Googleの量子コンピューティングにおける大躍進、暗号世界は早期に「鍵交換」を迫られる

オリジナル | Odaily (@OdailyChina)

著者｜Azuma (@azuma_eth)

量子コンピューティングが暗号通貨にもたらす脅威が、再び海外の議論の焦点となっている。

いわゆる「量子脅威」とは、将来、十分に強力な量子コンピュータが現在の暗号通貨のセキュリティを保護する暗号学的基盤を破る可能性があり、それによってそのセキュリティモデルが崩壊する恐れがあることを指す。

昨年11月、VitalikがDevconnectカンファレンスで量子脅威について言及した際、Odailyは『量子脅威論が再燃、暗号通貨の基盤は揺らいでいるのか？』という記事を書いた。当時の記事の核心的な論理は、量子脅威は客観的に存在するものの、第一に真の脅威が到来するまでにはまだ一定の時間があること、第二に暗号通貨はアップグレードによって耐量子アルゴリズムを導入し、「錠の交換」を完了できる可能性があるというものだった。

言い換えれば、「重視する価値はあるが、焦るほどではない」というものだった。しかし今回は、市場の雰囲気が明らかに変化している。

最近何が起きたのか？

今回、量子脅威が再び市場をかき乱すきっかけとなったのは、世界トップクラスの量子回路の専門家Craig Gidneyらが率いるGoogle Quantum AIチームが相次いで2つの動きを見せたことだ。

一つは、3月25日にGoogleが公式に、その耐量子暗号（PQC）移行のタイムラインを2029年を目標とすると発表したこと。もう一つは、3月31日にGoogle Quantum AIが暗号通貨業界向けに特別に研究レポートを発表し、最新の研究成果に基づくと、将来の量子コンピュータが暗号通貨を保護する楕円曲線暗号を解読するのに必要なリソースは、これまで認識されていたよりもはるかに少ないと直言したことだ。

Googleが3月31日に発表した記事と付随する研究レポートによると、同チームは256ビット楕円曲線離散対数問題（ECDLP-256）に対して、2つの新しいShorアルゴリズム量子回路をコンパイルした。一つは1200未満の論理量子ビットと9000万のToffoliゲートを必要とし、もう一つは1450未満の論理量子ビットと7000万のToffoliゲートを必要とする。

Googleはさらに、設定された超伝導量子コンピューティングアーキテクチャの仮定の下では、このような回路は理論上、「50万未満の物理量子ビット」を持つフォールトトレラント量子コンピュータ上で、数分以内に実行完了できると推定している。これまでの推定と比較すると、これはECDLP-256を解読するのに必要な物理量子ビットの数が約20倍減少したことを意味する。

これまで市場が量子脅威を「数百万、数千万の物理量子ビットが必要で、現実からは程遠い」と想像していたとすれば、Googleのこの論文がもたらす最大の衝撃は、一見手の届かないように見えたそのハードルを、現実世界に大きく引き寄せたことにある。

さらに興味深いのは、Googleが今回、従来の学術論文のように最も敏感な基盤回路の詳細を完全には公開せず、米国政府と協議し、ゼロ知識証明（ZK）の方法で自らの推定結果を証明したと表明したことだ。Googleは、この措置は基盤量子回路の開示を避け、第三者の悪用を防ぐためであると述べている。これはまた、Google自身も、今回の研究がもはや単なる紙上の技術的な誇示ではなく、実際のセキュリティ脅威を伴う能力の開示であると考えていることを示唆している。

これは何を意味するのか？

まず明確にすべきは、Googleが今回言っているのは「ビットコインやイーサリアムが明日にも攻撃される」ということではない。警戒すべきもう一つの事柄、すなわち現在主流の楕円曲線暗号を解読するのに必要な量子リソースのハードルが、著しく引き下げられたということだ。

前者は現実の攻撃が目前に迫っていることを意味し、後者は業界がこれまで持っていた時間的判断を修正する必要があることを意味する。昨年Vitalikが量子脅威を警告した時、業界はこの問題をより遠い将来のリスクとして理解していた。なぜなら、暗号システムを脅かす真の量子コンピュータはまだ非常に遠い未来のものだというのが主流の認識だったからだ。しかし、Googleの今回の研究は、元々はるか遠くに見えていたその警戒線を、大きく一歩前に押し進めたことに相当する。

これが、市場の反応が昨年よりも明らかに強くなり、多くの著名人がソーシャルメディアでGoogleのこの進展に対する驚きを表明した理由でもある。

Dragonfly Capitalのパートナー、Haseeb QureshiはXで次のように投稿した。「これは信じられないことだ…そしてGoogleが完全な回路を開示しなかったことは非常に異例であり、Googleがこの事態を重大視していることを示している。すべてのブロックチェーンは、できるだけ早く移行計画を策定する必要がある。耐量子時代はもはや演習ではない。」

量子コンピューティングに特化した元イーサリアム財団研究員のJustin Drakeも次のように述べている。「今日は量子コンピューティングと暗号学にとって画期的な日だ…チームとの対話に基づくと、Google Quantum AIの研究結果は控えめなものだと信じている。」

耐量子時代はもはや演習ではない

暗号通貨向けのこの研究レポートの中で、Googleは業界に向けて直接こう呼びかけている。「今行動を起こす緊急性が高まっている。」

耐量子暗号学が完全に未開拓の分野というわけではない。過去数年間、暗号通貨業界ではすでに複数の潜在的なアップグレード経路が議論されており、理論上の「新しい錠」がないわけではない。しかし、問題なのは、ブロックチェーン世界のアップグレードは、単なるアルゴリズムの置き換えほど単純ではなく、オンチェーンの互換性、ウォレットインフラストラクチャ、アドレス体系、ユーザーの移行コスト、そして最も厄介なコミュニティ調整問題などが絡み合っていることだ。特にビットコインやイーサリアムのような規模が大きく、歴史的な資産が複雑で、エコシステム参加者が多いネットワークでは、基盤暗号体系に関わるアップグレードは、論文1本やコミュニティでの数回の議論だけで迅速に完了することは不可能だ。プロトコル層、クライアント、ウォレット、取引所、カストディ機関、そして一般ユーザーまでもが共同で参加し、十分な長さの緩衝期間も必要となる。

しかし、客観的な現実は目の前に横たわっている。いずれにせよ、「錠の交換」の時間計画は前倒しされる必要がある。具体的なタイムテーブルについては、Googleは自社の移行目標を2029年と設定しており、Google Quantum AIも記事の中で、Coinbase、スタンフォードブロックチェーン研究所、イーサリアム財団などの機関と協力し、2029年の時間計画に沿って責任を持って推進していると述べている。

要するに、Googleが今回もたらしたのは、「暗号世界が明日にも量子コンピューティングによって滅びる」という終末の宣告ではなく、この爆弾に明確なカウントダウンを設定したということだ。

すべての暗号プロジェクトにとって、これは新たなセキュリティの分水嶺を意味する。誰がより早く問題を認識し、アップグレードを推進し、「錠の交換」を完了できるかが、次の時代において自らのセキュリティ境界を守り続ける可能性を左右する。