量子的ビットコイン解読カウントダウン:2032年までに確率50%?
- 核心的な見解:量子コンピュータによる暗号通貨などの暗号システムへの脅威(Q-Day)は急速に迫っており、Googleなどの研究チームによる画期的な最適化により、解読に必要なリソースが大幅に削減された。2032年までに発生確率は50%に達すると予測されているが、耐量子暗号への移行は慎重に進める必要があり、性急な行動は避けるべきである。
- 重要な要素:
- Googleによる楕円曲線暗号へのShorアルゴリズムの最適化により、10倍の性能向上が実現され、初めてゼロ知識証明(ZK)を使用して基礎となる回路の詳細を隠蔽したことで、学界で幅広い注目と再調査が喚起された。
- フランスの専門家André Schrottenloher氏は、論文発表からわずか2ヶ月後にGoogleの核心的な最適化を再発見し、その後「Shor-at-home」共同チャレンジを通じて、世界中のアマチュア愛好家がGoogleの回路に対して8.4%の改善を達成した。
- スタートアップ企業Ortatomicは、中性原子技術を組み合わせた物理層の最適化により、secp256k1上でShorアルゴリズムを実行するために必要な物理量子ビット数はわずか1万個で済むと主張している。この数字は従来の認識を大幅に下回るものであり、この技術ロードマップは既にGoogleの注目を集めている。
- 著者のJustin Drake氏は、公開情報および非公開情報に基づき、2032年までにQ-Dayが発生する確率を50%、2030年までに10%と予測し、米国政府が設定した2035年の移行期限は大幅に遅れていると見ている。
- 耐量子暗号への移行目標年として合理的なのは2029年であり、イーサリアム財団はハッシュベースのleanVMおよびSNARK技術を通じて、コンセンサス層、データ層、実行層における既存の署名とコミットメント方式の安全な置き換えを推進している。
- 現在、耐量子暗号の発展を促進するために、Proximity Prize(符号理論の予想の解決)とPoseidon Initiative(SNARKフレンドリーなハッシュ関数の解読)という、総額100万ドル規模の公開チャレンジが2つ存在する。
原文はビットコインセキュリティ研究者 Justin Drake より
翻訳|Odaily 星球日报 秦晓峰(@QinXiaofeng 888 )
編集者注:今年3月、Googleの量子研究チームは研究論文を発表し、将来の量子コンピュータが暗号通貨を保護する楕円曲線暗号を解読するのに必要なリソースが、これまで考えられていたよりもはるかに少なくて済むと述べ、量子コンピューティングによる暗号通貨への脅威が海外の議論の焦点となりました。興味深いことに、Googleの研究論文は基礎となる回路の詳細を完全には公開せず、米国政府との協議を経て、ゼロ知識証明(ZK)を用いて自らの推定結果を証明しました。このため、過去数ヶ月間、多くの技術専門家がGoogleの元の論文の詳細を解読しようと熱心に試みてきました。
6月2日、Google量子論文の共著者であり、ビットコインセキュリティ研究者 Justin Drake 氏は、2032年までにQ-Dayが発生する確率は50%であり、2030年まででは10%であると述べました。(Odaily注:Q-Day、すなわちQuantum Day(量子の日)とは、量子コンピュータが現在の主要な世界的暗号技術を解読できるほど強力になる日を指します。)
以下は原文の内容で、Odaily 星球日报が翻訳しました。お楽しみください~
————————————
今日、この熱狂的な量子の物語はますます奇妙になっています。
3月31日、Google Quantum AIチームは、Shorのアルゴリズムを楕円曲線暗号に適用する画期的な成果を発表しました。厳密に言えば、この論文は衝撃的でした。性能はこれまでの最先端と比較して10倍も向上しました。話題作りとブロックチェーン分野への警鐘として、これらの最適化はsecp256k1楕円曲線を例に説明されました。これはビットコインとイーサリアムの署名を支える楕円曲線です。
しかし、この論文の最も注目すべき点は、技術ではなくその社会的影響にあるかもしれません。彼らは標準的な学術プロセスに従わず、これらの最適化を秘密にし、ゼロ知識証明(ZK)の背後に隠しました。Googleの記事は「米国政府と接触した」と述べています。このZK証明は、アルゴリズムの改良を示す一方で、詳細を一切漏らしません。ゼロ知識証明を用いた学術的審査は、前例のないことです!
このGoogle論文の共同著者として、私は今回の審査を取り巻く背景の一部を目の当たりにしました。正直なところ、その背後には私を不安にさせる多くの要素があります。私は一般市民がより多くのことを知る権利があると確信していますが、内部告発できる手段は限られています。ただし、一点は明確にしておきます。Googleチームのプロフェッショナリズムは模範的であり、彼らは賞賛以外の何物にも値しません。
検閲は往々にして逆効果です。ストライサンド効果、すなわち何かを隠そうとすることでかえって注目を集めてしまう現象が、今日まさに起きています。まず第一に、Googleの重要な最適化はすでにフランス人によって再発見されました。さらに興奮させる展開として、「Shor-at-home」(自宅でShorを計算)と呼ばれる協力的な挑戦が開始されました。この取り組みのウェブサイトはecdsa[.]failであり、開始から数時間以内にShorのアルゴリズムの世界記録を更新しました。
第一部:8.4%の性能向上
まず、この再発見についてです。Googleの論文発表からわずか2ヶ月後、フランスの量子専門家André Schrottenloher氏が、この核心となる秘密の最適化を解読しました。彼の論文「楕円曲線離散対数のための最適化された点加算回路」は、本日arXivにアップロードされました。André氏に心からの祝意を表します。彼は、同じ問題に深く魅了され競い合っていた他の数人の専門家を打ち負かしました。また本日発表されたブログ記事で、Shor最適化の世界的権威であるCraig Gidney氏は、検閲の圧力により、この最適化を自ら丸一年間も秘匿していたことを明かしました。
興味深いことに、André氏はいくつかの小さな微最適化を見逃していました。これらには、Googleが当初発表したものと、その後発見されたいくつかの改良が含まれます。Shorのアルゴリズムにはおそらくまだ多くの余地が残っており、これがecdsa[.]failチャレンジの焦点となっています。ZK証明のために開発された検証プログラムは二重の役割を果たし、有効な提出物を自動的に選別します。数十もの小さな、そして極小の最適化が次々と現れています。本稿執筆時点では、論理量子ビット数とToffoliゲート数の積で測定して、Googleの回路から8.4%の向上が達成されています。素晴らしい!
この「挑発的な問題解決」の熱狂は、誰もが予想したよりも深く広がっています。ここ数週間で、事態はAndré氏や他の量子専門家の輪を超えて広がりました。舞台裏では、小さな愛好家軍団が静かに活動を始めています。Karpathy流の自律的研究に触発され、彼らはAIをShorのアルゴリズムに応用しました。皮肉なことに、あのZK証明の検証プログラムが、AIにとって完璧な報酬関数として機能しました。この現代的な研究スタイルの敷居は驚くほど低く、複数の非専門家、そして10代の若者までが、優れた最適化を見つけました。もしあなたが、他の自律的研究者と一緒に活動するTelegramグループに参加したいなら、私に連絡してください。
第二部:中性原子とQ-Day
物語はGoogleで終わりません。Googleが結果を発表したのと同じ日に、Oratomicという秘密のスタートアップが独自のShor論文を発表しました。この論文は大きな反響を呼び、最終的にはscirate[.]com(arXivの論文をランク付けするサイト)で最も多くの投票を獲得した論文となりました。
Oratomicの主張は非常に驚くべきものでした。彼らはGoogleの論理的最適化を基に、中性原子向けに調整された物理層の最適化を適用し、secp256k1上でShorのアルゴリズムを実行するのにわずか1万個の物理量子ビットで十分だと主張しました。この数字は信じられないほど低いものです。
Oratomicの論文が公開されたとき、私は中性原子についてほとんど何も知らず、興味をそそられてこの技術を探求することにしました。私はのめり込み、これに数百時間を費やしました。やや熱中して、見つけられる限りのYouTube動画を全て視聴し、多くの専門家と議論しました。
私の結論は、この技術は非常に、非常に堅牢であるということです。Google自身も最近、超伝導量子ビットへの注力から大きく方向転換し、中性原子ラボを設立することを決定しました。もしあなたがQ-Day(すなわち量子コンピュータが初めて実運用中の暗号を解読する日)を気にかけているなら、中性原子は注目に値します。私はZKProof暗号会議での30分の講演で、Shorと中性原子について私が学んだことの一部を共有しました。YouTubeで「zkproof neutral atom」を検索すれば見つかります。
これら2つの画期的な論文についての興味深い観察点があります。GoogleもOratomicも、自らの結果がQ-Dayに何を意味するかについて全く触れていません。タイムラインは一切なく、完全な沈黙です。ホワイトハットの量子暗号解析の全体的な意義が、まさにQ-Dayの推定に情報を提供し、一般市民が良い判断を下すのを助けることにあることを考えると、これは特に不可解です。
そこで、Scott Aaronson氏が4月29日のブログ記事で行ったように、私もこの沈黙の一部を埋めよう試みます。私が知る全ての情報、公開できない恐ろしい情報も含めて、私は今、2032年までにQ-Dayが発生する確率は50%、2030年まででは10%であると考えています。
ちなみに、逸話を一つ。米国政府は独自の日付を持っています。2035年です。この日付は米国国家安全保障局(NSA)に端を発し、後にNISTによって採用されました。この日付以降、米国政府のあらゆる部門は量子に脆弱な暗号システムを使用できなくなります。率直に言えば、後から見ればこの日付は冗談であり、完全に無視されるべきです。NISTがこの日付を数年早める調整を余儀なくされないとは、私には思えません。
第三部:耐量子暗号
本日、警鐘を鳴らす十分な理由がありますが、パニックにならないでください。未成熟な耐量子暗号へと急ぎ、無謀に移行することは災いを招きます。私見では、移行の良い目標日は2029年、今から約3年半後です。興味深いことに、2029年はGoogle、Cloudflare、そしてイーサリアム財団も選定した日付です。
最近、私はほとんどの時間を、「リーンイーサリアム(Lean Ethereum)」というより広い枠組みの下で、イーサリアムを耐量子暗号へ安全に移行することに費やしています。やるべきことはたくさんあります。コンセンサスレイヤーではBLS署名を削除して置き換え、データレイヤーではKZGコミットメントを置き換え、実行レイヤーではECDSA署名を置き換える必要があります。
この目標を達成するための計画はエキサイティングであり、ハッシュベースの暗号に基づいています。イーサリアム財団内部では、ハッシュベースのSNARKアルゴリズムを動力源とする、leanVM(github[.]com/leanEthereum/leanVM)と呼ばれるスイスアーミーナイフを開発しました。Emile氏、Thomas氏らの真に卓越した仕事のおかげで、性能上のリスクは排除されました。セキュリティ面では、leanVMは宝物であり、エンドツーエンドの形式的検証と究極のセキュリティのために設計された、洗練されたzkVMです。
助けたいですか? 2つのミリオンダラーレベルの取り組みがあります。第一に、Proximity Prize(proximityprize[.]org)です。符号理論における未解決の数学的予想を解き、ハッシュベースのSNARKを改良すれば、あなたは億万長者になれます。第二に、Poseidon Initiative(poseidon-initiative[.]info)です。SNARKフレンドリーなハッシュ関数であるPoseidonを破ることに対して100万ドルの賞金がかけられています。
