのか？

もしそうだとしたら、暗号通貨は終わりを迎えるのではないでしょうか?

慌てる必要はありません。量子脅威は客観的に存在していますが、問題はそれほど緊急ではありません。主な理由は2つあります。1つ目は、真の脅威が到来するまでにはまだ時間があること、2つ目は、暗号通貨はアップグレードすることで反量子アルゴリズムを実装できることです。

まず第一に、スコット氏の予測が2028年の選挙前に実現したとしても、仮想通貨の安全性が本当に脅かされるわけではない。ヴィタリック氏の発言はビットコインやイーサリアムの基盤が揺らぐと言っているわけではなく、長期的に存在する理論的なリスクを指摘しているだけだ。

Dragonflyのマネージングパートナーであるハシーブ氏は、量子コンピューティングの新たなタイムラインについて慌てる必要はないと説明した。ショアのアルゴリズムを実行することは、実際の256ビット楕円曲線鍵（ECC鍵）を解読することと同じではないからだ。ショアのアルゴリズムを使って1つの数字を解読することは可能であり、それ自体が十分に印象的だが、数百桁の数字を因数分解するには、はるかに大規模な計算能力とエンジニアリング能力が必要となる。これは真剣に受け止めるべき問題だが、差し迫った問題ではない。

暗号通貨セキュリティ専門家のMASTRは、より明確な数学的答えを示しています。ビットコインやイーサリアムなどの暗号通貨で現在使用されている楕円曲線署名（ECDSA）を解読するには、約2,300個の論理量子ビットと10¹²～10¹³回の量子演算が必要です。エラー訂正機能を含めると、数百万、あるいは数億個の物理量子ビットが必要になります。しかし、現在実装されている量子コンピューティングでは、ノイズの多い量子ビットはわずか100～400個しか必要とせず、エラー率が高く、コヒーレンス時間が短すぎます。これは、前者を解読するために必要な要件から少なくとも4桁も離れていることを意味します。

2点目については、業界の暗号学者も量子コンピューティング攻撃に抵抗できる新しい耐量子暗号（PQC）アルゴリズムを開発しており、主流のブロックチェーンはすでにこれに備えています。

昨年の3月、ヴィタリック氏は「もし明日量子攻撃が来たらどうなるのか？イーサリアムはどうやって問題を解決するのか？ 」と題した記事を執筆し、ウィンターニッツ署名、STARK、その他の技術の量子脅威に対する防御効果について言及し、緊急時にイーサリアムをアップグレードする方法まで構想した。

イーサリアムと比較すると、ビットコインはアップグレードの実装において柔軟性が低いかもしれませんが、コミュニティではすでにDilithium、Falcon、SPHINCS+といったアルゴリズムアップグレードの潜在的なソリューションがいくつか提案されています。最近、このトピックに関する議論が高まる中、ビットコインのOGであるアダム・バック氏も、量子コンピューティングの脅威が顕在化するずっと前に、ポスト量子時代の暗号標準を実装できる可能性があると述べています。

つまり、量子脅威とは、遠く離れた場所にぶら下がっている「マスターキー」のようなもので、理論上は既存のすべてのブロックチェーンのロックを解除できるのです。しかし、鍵メーカーはすでにこのマスターキーでは開けられない新しい鍵の研究を始めており、マスターキーが完成する前に全てのドアの鍵を交換する準備をしています。

これが量子脅威に関する客観的な現実です。その進展を無視することはできませんが、だからといって盲目的にパニックに陥る必要はありません。