a16zの1万語記事(パート1):誤解されている「量子超越性」—2030年までパニックになる必要はない

  • 量子脅威の現実: 暗号関連量子コンピュータ(CRQC)の実現は2030年代でも不確実であり、現在の量子技術は暗号解読に必要な規模(数十万~数百万の高忠実度論理量子ビット)には程遠い。メディアの「量子超越性」主張は、特定のデモや用語の誤用に基づくことが多い。
  • 暗号化 vs. 署名の緊急性: 「ハンター優先復号」(HNDL)攻撃のリスクから、長期機密性が必要なデータ(例:政府通信)では量子耐性暗号への早期移行が不可欠。一方、ブロックチェーンなどで使われるデジタル署名はHNDLの影響を受けず、移行の緊急性は低い。
  • 業界の対応: Chrome、Cloudflare、Apple iMessageなどはハイブリッド量子暗号を導入済みだが、耐量子署名の本格導入はパフォーマンス課題(処理速度低下、データ肥大化)により、CRQCが現実的脅威となるまで延期される見込み。
  • ゼロ知識証明(zkSNARKs)の安全性: 既存の楕円曲線を用いたzkSNARKsもHNDL攻撃には脆弱ではなく、量子コンピュータ登場以前の証明は将来も有効。ただし、CRQC実現後は証明の偽造が可能になるため、長期的な移行は必要。
要約

現在、「暗号関連量子コンピュータ(CRQC)」がいつ誕生するかについての市場予測は、往々にして過激かつ誇張されており、量子耐性暗号への即時かつ包括的な移行を求める声につながっています。

しかし、これらの呼びかけでは、早期の移行にかかるコストとリスク、また、さまざまな暗号プリミティブ間のリスク属性の大幅な違いが見落とされがちです。

  • 量子暗号は、そのコストの高さにもかかわらず、早急に導入する必要がある。「ハンター優先復号」(HNDL)攻撃は既に発生している。今日暗号化された機密データは、量子コンピュータが存在する数十年後でも依然として価値がある可能性がある。量子暗号の実装にはパフォーマンスのオーバーヘッドと実行リスクが伴うものの、HNDL攻撃に対して長期的な機密性を必要とするデータに代わる選択肢はない。
  • 耐量子署名は全く異なる計算ロジックを採用しており、HNDL攻撃の影響を受けません。さらに、耐量子署名のコストとリスク(データの大規模化、パフォーマンスの低下、未成熟な技術、潜在的なバグ)を考慮すると、性急な移行ではなく、慎重な移行戦略を採用する必要があります。

これらの違いを明確にすることは非常に重要です。誤解があると費用対効果の分析が歪められ、コードバグなどのより重大なセキュリティリスクを見落としてしまう可能性があります。

耐量子暗号への移行において真の課題は、緊急性と実際の脅威を一致させることにあります。以下のセクションでは、暗号化、署名、ゼロ知識証明(特にブロックチェーンへの影響)を取り上げ、量子脅威に関するよくある誤解を解き明かします。

量子脅威から私たちはどれくらい離れているのでしょうか?

誇大宣伝にもかかわらず、2020年代に「暗号関連量子コンピュータ(CRQC)」が登場する可能性は極めて低い。

「CRQC」とは、楕円曲線暗号や RSA を攻撃するために妥当な時間枠内でショアのアルゴリズムを実行できるほど十分な大きさの、フォールト トレラントでエラー訂正機能を備えた量子コンピュータを意味します (たとえば、secp256k1 または RSA-2048 を最大で 1 か月以内に解読する)。

公開されているマイルストーンや資源推定値を冷静に見てみると、そのような機械の実現にはまだまだ遠いことがわかります。一部の企業はCRQCが2030年または2035年までに利用可能になると主張していますが、現在判明している進捗状況はこれらの主張を裏付けるものではありません。

客観的に言えば、イオントラップ、超伝導量子ビット、中性原子システムなど、現在のすべての技術アーキテクチャを見ると、ショアのアルゴリズムを実行するために必要な数十万から数百万の物理量子ビットに近いプラットフォームは現在存在しません (エラー率とエラー訂正方式によって異なります)。

制限要因には、量子ビットの数だけでなく、ゲートの忠実度、量子ビットの接続性、そして深層量子アルゴリズムの実行に必要な連続的なエラー訂正回路の深さも含まれます。現在、1,000を超える物理量子ビットを備えたシステムもありますが、その数だけを見ると誤解を招きます。これらのシステムは、暗号計算に必要な接続性と忠実度を欠いているからです。

近年のシステムは、物理エラー率の観点から量子エラー訂正が効果を発揮する閾値に近づきつつあるが、持続的なエラー訂正回路の深さを持つ数個の論理量子ビット以上を実証した例はまだない。ましてや、ショアのアルゴリズムを実行するために実際に必要とされる、数千個の高忠実度、深層回路、フォールトトレラントな論理量子ビットについてはまだ誰も実証していない。「量子エラー訂正が原理的に実現可能であることを証明すること」と「暗号解読に必要な規模を達成すること」の間には、依然として大きな隔たりがある。

要するに、量子ビットの数と忠実度の両方が数桁増加しない限り、CRQC の実現にはまだまだ遠い道のりが残っています。

しかし、企業のプレスリリースやメディア報道によって、人々は簡単に混乱してしまうことがあります。よくある誤解の原因をいくつか挙げてみましょう。

  • 「量子優位性」を主張するデモンストレーション:これらのデモンストレーションは現在、人間が作成したタスクを対象としています。これらのタスクが選ばれたのは、実用的だからではなく、既存のハードウェアで実行でき、量子による大幅な高速化を実現できるからです。この事実は、発表ではしばしば隠蔽されています。
  • 数千の物理的量子ビットを所有していると主張する企業: これは通常、量子アニーラーを指し、ショアのアルゴリズムを実行して公開鍵暗号を攻撃するために必要なゲートモデルマシンを指しません。
  • 「論理量子ビット」という用語の誤用:量子アルゴリズム(ショアのアルゴリズムなど)は、数千個の安定した論理量子ビットを必要とします。量子誤り訂正技術を用いることで、1つの論理量子ビットを多数の物理量子ビット(通常は数百から数千個)を用いて実装できます。しかし、一部の企業はこの用語を不合理なほど誤用しています。例えば、最近の発表では、論理量子ビット1つにつきわずか2個の物理量子ビットを用いて48個の論理量子ビットを実装したと主張していました。この低冗長性のコードはエラーを検出することはできますが、訂正することはできません。暗号解読に使用される真のフォールトトレラントな論理量子ビットは、それぞれ数百から数千個の物理量子ビットを必要とします。
  • 定義を弄ぶ:多くのロードマップでは、「論理量子ビット」はクリフォード演算のみをサポートする量子ビットを指して使用されています。これらの演算は古典コンピュータで効率的にシミュレートできるため、ショアのアルゴリズムを実行するには不十分です。

ロードマップの目標が「X年までに数千の論理量子ビットを達成する」ことであったとしても、その企業がその年にショアのアルゴリズムを実行して古典的な暗号を解読できるようになることを期待しているわけではない。

こうしたマーケティング戦略は、量子力学の差し迫った脅威に対する一般大衆(さらにはベテランの観察者)の認識をひどく歪めています。

それでもなお、一部の専門家は確かにこの進歩に興奮している。スコット・アーロンソン氏は最近、ハードウェアの進歩のペースを考えると、「次期米国大統領選挙までにショアのアルゴリズムを実行するフォールトトレラントな量子コンピュータを開発することは可能だ」と述べた。しかし、彼は同時に、これは暗号技術を脅かす可能性のあるCRQCとは異なると明言した。フォールトトレラントなシステムにおいて、15 = 3 × 5を単純に因数分解するだけでも「予測成功」と見なされるだろう。これは明らかにRSA-2048の解読とは次元が違う。

実際、「分解 15」を含むすべての量子実験では、完全なフォールト トレラント ショアのアルゴリズムの代わりに簡略化された回路が使用されています。一方、分解 21 では追加のヒントとショートカットが必要です。

つまり、今後 5 年以内に RSA-2048 または secp256k1 を解読できる量子コンピュータを構築できることを証明する、公開されている進捗状況は存在しません。

10年以内であっても、これは依然として非常に大胆な予測です。

米国政府は、量子コンピュータ技術に対応した政府システムの移行を2035年までに完了することを提案している。これは移行プロジェクト自体のタイムラインであり、その時期にCRQCが登場するという予測ではない。

HNDL 攻撃はどの暗号システムに適用されますか?

「HNDL(Harvest Now, Decrypt Later)」とは、攻撃者が暗号化された通信を現在保存し、量子コンピュータが利用可能になったときに後で復号することを指します。

国家レベルの敵対勢力は、将来の解読に備えて、米国政府の暗号化された通信を既に大規模にアーカイブしている可能性があります。したがって、特に機密保持期間が10~50年以上のシナリオでは、暗号化システムを直ちに移行する必要があります。

ただし、すべてのブロックチェーンが依存するデジタル署名は暗号化とは異なり、攻撃のために追跡できる機密情報は含まれていません。

つまり、量子コンピュータが登場すれば、その瞬間から署名を偽造することは確かに可能になるが、過去の署名は影響を受けない。なぜなら、公開すべき秘密がなく、署名が CRQC の出現以前に生成されたことが証明できる限り、署名を偽造することはできないからだ。

したがって、量子耐性署名への移行の緊急性は、暗号の移行の緊急性よりもはるかに低くなります。

主流のプラットフォームも、同様の戦略を採用しています。

  • Chrome と Cloudflare は、TLS のハイブリッド モードで X25519+ML-KEM を導入しました。
  • Apple iMessage (PQ3) と Signal (PQXDH、SPQR) もハイブリッド量子暗号化を導入しています。

しかし、重要な Web インフラストラクチャへの耐量子署名の導入は意図的に延期されており、耐量子署名の現在のパフォーマンス低下が依然として大きいため、CRQC が非常に近づいたときにのみ導入される予定です。

zkSNARKs(ゼロ知識簡潔非対話型知識証明技術)でも状況は同様です。楕円曲線(非PQ安全)を用いた場合でも、量子環境においてゼロ知識性は依然として保持されます。

ゼロ知識証明は、証明が秘密の証人を明らかにしないことを保証するため、攻撃者が「証明を収集して後で復号する」ことを防ぎます。したがって、zkSNARKはHNDL攻撃に対して脆弱ではありません。今日生成される署名が安全であるように、量子コンピュータの登場以前に生成されたzkSNARKの証明は、たとえzkSNARKが楕円曲線暗号を使用していたとしても、信頼できます。CRQCの登場によってのみ、攻撃者は虚偽の記述で証明を偽造できるようになります。価値交換は昼夜を問わず行われ、人間の経済活動の規模をはるかに超える全く新しいデジタル世界が構築されます。

共有先:

著者:Conflux

本記事はPANews入駐コラムニストの見解であり、PANewsの立場を代表するものではなく、法的責任を負いません。

記事及び見解は投資助言を構成しません

画像出典:Conflux侵害がある場合は、著者に削除を連絡してください。

PANews公式アカウントをフォローして、一緒に強気相場と弱気相場を乗り越えましょう
Telegram交流グループ
Telegram情報チャンネル
@PANews
おすすめ記事
43分前
2時間前
2時間前
13時間前
13時間前
14時間前

人気記事

業界ニュース
市場ホットスポット
厳選読み物
購読をクリック

厳選特集

App内阅读