著者: ジャスティン・セイラー
編集者: Plain Language Blockchain
暗号化に関連する量子コンピュータのタイムラインは誇張されることが多く、量子耐性暗号化への移行を求める緊急かつ包括的な要求につながっています。
しかし、これらの呼びかけでは、早期の移行にかかるコストとリスクが軽視されることが多く、さまざまな暗号プリミティブ間のリスク プロファイルが大きく異なる点も無視されています。
コストはかかるものの、耐量子暗号は即時の導入が求められます。HNDL(Harvest-Now-Decrypt-Later)攻撃は、現在暗号化された機密データが、数十年後であっても量子コンピュータが登場した暁には依然として価値があるため、現在進行中です。耐量子暗号にはパフォーマンスのオーバーヘッドと実装リスクが伴いますが、HNDL攻撃は長期的な機密性を必要とするデータに他に選択肢を与えません。
耐量子署名には異なる考慮事項があります。HNDL攻撃に対する脆弱性は低いものの、コストとリスク(サイズが大きい、パフォーマンスのオーバーヘッド、未熟な実装、エラーなど)を考慮すると、直ちに移行するのではなく、慎重に検討する必要があります。
これらの区別は非常に重要です。誤解があると費用対効果の分析が歪められ、バグなどのより重大なセキュリティリスクを見落としてしまう可能性があります。
耐量子暗号への移行を成功させる上での真の課題は、緊急性と実際の脅威を一致させることにあります。以下では、量子力学が暗号(暗号化、署名、ゼロ知識証明)に及ぼす脅威に関するよくある誤解を解き明かし、特にブロックチェーンへの影響に焦点を当てます。
タイムラインはどのように進んでいますか?
多くの議論があるにもかかわらず、暗号関連の量子コンピュータ(CRQC)が 2020 年代に出現する可能性は極めて低いです。
「暗号関連の量子コンピュータ」とは、ショアのアルゴリズムを十分な規模で実行し、楕円曲線暗号や RSA 攻撃を妥当な時間枠内 (たとえば、最大 1 か月の連続計算内) で破ることができる、フォールト トレラントなエラー訂正機能を備えた量子コンピュータを意味します。
公開されているマイルストーンやリソース見積もりを合理的に解釈する限り、暗号技術として実用的な量子コンピュータの実現には依然として程遠い。企業はCRQCが2030年より前、あるいは2035年よりずっと前に利用可能になると主張することもあるが、公開されている進捗状況はこれらの主張を裏付けていない。
背景として、現在のすべてのアーキテクチャ(トラップイオン、超伝導量子ビット、中性原子システム)において、今日の量子コンピューティング プラットフォームは、ショアのアルゴリズム攻撃 {RSA-2048} または {secp}256{k}1 を実行するために必要な数十万から数百万の物理量子ビット(エラー率とエラー訂正方式によって異なります)にはほど遠いものです。
制限要因は量子ビット数だけでなく、ゲートの忠実度、量子ビットの接続性、そして深層量子アルゴリズムの実行に必要な連続的なエラー訂正回路の深さも存在します。現在では1,000を超える物理量子ビットを持つシステムもありますが、当初の量子ビット数は誤解を招くものです。これらのシステムは、暗号関連の計算に必要な量子ビットの接続性とゲートの忠実度を欠いています。
近年のシステムは、量子誤り訂正が機能し始める物理的なエラー率に近づいていますが、数個の論理量子ビットを超える深さの永続的なエラー訂正回路を実証した例はありません。ましてや、ショアのアルゴリズムを実際に実行するために必要な、数千もの高忠実度、深い回路、フォールトトレラントな論理量子ビットは言うまでもありません。量子誤り訂正が原理的に実現可能であることを証明することと、暗号解読を実装するために必要な規模との間には、依然として大きな隔たりがあります。
要するに、量子ビットの数と忠実度の両方が数桁増加しない限り、暗号化用の量子コンピュータの実現にはまだまだ時間がかかるということです。
しかし、企業のプレスリリースやメディア報道は混乱を招く可能性があります。誤解や混乱を招くよくある原因としては、以下のようなものが挙げられます。
「量子優位性」を主張するデモンストレーションは現在、人間が作成したタスクに焦点を当てています。これらのタスクは実用性ではなく、既存のハードウェアで実行でき、かつ量子による大幅な高速化を示しているように見えるという理由で選ばれています。この事実は、発表ではしばしば隠蔽されています。
同社は数千個の物理量子ビットを実現したと主張している。しかし、これは量子アニーリングマシンを指しており、ショアのアルゴリズムを実行して公開鍵暗号を攻撃するために必要なゲートモデルマシンを指しているわけではない。
同社は「論理量子ビット」という用語を自由に使用できます。物理量子ビットはノイズを多く含みます。前述のように、量子アルゴリズムには論理量子ビットが必要です。ショアのアルゴリズムでは数千個の論理量子ビットが必要です。量子誤り訂正を用いれば、論理量子ビットは多数の物理量子ビット(エラー率に応じて、通常は数百から数千個)で実装できます。しかし、一部の企業はこの用語を過度に拡張しています。例えば、最近の発表では、距離2の符号とわずか2個の物理量子ビットを用いて論理量子ビットを実装したと主張していました。これは不合理です。距離2の符号はエラーを検出することはできますが、訂正することはできません。暗号解読のための真のフォールトトレラントな論理量子ビットには、それぞれ2個ではなく、数百から数千個の物理量子ビットが必要です。
より一般的には、多くの量子コンピューティングロードマップでは、「論理量子ビット」という用語を用いて、クリフォード演算のみをサポートする量子ビットを指しています。これらの演算は古典言語で効率的にシミュレートできるため、数千個の誤り訂正Tゲート(より一般的には非クリフォードゲート)を必要とするショアのアルゴリズムを実行するには不十分です。
ロードマップの 1 つが「X 年までに数千の論理量子ビットを達成する」ことを目指していたとしても、同社が同じ X 年にショアのアルゴリズムを実行して古典的な暗号を解読することを期待しているわけではない。
こうした慣行により、経験豊富な観察者の間でさえ、暗号量子コンピューターにどれほど近づいているかについての一般の認識は大きく歪められてきました。
言い換えれば、一部の専門家は確かにこの進歩に興奮している。例えば、スコット・アーロンソンは最近、「現在のハードウェア開発の驚異的なペース」を考えると、
私は現在、次の米国大統領選挙までに、ショアのアルゴリズムを実行するフォールトトレラントな量子コンピュータが登場する現実的な可能性があると信じている。
アーロンソンは後に、自身の発言が暗号学的に関連する量子コンピュータを意味するものではないと明言した。彼は、15 = 3 × 5 を因数分解する完全なフォールト トレラントなショアのアルゴリズムであっても、実装と見なされると主張した。これは、鉛筆と紙を使えばはるかに高速に実行できる計算である。量子コンピュータで 15 を因数分解する以前の実験では、完全なフォールト トレラントなショアのアルゴリズムではなく、簡略化された回路が使用されていたため、標準はショアのアルゴリズムの小規模な実装のままであり、暗号学的に関連するものではない。さらに、これらの実験で一貫して 15 が因数分解されたのには理由がある。15 を法とする算術計算は簡単だが、21 のような少し大きな数を因数分解するのははるかに困難である。したがって、21 を因数分解できると主張する量子実験では、通常、追加のヒントや近道に頼っている。
つまり、実用的な暗号化には極めて重要な、{RSA-2048} または {secp}256{k}1 を解読できる暗号化に関連した量子コンピュータが今後 5 年以内に登場することが期待されますが、それを裏付ける公に知られている進歩はありません。
10年という目標は、まだ野心的です。暗号化関連の量子コンピュータがまだ遠いことを考えると、進歩に期待を抱くことは、10年以上というタイムラインと全く同じです。
では、米国政府が2035年を政府システムの本格的なポスト量子(PQ)移行の期限と定めていることについてはどうでしょうか?大規模な移行を完了させるには妥当なタイムラインだと思います。しかし、暗号関連の量子コンピュータがそれまでに存在すると予測しているわけではありません。
HNDL 攻撃はどのような状況に適用されますか (また、どのような状況には適用されませんか)?
HNDL(Hidden-Nearest-Decryption)攻撃とは、攻撃者が暗号化されたトラフィックを一時的に保存し、関連する量子コンピュータが存在する場合にのみ復号することを指します。国家レベルの攻撃者であれば、米国政府の暗号化通信を大規模にアーカイブし、CRQC(Confidential Communications Control Center)が実際に存在してから数年後に復号しようとすることは間違いないでしょう。
このため、少なくとも 10 ~ 50 年以上の機密性を必要とする人にとっては、直ちに暗号化に移行する必要があります。
ただし、すべてのブロックチェーンが依存するデジタル署名は暗号化とは異なり、攻撃にまで遡ることができる機密性はありません。
言い換えれば、暗号量子コンピュータが登場すれば署名の偽造は確かに可能になるかもしれないが、過去の署名は暗号化されたメッセージのような秘密を「隠す」ことはできない。デジタル署名がCRQC以前に生成されたものであることを知っていれば、偽造は不可能だ。
このため、ポスト量子デジタル署名への移行は、ポスト量子暗号への移行ほど緊急性がありません。
主要なプラットフォームはそれに応じて対策を講じています。Chrome と Cloudflare は、トランスポート層セキュリティ (TLS) 暗号化用のハイブリッド {X}25519+{ML-KEM} を開始しました。
この記事では、読みやすさを考慮して暗号化スキームを使用しますが、厳密に言えば、TLS などの安全な通信プロトコルでは、公開鍵暗号化ではなく、鍵交換または鍵カプセル化メカニズムが使用されます。
ここでの「ハイブリッド」とは、耐量子暗号方式(ML-KEM)と既存の方式({X}25519)の両方を同時に用いることで、複合的なセキュリティ保証を実現することを意味します。こうすることで、ML-KEMによるHNDL攻撃を(うまくいけば)阻止しつつ、ML-KEMが今日のコンピュータに対してさえ安全でないことが判明した場合でも、{X}25519による従来のセキュリティを維持することが可能となります。
Apple の iMessage も、PQ3 プロトコルを介してこのハイブリッド量子暗号化を導入しており、Signal は PQXDH および SPQR プロトコルを介してこれを導入しています。
対照的に、現在の量子耐性署名方式ではパフォーマンスの低下が生じるため、重要なネットワーク インフラストラクチャへの量子耐性デジタル署名の導入は、暗号関連量子コンピュータが本当に実現するまで延期されています (これについては、この記事の後半で詳しく説明します)。
zkSNARK(ゼロ知識簡潔非対話型知識論証)は、署名と同様に、ブロックチェーンの長期的なスケーラビリティとプライバシーの鍵となります。これは、非耐量子暗号(現在の非耐量子暗号および署名方式と同様に楕円曲線暗号を使用)であっても、そのゼロ知識特性が耐量子暗号レベルに安全であるためです。
ゼロ知識特性により、秘密の証人に関する情報は証明において量子敵対者に対しても明らかにされないことが保証されるため、後で解読される「最初のアクセス」に利用できる機密情報は存在しません。
したがって、{zkSNARKs}はget-first-decrypt攻撃に対して容易に脆弱ではありません。今日生成される非ポスト量子署名が安全であるように、暗号学的に重要な量子コンピュータの出現以前に生成された{zkSNARK}の証明は、たとえ{zkSNARKs}が楕円曲線暗号を使用していたとしても、信頼できるものとなります(つまり、証明された文は絶対的に真実です)。暗号学的に重要な量子コンピュータの出現によってのみ、攻撃者は偽の文の説得力のある証明を見つけることができるでしょう。
これはブロックチェーンにとって何を意味するのでしょうか?
ほとんどのブロックチェーンはHNDL攻撃にさらされていません。
現在のビットコインやイーサリアムなどのほとんどの非プライバシー ブロックチェーンでは、トランザクションの承認に非ポスト量子暗号が主に使用されています。つまり、暗号化の代わりにデジタル署名が使用されます。
同様に、これらの署名はHNDLにとって脅威ではありません。「get-first-decrypt」攻撃は暗号化されたデータに適用されます。例えば、ビットコインのブロックチェーンは公開されていますが、量子コンピュータによる脅威は署名の偽造(資金を盗むための秘密鍵の導出)であり、既に公開されている取引データの復号ではありません。これにより、HNDL攻撃がもたらす暗号技術の緊急性は排除されます。
残念ながら、連邦準備制度のような信頼できる情報源による分析でさえ、ビットコインはHNDL攻撃に対して脆弱であると誤って主張しており、これは量子暗号への移行の緊急性を誇張する誤りです。
とはいえ、緊急性が低下したからといってビットコインが待てるわけではない。プロトコルの変更には膨大な社会的調整が必要となるため、ビットコインはタイムラインに関するさまざまなプレッシャーに直面している。
これまでの例外はプライバシーチェーンであり、その多くは受信者と金額を暗号化するか、その他の方法で隠蔽しています。量子コンピュータが楕円曲線暗号を解読できるようになれば、この機密性は確保され、遡及的に匿名性が解除される可能性があります。
このようなプライバシーチェーンの場合、攻撃の深刻度はブロックチェーンの設計によって異なります。例えば、Moneroの曲線ベースのリング署名とキーイメージ(二重支出防止のために各出力に付与されるリンク可能性タグ)の場合、公開台帳自体で支出グラフを遡及的に再構築できます。しかし、他のチェーンでは、被害はより限定的です。詳細については、Zcashの暗号エンジニア兼研究者であるSean Bowe氏の議論をご覧ください。
ユーザーの取引が暗号関連の量子コンピュータに公開されないことが重要である場合、プライバシーチェーンは可能な限り速やかに耐量子暗号プリミティブ(またはハイブリッド方式)に移行すべきである。あるいは、復号可能な秘密をオンチェーン上に置かないようなアーキテクチャを採用すべきである。
ビットコイン特有の課題:ガバナンスと陳腐化
特にビットコインにおいては、2つの現実が耐量子デジタル署名への移行を緊急に開始するきっかけとなっています。どちらも量子技術とは関係ありません。
懸念事項の一つはガバナンスのスピードです。ビットコインは変化が遅いのです。コミュニティが適切な解決策について合意できない場合、議論を呼ぶような問題が破壊的なハードフォークを引き起こす可能性があります。
もう一つの懸念は、ビットコインの移行後、量子署名を受動的に移行できないことです。つまり、所有者はコインを能動的に移行する必要があります。つまり、時代遅れで量子脆弱性のあるコインは保護されないということです。一部の推計によると、量子脆弱性があり、潜在的に時代遅れのBTCの数は数百万枚に上り、現在の価格(2025年12月時点)で数百億ドルの価値があるとされています。
しかし、ビットコインに対する量子脅威は、突然の一夜にして起こる大惨事ではなく、選択的かつ段階的な標的化プロセスとなるでしょう。量子コンピュータはすべての暗号を同時に解読することはできません。ショアのアルゴリズムは、一度に1つの公開鍵を攻撃対象とする必要があります。初期の量子攻撃は、非常にコストが高く、時間がかかります。したがって、量子コンピュータがビットコインの署名鍵を1つ解読できるようになれば、攻撃者は高額ウォレットを標的にするようになるでしょう。
さらに、アドレスの再利用を避け、公開鍵をチェーン上で直接公開するTaprootアドレスを使用しないユーザーは、プロトコルの変更がなくてもほぼ保護されています。コインが使用される前は、公開鍵はハッシュ関数の背後に隠されています。最終的に支出トランザクションをブロードキャストすると、公開鍵が可視化され、トランザクションの承認を求める誠実な支出者と、真の所有者のトランザクションが確定する前に秘密鍵を見つけてコインを使おうとする量子技術を備えた攻撃者との間で、短時間のリアルタイムの競争が始まります。したがって、真に脆弱なコインは、公開鍵が露出しているコイン、つまり初期のピアツーピアK出力、再利用されたアドレス、そしてTaproot保有物です。
脆弱な暗号通貨が放置されている場合、簡単な解決策はありません。いくつかの選択肢としては、以下のようなものがあります。
ビットコインコミュニティは「マーク日」に同意し、その日以降に移行されていないコインは破棄されると宣言しました。
廃棄された量子脆弱コインは、暗号に関連する量子コンピュータを所有している人なら誰でも簡単に押収できます。
2つ目の選択肢は、深刻な法的およびセキュリティ上の問題を引き起こす可能性があります。量子コンピュータを用いて秘密鍵なしでコインを保有することは、たとえ法的所有権や善意を主張したとしても、多くの法域において窃盗およびコンピュータ詐欺に関する法律の下で深刻な問題を引き起こす可能性があります。
さらに、「陳腐化」という用語自体が、使用されていないという推定に基づいています。しかし、これらのコインに鍵を持つ現存の所有者がいないかどうかは、誰にも分かりません。かつてこれらのコインを所有していたという証拠だけでは、暗号を解読して回収する法的権限を与えられない可能性があります。この法的曖昧さにより、陳腐化して脆弱な量子コインが、法的規制を無視する悪意のある者の手に渡る可能性が高まります。
ビットコイン特有の最後の問題は、トランザクションスループットの低さです。移行計画が確定し、量子コンピュータに脆弱な資金がすべてポスト量子コンピュータ対応のアドレスに移行されたとしても、ビットコインの現在のトランザクションレートでは、数ヶ月かかるでしょう。
これらの課題により、ビットコインが次の量子移行の計画を今すぐに開始することが極めて重要になります。これは、暗号化量子コンピューターが 2030 年より前に登場する可能性がないからではなく、数十億ドル相当のコインを移行するために必要なガバナンス、調整、および技術的ロジスティクスを解決するには何年もかかるからです。
ビットコインに対する量子脅威は現実のものですが、タイムラインへのプレッシャーは、量子コンピュータの迫り来る脅威ではなく、ビットコイン自身の限界に起因しています。他のブロックチェーンが量子脆弱性への資金調達の課題に直面している一方で、ビットコインは独自の脆弱性に直面しています。初期のトランザクションは公開鍵への支払い(ピアツーピアK)出力を使用しており、公開鍵が直接チェーン上に配置されるため、BTCの大部分が暗号関連の量子コンピュータによる攻撃に対して特に脆弱でした。この技術的な差異は、ビットコインの古さ、価値の集中、低いスループット、そして厳格なガバナンスと相まって、問題を悪化させています。
上記で説明した脆弱性は、ビットコインのデジタル署名の暗号セキュリティに当てはまるものであり、ビットコインブロックチェーンの経済的セキュリティには当てはまらないことに注意してください。この経済的セキュリティは、プルーフ・オブ・ワーク(PoW)コンセンサスメカニズムに由来しており、以下の3つの理由から量子コンピュータによる攻撃は容易ではありません。
PoW はハッシュに依存しているため、ショアのアルゴリズムの指数関数的な高速化ではなく、グローバーの検索アルゴリズムの二次量子高速化によってのみ影響を受けます。
グローバー探索を実装する際の実際的なオーバーヘッドにより、量子コンピュータがビットコインの作業証明メカニズムを少しでも高速化できる可能性は極めて低くなります。
大幅な速度向上があったとしても、こうした速度向上によって大規模な量子マイナーは小規模なマイナーに対して優位に立つことになるが、ビットコインの経済的セキュリティモデルが根本的に損なわれることはないだろう。
量子耐性署名のコストとリスク
ブロックチェーンが量子耐性署名の導入を急ぐべきでない理由を理解するには、パフォーマンスコストと量子耐性セキュリティがまだ進化しているという確信を理解する必要があります。
ほとんどの量子耐性暗号は、次の 5 つの方法のいずれかに基づいています。
- ハッシュ
- エンコーディング
- 格子
- 多変数二次方程式(MQ)
- 同質生成。
なぜ5つの異なるアプローチがあるのでしょうか?あらゆる耐量子暗号プリミティブのセキュリティは、量子コンピュータが特定の数学的問題を効率的に解くことができないという仮定に基づいています。問題がより「構造化」されているほど、そこから構築できる暗号プロトコルはより効率的になります。
しかし、これには長所と短所があります。追加の構造は、攻撃アルゴリズムが悪用できる余地も増やしてしまいます。これは根本的な矛盾を生み出します。より強い仮定はより良いパフォーマンスを達成できる一方で、潜在的なセキュリティ脆弱性(つまり、仮定が誤りであることが証明される可能性が高まる)を犠牲にしてしまうのです。
一般的に、ハッシュベースの方式はセキュリティの観点から最も保守的です。これは、量子コンピュータがこれらのプロトコルを効果的に攻撃できないという確信が最も強いためです。しかし、パフォーマンスは最も低いものでもあります。例えば、NISTによって標準化されたハッシュベースの署名方式は、最小限のパラメータ設定でも7~8KBのサイズになります。一方、今日の楕円曲線ベースのデジタル署名はわずか64バイトです。これは約100倍のサイズ差です。
格子暗号方式は、今日の導入における主要な焦点となっています。NISTは標準化に格子暗号方式を採用しており、3つの署名アルゴリズムのうち2つも格子暗号方式を採用しています。格子暗号方式の一つ(ML-DSA、旧称Dilithium)は、2.4KB(128ビットセキュリティ時)から4.6KB(256ビットセキュリティ時)までの署名を生成します。これは、今日の楕円曲線暗号方式の約40~70倍の大きさです。もう一つの格子暗号方式であるFalconは、署名サイズがやや小さく(Falcon-512では666バイト、Falcon-1024では1.3KB)、複雑な浮動小数点演算を伴うため、NIST自身も実装上の課題として挙げています。Falconの開発者の一人であるThomas Porninは、Falconを「私がこれまで実装した中で最も複雑な暗号アルゴリズム」と評しました。
格子ベースのデジタル署名の実装は、楕円曲線ベースの署名方式よりも困難です。ML-DSAは、より機密性の高い中間データと非自明な拒否ロジックを持つため、サイドチャネル攻撃やフォールト保護が必須となります。Falconは定数時間浮動小数点問題を追加しており、実際、Falcon実装に対するサイドチャネル攻撃によって秘密鍵が復元された事例が複数あります。
これらの問題は、暗号化関連の量子コンピュータがもたらす遠い脅威とは異なり、差し迫ったリスクをもたらします。
より高性能な耐量子暗号方式を導入する際には、慎重になる十分な理由があります。歴史的に、Rainbow(MQベースの署名方式)やSIKE/SIDH(ホモロジーベースの暗号化方式)といった有力候補は、量子コンピュータではなく、現代のコンピュータを用いて古典的に解読されました。
これはNIST標準化プロセスのかなり後期に起こった出来事です。これは健全な科学の成果ですが、時期尚早な標準化と導入は逆効果になり得ることを示しています。
前述の通り、インターネットインフラは署名の移行に慎重なアプローチを取っています。インターネットの暗号技術への移行開始に長い時間がかかることを考えると、これは特に注目に値します。MD5とSHA-1ハッシュ関数は数年前にネットワーク管理者によって技術的に放棄されましたが、インフラへの実際の実装には何年もかかり、場合によってはまだ移行が進行中です。これは、これらのスキームが将来の技術に対して潜在的に脆弱であるだけでなく、完全に脆弱であるためです。
ブロックチェーンとインターネットインフラ特有の課題
幸いなことに、EthereumやSolanaのようなオープンソース開発者コミュニティによって積極的に維持されているブロックチェーンは、従来のネットワークインフラよりもはるかに迅速にアップグレードできます。一方、従来のネットワークインフラは頻繁な鍵ローテーションの恩恵を受けており、初期の量子マシンが標的としていたよりもはるかに速く攻撃対象領域が移動します。これは、コインとそれに関連付けられた鍵が無期限に公開される可能性があるブロックチェーンにはない利点です。
しかし、一般的にブロックチェーンは、ネットワークの綿密に検討された署名移行アプローチを遵守すべきです。どちらの署名設定もネットワークをHNDL攻撃にさらすことはありません。また、鍵の永続性に関わらず、未熟な耐量子暗号方式への時期尚早な移行にかかるコストとリスクは依然として大きいです。
ブロックチェーン特有の課題もあり、早すぎる移行は特にリスクが高く複雑になります。例えば、ブロックチェーンは署名スキームに独自の要件があり、特に多数の署名を迅速に集約する能力が求められます。現在、BLS署名は非常に高速な集約を実現できるため広く使用されていますが、耐量子暗号に対して安全ではありません。研究者たちはSNARKベースの耐量子暗号署名集約を研究しています。この研究は有望ですが、まだ初期段階にあります。
SNARKに関して、コミュニティは現在、耐量子暗号の有力な選択肢としてハッシュベースの構造に注目しています。しかし、大きな変化が迫っています。今後数ヶ月、数年のうちに、格子ベースの選択肢が魅力的な代替手段となると私は考えています。これらの代替手段は、証明の短縮など、様々な面でハッシュベースの{SNARK}よりも優れた性能を発揮します。これは、格子ベースの署名がハッシュベースの署名よりも短いことと同様です。
今の大きな問題は、セキュリティの達成だ
今後数年間、脆弱性の悪用は、暗号関連の量子コンピュータよりも大きなセキュリティリスクをもたらすでしょう。{SNARK}の場合、最大の懸念はプログラムエラー(バグ)です。
プログラムエラーはデジタル署名や暗号化方式において既に課題となっており、{SNARK}はさらに複雑です。実際、デジタル署名方式は「私は自分の公開鍵に対応する秘密鍵を知っており、このメッセージを承認する」と宣言する非常に単純な{zkSNARK}と見なすことができます。
耐量子署名における差し迫ったリスクには、サイドチャネル攻撃やフォールトインジェクション攻撃といった実装攻撃も含まれます。これらの攻撃は十分に文書化されており、導入済みのシステムから秘密鍵を抜き出すことが可能です。これは、遠く離れた量子コンピュータよりも差し迫った脅威となります。
コミュニティは、{SNARK}の手続き上のバグを特定・修正し、耐量子署名の実装を強化してサイドチャネル攻撃やフォールトインジェクション攻撃に対抗するために、今後何年も取り組んでいくでしょう。耐量子{SNARK}と署名集約スキームに関する議論はまだ収束していないため、移行が早すぎるブロックチェーンは、最適ではないソリューションに縛られてしまうリスクがあります。より良い選択肢が登場したり、実装上の脆弱性が発見されたりした際には、再度の移行が必要になる可能性があります。
私たちは何をすべきか?7つの提案
上記で概説した現実を踏まえ、開発者から政策立案者まで、様々な利害関係者へのアドバイスを最後に述べたいと思います。基本原則は、量子コンピュータの脅威を真剣に受け止めつつ、暗号技術に有用な量子コンピュータが2030年より前に登場するという前提で行動しないことです。この前提は、現在の開発状況によって裏付けられていません。しかしながら、今できること、そしてすべきことはまだあります。
ハイブリッド暗号化をすぐに導入する必要があります。
あるいは、少なくとも長期的な機密性が重要であり、コストが許容できる場合。
多くのブラウザ、CDN、メッセージングアプリケーション(iMessageやSignalなど)は、ハイブリッドアプローチを採用しています。これらのハイブリッドアプローチ(耐量子暗号と従来暗号)は、HNDL攻撃を防御しながら、耐量子暗号ソリューションの潜在的な弱点を軽減することができます。
サイズが許容範囲内になったらすぐにハッシュベースの署名を使用します。
ソフトウェア/ファームウェアのアップデートなど、頻度が低く、サイズを考慮に入れないシナリオでは、ハイブリッドハッシュベース署名を直ちに導入する必要があります。(ハイブリッドアプローチは、新しいスキームの実装上の欠陥を回避するためのものであり、ハッシュベース署名のセキュリティ上の前提に疑問があるからではありません。)
これは保守的な考え方であり、暗号用量子コンピュータが予想よりも早く登場するという、あり得ない事態に備え、社会に明確な「救命ボート」を提供するものです。耐量子署名ソフトウェアのアップデートを事前に導入しておかなければ、CRQCの出現後にブートストラッピング問題に直面することになります。つまり、CRQCに対する防御に必要な耐量子暗号の修正を安全に配布できなくなるのです。
ブロックチェーンでは、耐量子署名の導入を急ぐ必要はありませんが、計画はすぐに開始する必要があります。
ブロックチェーン開発者は、ネットワークPKIコミュニティのリーダーシップに倣い、耐量子署名の導入に慎重なアプローチを採用すべきです。これにより、耐量子署名スキームは、パフォーマンスとセキュリティに関する理解の両面で成熟し続けることができます。また、このアプローチにより、開発者はシステムの再構築に時間を割き、より大きな署名を処理できるようにし、より優れた集約技術を開発することができます。
ビットコインをはじめとするL1暗号資産については、コミュニティは、放棄された量子脆弱性のある資金に関する移行パスとポリシーを定義する必要があります。受動的な移行は現実的ではないため、計画が不可欠です。また、ビットコイン特有の非技術的な課題(ガバナンスの遅さと、高価値で放棄される可能性のある量子脆弱性のあるアドレスの多さ)を考慮すると、ビットコインコミュニティが今すぐ計画を開始することが特に重要です。
同時に、耐量子暗号(SNARK)と集約可能な署名に関する研究が成熟するまで待つ必要があります(これにはさらに数年かかる可能性があります)。繰り返しますが、時期尚早な移行は、最適ではないソリューションに縛られてしまうリスクや、実装エラーを解決するために再移行が必要になるリスクを伴います。
Ethereum のアカウント モデルに関する注意: Ethereum は、量子コンピュータ移行に異なる影響を与える 2 つのアカウント タイプをサポートしています。1 つは外部所有アカウント (EOA) で、{secp}256{k}1 秘密鍵によって制御される従来のアカウント タイプです。もう 1 つは、プログラム可能な認証ロジックを備えたスマート コントラクト ウォレットです。
緊急でない状況では、イーサリアムが耐量子署名のサポートを追加した場合、アップグレード可能なスマート コントラクト ウォレットは、コントラクトのアップグレードを通じて耐量子検証に切り替えることができます。一方、EOA は資金を新しい耐量子セキュリティ アドレスに転送する必要がある可能性があります (ただし、イーサリアムは EOA 専用の移行メカニズムも提供する可能性があります)。
量子緊急事態が発生した場合、イーサリアムの研究者は、脆弱なアカウントを凍結し、ユーザーが耐量子耐性を持つ{SNARK}を用いてニーモニックフレーズの知識を証明することで資金を回復できるようにするハードフォーク計画を提案しました。この回復メカニズムは、EOAおよびまだアップグレードされていないスマートコントラクトウォレットで機能します。
ユーザーへの実質的な影響:適切に監査され、アップグレード可能なスマートコントラクトウォレットは、移行パスが若干スムーズになる可能性がありますが、その差は小さく、ウォレットプロバイダーへの信頼性とアップグレードガバナンスに関してトレードオフを伴います。さらに重要なのは、イーサリアムコミュニティが耐量子暗号プリミティブと緊急時対応計画の策定に取り組んでいることです。
開発者にとってのより広範な設計上の教訓:今日の多くのブロックチェーンは、アカウントIDを特定の暗号プリミティブに密接に結合しています。ビットコインとイーサリアムは{secp}256{k}1のECDSA署名を使用し、その他のチェーンはEdDSAを使用しています。量子コンピュータへの移行における課題は、アカウントIDを特定の署名スキームから切り離すことの価値を浮き彫りにしています。イーサリアムのスマートアカウントへの取り組みや、他のチェーンにおける同様のアカウント抽象化は、このトレンドを反映しています。つまり、アカウントはチェーン上の履歴や状態を放棄することなく、認証ロジックをアップグレードできます。この分離によって量子コンピュータへの移行が容易になるわけではありませんが、アカウントを単一の署名スキームにハードコーディングするよりも柔軟性が高まります。(これにより、スポンサー付きトランザクション、ソーシャルリカバリ、マルチ署名といった無関係な機能も可能になります。)
トランザクションの詳細を暗号化または非表示にするプライバシー チェーンの場合、パフォーマンスが許容範囲内であれば、早期の移行を優先する必要があります。
これらのチェーン上のユーザーの機密性は現在、HNDL攻撃にさらされていますが、その深刻度は設計によって異なります。公開台帳のみで完全なトレーサビリティと非匿名化を実現できるチェーンは、最も差し迫ったリスクに直面しています。
見かけ上の量子耐性スキームが古典的な基準でも安全でないことが証明されるのを防ぐために、ハイブリッド スキーム (量子耐性 + 古典的) を検討したり、チェーン上に復号可能な秘密を配置することを回避するアーキテクチャの変更を実装したりします。
短期的には、量子脅威を軽減することよりも、セキュリティを実現することが優先されます。
特に、SNARK や量子耐性署名などの複雑な暗号プリミティブの場合、プログラム エラーや実装攻撃 (サイド チャネル攻撃、フォールト インジェクション) は、今後数年間で暗号関連の量子コンピューターよりもはるかに大きなセキュリティ リスクをもたらすことになります。
今すぐ、監査、ファジング、形式検証、多層防御/階層化セキュリティ アプローチに投資してください。量子に関する懸念が、より差し迫った手続き上のエラーの脅威を覆い隠さないようにしてください。
量子コンピューティングの開発に資金を提供します。
上記のすべてが国家安全保障に及ぼす重要な影響の 1 つは、量子コンピューティングへの資金提供と人材育成を継続する必要があることです。
主要な敵対国が米国よりも先に暗号化関連の量子コンピューティング能力を獲得したという事実は、米国および世界の他の国々にとって重大な国家安全保障上のリスクとなります。
量子コンピューティングに関する発表について最新情報を入手してください。
量子ハードウェアが成熟するにつれ、今後数年間は数多くのマイルストーンが達成されるでしょう。逆説的ですが、こうした発表の頻度自体が、暗号技術に応用可能な量子コンピュータの実現がいかに遠いかを物語っています。それぞれのマイルストーンは、その実現に至るまでに私たちが越えなければならない多くの課題の一つであり、それぞれのマイルストーンが独自の見出しと興奮の波を生み出すでしょう。
プレスリリースを、突然の行動を促すものとしてではなく、批判的な評価を必要とする進捗状況の報告として扱ってください。
もちろん、予想されたタイムラインを加速させる驚くべき開発や革新があるかもしれないし、それを延長させる深刻なスケーリングのボトルネックがあるかもしれない。
暗号機能を備えた量子コンピュータが5年以内に登場することが絶対に不可能だとは言いませんが、極めて可能性が低いと言えるでしょう。上記の推奨事項はそのような不確実性にも耐えうるものであり、これらに従うことで、実装ミス、性急な導入、そして欠陥のある暗号技術移行に伴うよくある落とし穴といった、より差し迫った、そして起こり得るリスクを回避することができます。
