編集:フェリックス(PANews)
今週発表された2つの新しい研究論文(1つはGoogle、もう1つはカリフォルニア工科大学を拠点とするスタートアップ企業Oratomicの研究者によるもの)は、暗号学分野における長年の疑問を再び提起した。それは、量子コンピューティングが現代の暗号を破るほど強力になった場合、何が起こるのか、という疑問である。
研究者らは、この分野の進歩が、暗号技術やその他のデジタルインフラを支える暗号システムを、予想よりも早く脅かす可能性があると警告している。研究によると、将来の機械は、これまで考えられていたよりもはるかに少ない量子ビット数と計算ステップで、楕円曲線暗号(ECC)を破ることができるようになる可能性があるという。カリフォルニア工科大学(Caltech)は、必要な量子ビット数をわずか1万~2万と見積もっている。
両論文は、ECCの解読に必要なリソースが以前の推定よりも少ない可能性があり、多くの人がまだ遠い先のことだと考えていた解読までの期間が短縮されることを示唆している。
これらの調査結果を受けて、ビットコインのセキュリティ研究者であるジャスティン・ドレイク氏は、暗号を解読できる量子コンピュータが2032年までに登場する可能性は少なくとも10%あると述べた。グーグルの研究者であるクレイグ・ギドニー氏も、暗号を解読できる量子コンピュータが2030年までに存在する可能性は10%あると考えている。
量子コンピューティングはなぜウォレットを解読できるのか?
量子コンピュータは、従来のコンピュータとは異なる動作原理を持つ。ビットは0または1の2つの状態しか持たないが、量子コンピュータは複数の状態を同時にとることができる量子ビットを用いる。この特性により、特定のアルゴリズム(特にショアのアルゴリズム)を実行することが可能となり、理論的には、現代の暗号化の基盤となる数学的問題を、現在のコンピュータよりも効率的に解決できる可能性がある。
これらの数学的問題は、ビットコイン、イーサリアム、そしてインターネットの大部分の基盤を形成しています。ECCベースのシステムは、検証は容易である一方、リバースエンジニアリングは極めて困難になるように設計されています。現在、MetaMaskのような主流のウォレットはBIP32規格に基づいており、その利点は、すべての鍵をわずか12/24個のニーモニックフレーズから生成できることにあります。新しいアドレスは、秘密鍵を公開することなく、公開鍵のみを使用して生成できます。この設計の数学的基盤はECCです。
しかし、十分な性能を持つ量子コンピュータであれば、公開鍵から秘密鍵を導き出すことが可能となり、資金、個人情報、暗号化された通信が漏洩する恐れがある。これが現実となる瞬間は、「Qデー」と呼ばれることが多い。
ギャラクシー・デジタルのリサーチディレクター、アレックス・ソーン氏は、今後5年以内に量子コンピュータがビットコインを攻撃する確率は低いとしながらも、「Googleのこの研究は、今日から最終的な『Qデー』までの距離が、これまで考えられていたよりも近いことを示唆している」と述べた。それにもかかわらず、ビットコイン開発者たちは、対策や新たなポスト量子暗号統合スキームの研究を強化している。
ネットワークの種類によって課題は異なり、その影響を最も受けるのは従来型の金融機関だろう。
Dynamicの共同創業者兼CEOであるイタイ・ターバーン氏は、ブロックチェーン業界は「今すぐ行動を起こさなければならない」と述べたが、すべてのブロックチェーンが同じリスクに直面しているわけではないと警告した。
「アドレスが再利用されない場合、ビットコインのUTXOモデルは短期的な保護を提供できますが、イーサリアムのアカウントモデルには同様の代替手段はありません。しかし、過去に取引を行ったすべてのアカウントの公開鍵は、オンチェーンに永久的に保存されます。」「金融機関は、これが一律のリスクではないことを理解し、今すぐ対処する必要があります。」
この課題に対する評価はネットワークによって異なり、特定のプロジェクトへの影響についても専門家によって見解が分かれている。Sygnumのデジタル資産エコシステム研究責任者であるルーカス・シュヴァイガー氏は、イーサリアムは「アカウントの抽象化と量子問題への真剣な取り組みによって有利な立場にある」と述べる一方、「ビットコインの進むべき道は技術的な問題というよりはガバナンスと調整の問題だが、対処可能だ」と述べている。
BoundlessのCEOであるShiv Shankar氏は、これはブロックチェーン特有の問題ではないと考えている。「もし量子コンピューターがこの時間内に秘密鍵のセットを実際に復元できたとしたら、インターネット全体が危険にさらされるだろう。」
ルーカス・シュヴァイガー氏はまた、「暗号技術的に重要な量子コンピュータが登場した場合、敵対勢力の経済的動機は主に従来の金融インフラ、すなわち銀行、カストディアン、決済ネットワークを標的とするだろう。これらのインフラは世界中で約154兆ドルの債券資産と128兆ドルの株式資産を保護している」と述べている。「対照的に、暗号技術の影響はごくわずかであり、暗号エコシステムは主要な標的となる前に数多くの警告を受けるだろう。」
プロジェクト・イレブンは2つの解決策を提案した。
なお、プロジェクト・イレブンの複数の科学者が以前に、2つの暫定的な解決策を提案する研究論文を発表していることは特筆に値する。
1つ目の選択肢は、米国国立標準技術研究所(NIST)規格に基づいたML-DSAウォレットを使用することです。ML-DSAウォレットは拡張派生をサポートしており、ユーザーは親秘密鍵から子鍵を派生させることができ、鍵間の非相関性を維持(つまり、2つのアドレスが同じウォレットに属していることを誰も判断できない)し、証明可能な偽造不可能性(つまり、誰も署名を偽造できない)を実現します。
しかし、その限界は、非拡張派生をサポートしていない点にあります。ML-DSAの公開鍵は切り捨てられるため、ユーザーが望む線形性が損なわれます。したがって、ウォレットの監視のみに使用することはできず、公開鍵のみを使用して新しいアドレスを生成することもできません。
スキーム2では、ガウス分布鍵を使用するRaccoon署名スキームの改良版であるRaccoon-Gを使用します。Raccoon-Gは2つの問題を解決します。まず、チームはRaccoon-Gを改良し、完全な丸められていない公開鍵を発行するようにしました。これにより、サブキー導出に必要な線形構造が維持されます。ECCと同様に、公開鍵に情報を追加して別の有効な公開鍵を取得することも可能です。
第二に、ガウス分布には美しい数学的性質があります。2つのガウス分布の和は依然としてガウス分布ですが、分散は予測可能でわずかに大きくなります。したがって、親キーにランダム性を加えることで子キーを生成した場合、子キーの秘密分布は依然としてガウス分布になります。
もちろん、その配布範囲は広くなりますが、統計的には新しく生成された鍵と区別がつかないため、攻撃者は違いを検出できません。これは、わずかに温度の異なる2つのコップの水を混ぜるようなものです。結果として得られるのは、温度がわずかに異なるだけの水であり、誰もそれを注ぎたての水と区別することはできません。
しかし、Raccoon-Gはまだ標準化されていませんが、ユーザーエクスペリエンスを損なうことなく量子耐性のある移行を実現できることを実証しています。
では、量子リスクは短期的な技術的問題なのか、それとも長期的な存亡の危機なのか?シュヴァイガー氏は、どちらの表現も完全には捉えていないと考えている。「量子コンピューティングは現状では既存のブロックチェーンや公開鍵暗号方式に脅威を与えておらず、量子コンピューターが既存の署名方式を破るほど強力になる前に、これらの方式はほぼ確実に置き換えられるだろう。」
シュヴァイガー氏は、これは「長期的な技術的課題」ではあるものの、存亡の危機ではないと楽観的に述べた。「暗号コミュニティ(NISTのポスト量子標準を含む)とブロックチェーンプロジェクトは、既に緊急時対応計画の策定と移行経路のテストに取り組んでいる。」
関連記事: Googleの量子コンピューティングに関する論文が警告:暗号化されたウォレットは2029年までに9分で解読されるのか?
