5年、10年、それともさらに長く？量子コンピューティングの脅威に関するタイムライン評価

原文著者：Justin Thaler (@SuccinctJT)、a16z リサーチパートナー

原文翻訳：AididiaoJP、Foresight News

量子コンピュータはいつ暗号を破れるのか？このタイムラインはしばしば誇張され、「緊急かつ全面的なポスト量子暗号への移行」を求める声を引き起こしている。

しかし、これらの声は、時期尚早な移行のコストとリスクを見落としがちであり、異なる暗号ツールに対する脅威の本質が全く異なることも見逃している：

• ポスト量子暗号化は、コストがかかっても直ちに導入する必要がある。なぜなら、「今盗んで、将来解読する」攻撃が既に存在するからだ。今日暗号化された機密データは、量子コンピュータが数十年後に出現したとしても、依然として莫大な価値を持つ。ポスト量子暗号化には性能低下や導入リスクがあるが、長期間の機密保持が必要なデータにとっては、他に選択肢はない。
• ポスト量子デジタル署名は別問題だ。それらは上記の「盗んで保存し解読する」攻撃を受けにくく、そのコストとリスク（サイズの増大、性能オーバーヘッド、スキームの未成熟、潜在的な脆弱性）は、即時行動ではなく慎重な計画を要求する。

この点を区別することが極めて重要だ。誤解は費用対効果分析を歪め、プログラムのバグなどのより差し迫ったセキュリティリスクをチームが見落とす原因となる。

ポスト量子暗号への移行を成功させる真の課題は、行動の緊急性を現実の脅威と一致させることだ。以下では、暗号化、署名、ゼロ知識証明に対する量子計算の脅威に関する一般的な誤解を解き明かし、特にブロックチェーンへの意味合いに焦点を当てる。

タイムライン：暗号を破る量子コンピュータまで、あとどれくらい？

誇張された宣伝はあるものの、2020年代に「暗号学的に関連する量子コンピュータ」が出現する可能性は極めて低い。

「暗号学的に関連する量子コンピュータ」とは、フォールトトレラントでエラー訂正可能な量子コンピュータであり、Shorのアルゴリズムを実行でき、楕円曲線暗号（例：secp256k1）やRSA（例：RSA-2048）を合理的な時間内（例えば、継続計算が1ヶ月以内）で破るのに十分な規模のものを指す。

公開されている技術的マイルストーンとリソース評価に基づけば、そのようなコンピュータはまだ非常に遠い。2030年、あるいは2035年までに実現可能だと主張する企業もあるが、既知の進展はこれらの主張を裏付けていない。

現在、イオントラップ、超伝導量子ビット、中性原子系のいずれの量子計算プラットフォームも、RSA-2048やsecp256k1を破るために必要な数十万から数百万の物理量子ビット（具体的な数はエラーレートとエラー訂正スキームによる）に近づいていない。

ボトルネックは量子ビット数だけでなく、ゲート忠実度、量子ビット間の接続性、そして深い量子アルゴリズムを実行するために必要な継続的なエラー訂正回路の深さにある。現在、物理量子ビット数が1000を超えるシステムもあるが、この数字だけでは誤解を招く：それらは暗号学的計算に必要な接続性と忠実度を欠いている。

最近のシステムは量子エラー訂正に必要な物理エラーレートの閾値に近づきつつあるが、これまでに数個以上の論理量子ビットを安定して実行できた者はおらず、Shorのアルゴリズムに必要な数千個の高忠実度、深い回路、フォールトトレラントな論理量子ビットを実行することは言うまでもない。原理実証から暗号解読に必要な規模へのギャップは依然として大きい。

要するに：量子ビット数と忠実度が数桁向上するまでは、暗号学的に関連する量子コンピュータは程遠い。

しかし、企業のプレスリリースやメディア報道はしばしば混乱を招く。主な混同点は以下の通り：

1. 「量子優位性」のデモンストレーション：現在デモされているタスクの多くは、既存のハードウェアで実行でき、かつ「見かけ上」高速であるという理由で選ばれた、実用的ではない精巧に設計されたものだ。この点は宣伝の中でしばしば軽視される。
2. 「数千の物理量子ビット」の宣伝：これは通常、Shorのアルゴリズムを実行できるゲートモデルの量子コンピュータではなく、量子アニーリングマシンを指している。
3. 「論理量子ビット」の誤用：物理量子ビットにはノイズがあり、実用的なアルゴリズムには、多くの物理量子ビットをエラー訂正によって構成された「論理量子ビット」が必要だ。Shorのアルゴリズムを実行するには数千個のそのような論理量子ビットが必要で、それぞれ通常数百から数千個の物理量子ビットを必要とする。しかし、一部の企業は誇張しており、例えば最近、「距離-2」のエラー訂正符号（エラー検出のみ可能で訂正不可能）を用いて、論理量子ビットあたりわずか2個の物理量子ビットで48個の論理量子ビットを実現したと主張する例があるが、これは無意味だ。
4. ロードマップの誤解：多くのロードマップにおける「論理量子ビット」は「Clifford操作」のみをサポートしており、これらの操作は古典コンピュータで効率的にシミュレート可能であり、大量の「非Cliffordゲート」（Tゲートなど）を必要とするShorのアルゴリズムを実行するには不十分だ。したがって、あるロードマップが「X年までに数千の論理量子ビットを実現する」と主張しても、その企業がその時点で古典暗号を破れると予想していることを意味しない。

これらの慣行は、一般の人々（ベテランの観察者を含む）の量子計算進捗に対する認識を大きく歪めている。

もちろん、進展は確かに刺激的だ。例えば、Scott Aaronsonは最近、「ハードウェアの進歩が驚くほど速い」ことを考慮し、「次の米国大統領選挙までに、Shorのアルゴリズムを実行できるフォールトトレラント量子コンピュータを我々が持つことは、現実的な可能性だ」と書いている。しかし彼はその後、それが暗号学的に関連する量子コンピュータを指すわけではないと明確にしている——たとえ15=3×5をフォールトトレラントに因数分解するだけでも（これは紙と鉛筆で計算する方が速い）、彼はその約束が達成されたとみなすという。これは依然として小規模なデモンストレーションであり、この種の実験は常に15をターゲットとする。なぜなら、15を法とする演算は単純で、少し大きな数（例えば21）になるとはるかに困難になるからだ。

重要な結論：RSA-2048やsecp256k1を破ることができる暗号学的に関連する量子コンピュータが今後5年以内に出現すると予想すること——これは実用的な暗号学にとって重要だ——は、公開された進展によって裏付けられていない。10年でさえ、まだ野心的だ。

したがって、進展に対する興奮と「まだ十数年はかかる」というタイムラインの判断は矛盾しない。

では、米国政府が政府システムの完全なポスト量子移行の最終期限を2035年に設定しているのはどうか？これは大規模な移行を完了するための合理的な時間計画だと思うが、それは暗号学的に関連する量子コンピュータがその時点で必ず出現すると予測しているわけではない。

「今盗んで、将来解読する」攻撃：誰に適用され、誰に適用されないか？

「今盗んで、将来解読する」攻撃とは、攻撃者が現在暗号化されたトラフィックを保存し、将来暗号学的に関連する量子コンピュータが出現した後に解読することを指す。国家レベルの敵対者は、将来の解読に備えて、米国政府からの暗号化通信を大量にアーカイブしている可能性が高い。

したがって、少なくとも10〜50年以上の機密保持期間が必要なデータについては、暗号化を直ちにアップグレードする必要がある。

しかし、デジタル署名（すべてのブロックチェーンの基盤）は暗号化とは異なる：遡及的な攻撃を必要とする機密性がない。たとえ将来量子コンピュータが出現しても、その時点から署名を偽造することはできても、過去の署名を「解読」することはできない。署名が量子コンピュータ出現前に生成されたことを証明できさえすれば、それは偽造不可能だ。

これにより、ポスト量子デジタル署名への移行は、暗号化の移行ほど緊急性が高くない。

主要なプラットフォームはまさにこのように行動している：

• ChromeとCloudflareは、ウェブTLS暗号化のためにハイブリッドX25519+ML-KEMスキームを導入した。「ハイブリッド」とは、ポスト量子安全スキーム（ML-KEM）と既存スキーム（X25519）の両方を同時に使用し、両方の安全性を兼ね備え、HNDL攻撃を防ぎながら、ポスト量子スキームに問題が発生した場合の古典的安全性も保持することを意味する。
• AppleのiMessage（PQ3プロトコル）とSignal（PQXDHおよびSPQRプロトコル）も、同様のハイブリッドポスト量子暗号化を導入している。

対照的に、ポスト量子デジタル署名の主要なネットワークインフラストラクチャへの導入は、暗号学的に関連する量子コンピュータが本当に迫るまで延期されている。なぜなら、現在のポスト量子署名スキームは性能低下をもたらすからだ（詳細は後述）。

ゼロ知識証明（zkSNARKs）の状況は署名と似ている。たとえポスト量子安全でないzkSNARK（楕円曲線暗号を使用するもの）であっても、その「ゼロ知識」性自体はポスト量子安全だ。この性質は、証明が秘密に関するいかなる情報も漏らさないことを保証し（量子コンピュータも無力）、したがって「今盗む」ことができる機密情報は存在しない。よって、zkSNARKsもHNDL攻撃を受けにくい。量子コンピュータ出現前に生成されたあらゆるzkSNARK証明は信頼できる（たとえ楕円曲線暗号を使用していても）。量子コンピュータ出現後、攻撃者は偽の証明を偽造できるようになる。

これはブロックチェーンにとって何を意味するか？

ほとんどのブロックチェーンはHNDL攻撃を受けにくい。

現在のビットコインやイーサリアムのような非プライバシーチェーンでは、非ポスト量子暗号は主にトランザクションの承認（つまりデジタル署名）に使用され、暗号化には使用されない。これらの署名はHNDLリスクを構成しない。例えばビットコインブロックチェーンは公開されており、量子脅威は署名の偽造（資金の盗難）にあり、既に公開されているトランザクションデータの解読にはない。これにより、HNDLからの即時の暗号学的緊急性は排除される。

残念ながら、米連邦準備制度理事会などの権威ある機関の分析でさえ、ビットコインがHNDL攻撃を受けやすいと誤って主張したことがあり、移行の緊急性を誇張している。

もちろん、緊急性が低いからといって、ビットコインが安心できるわけではない。それは、プロトコル変更に必要な巨大な社会的調整作業から生じる異なる時間的プレッシャーに直面している（詳細は後述）。

現在の例外はプライバシーチェーンだ。多くのプライバシーチェーンは受取人と金額を暗号化または隠蔽している。これらの機密情報は現在盗まれ、将来量子コンピュータが楕円曲線暗号を破った後に遡及的に匿名性を剥奪される可能性がある。攻撃の深刻さは設計によって異なる（例えば、Moneroのリング署名とキーイメージはトランザクショングラフの完全な再構築を可能にする可能性がある）。したがって、ユーザーが自身のトランザクションが将来の量子コンピュータによって暴露されないことを気にするなら、プライバシーチェーンはできるだけ早くポスト量子プリミティブ（またはハイブリッドスキーム）に移行するか、解読可能な秘密をオンチェーンに置かないアーキテクチャを採用すべきだ。

ビットコイン特有の難題：ガバナンスの行き詰まりと「休眠コイン」

ビットコインにとって、ポスト量子署名の計画を開始する緊急性を駆り立てる現実的な要因が二つあり、どちらも量子技術自体とは無関係だ：

• ガバナンスの遅さ：ビットコインの変化は遅く、どんな論争も破壊的なハードフォークを引き起こす可能性がある。
• 受動的移行の不可能性：コインの所有者は自身のコインを能動的に移行しなければならない。これは、放棄された量子脆弱なコインは保護されないことを意味する。このような「休眠」状態で量子脆弱なBTCは数百万枚、現在の価値で数千億ドルに達すると推定されている。

しかし、量子脅威はビットコインにとって「一夜にして」の終末ではなく、選択的で段階的な標的絞り込みプロセスに似ている。初期の量子攻撃は非常に高価で遅く、攻撃者は高価値のウォレットを選択的に狙うだろう。

さらに、アドレス再利用を避け、Taprootアドレス（後者はチェーン上で直接公開鍵を暴露する）を使用しないユーザーは、プロトコルのアップグレードがなくても基本的に安全だ——彼らの公開鍵は使用されるまでハッシュ値の背後に隠されている。支出トランザクションがブロードキャストされた時のみ公開鍵が暴露され、その時には短いリアルタイムの競争が発生する：誠実なユーザーはできるだけ早くトランザクションを確定させようとし、量子攻撃者はそれ以前に秘密鍵を計算してコインを盗もうとする。

したがって、真に脆弱なコインは、公開鍵が既に暴露されているものだ：初期のP2PKアウトプット、再利用アドレス、Taprootで保持されている資産。

既に放棄された脆弱なコインに対する解決策は厄介だ：コミュニティが「期限日」を合意し、その後移行されなかったコインを破棄されたものとみなすか、将来量子コンピュータを持つ者に奪われるに任せるかだ。後者は深刻な法的・安全上の問題をもたらす。

ビットコイン特有の最後の難題は、低いトランザクションスループットだ。移行計画が固まったとしても、現在のレートで全ての脆弱な資金を移行するには数ヶ月かかる。

これらの課題により、ビットコインは今すぐポスト量子移行の計画を開始しなければならない——量子コンピュータが2030年以前に出現する可能性があるからではなく、数千億ドル規模の資産を移行するために必要なガバナンス、調整、技術的な後方支援作業自体に数年かかるからだ。

ビットコインの量子脅威は現実的だが、時間的プレッシャーは主に差し迫った量子コンピュータではなく、その自身の制約に由来する。

注：上記の署名に関する脆弱性は、ビットコインの経済的安全性（つまり、Proof of Workコンセンサス）には影響しない。