量子コンピュータの脅威：最大のブロックチェーンを守るための進むべき方向性

量子コンピューターが、将来Bitcoinのブロックチェーンを破壊してしまうほどの強力さで暗号を解読できる状態は、現時点ではまだ存在していません。とはいえ、開発者たちは、この潜在的な脅威に対する防御層を構築するためのアップグレードの波について、すでに議論を始めています。そしてそれはまったく根拠のあることです。なぜなら、このリスクはもはや純粋な仮説ではなくなっているからです。

今週、Googleの研究者たちが、十分に強力な量子コンピューターなら、9分もかからずにBitcoinの中核となる暗号を解読できることを示す研究を公開しました。これは、平均的な1つのBitcoinブロックの確認時間より1分早いとされています。こうした脅威が2029年に現実のものになる可能性があると考えるアナリストもいます。

リスクは非常に大きいのです。約650万bitcoin（数百億ドル相当の価値）が、量子コンピューターが直接狙えるアドレスに保管されています。その一部には、Bitcoinの匿名の創設者であるサトシ・ナカモトの保有分も含まれます。さらに、これが侵害された場合、Bitcoinの中核となる原則——「コードを信頼する」および「健全な通貨」——が損なわれることになります。

以下は、この脅威がどのように機能するのか、そしてそれを緩和するために検討されている提案です。

量子マシンがBitcoinを攻撃できる2つの方法

まずは、提案に入る前に脆弱性を理解しましょう。

Bitcoinのセキュリティは、片方向の数学的関係に基づいて構築されています。ウォレットを作るとき、秘密鍵といくつかの秘密が生成され、それをもとに公開鍵が導き出されます。

bitcoinを支払うには、秘密鍵を開示するのではなく、それを使って暗号署名を作成し、ネットワークが検証できるようにすることで、秘密鍵の保有権を証明する必要があります。

この仕組みは安全です。なぜなら、現代のコンピューターは、楕円曲線暗号——具体的には楕円曲線デジタル署名アルゴリズム（ECDSA）——を解読して公開鍵から秘密鍵を導き出すのに、数十億年の時間が必要だからです。したがって、ブロックチェーンは計算上、ほぼ改ざん不可能だと見なされています。

しかし、将来の量子コンピューターは、この片方向の道を二方向に変えて、公開鍵から秘密鍵を導き出し、あなたの資金を一掃してしまう可能性があります。

公開鍵は2通りの形で露出します。1つは、チェーン上に静止しているコインからです（長期の露出攻撃）。もう1つは、移動中のコイン、または取引がトランザクション・メモリプール内で待機している間のコインからです（短期の露出攻撃）。

Satoshiや初期のマイナーが使っていたPay-to-Public-Key（P2PK）アドレス、ならびに、2021年に有効化された現在のアドレス形式であるTaproot（P2TR）も、長期の露出攻撃のタイプに対して脆弱です。これらのアドレス内のコインは移動する必要がありません。すでに公開鍵の露出は起きており、将来の量子攻撃者を含む世界中の誰もがそれを読み取れます。約1,7百万BTCが、古いP2PKアドレスに保管されており、そこにはSatoshiのコインも含まれています。

短期の露出攻撃はmempoolに関係します。未確認の取引の「待合室」です。取引がそこに置かれ、ブロックに取り込まれて確定するまでの間、あなたの公開鍵と署名の両方が、ネットワーク全体に表示されます。

量子コンピューターはそのデータにアクセスできますが、その猶予は非常に短いです。取引が確定し、次のブロックの下に埋もれてしまう前に、対応する秘密鍵を推測して行動する必要があるためです。

イニシアチブ

BIP 360: 公開鍵の削除

先ほど述べたとおり、今日Taprootで作成される新しいBitcoinアドレスはすべて、公開鍵をオンチェーンに永続的に露出させます。これは、将来の量子コンピューターに対して「消えることのない」ターゲットを提供します。

Bitcoin改善提案（BIP）360は、オンチェーンに永続的に埋め込まれ、誰にでも表示される公開鍵を削除することを提案しており、そのためにPay-to-Merkle-Root (P2MR)と呼ばれる新しい種類の出力を導入します。

量子コンピューターは公開鍵を調べ、秘密鍵の正確な形状を逆算して、動作可能なコピーを作り出すことを念頭に置いてください。公開鍵を取り除けば、攻撃者が掴めるものはなくなります。その一方で、Lightningの支払い、多重署名の設定、その他のBitcoinの機能はすべてそのまま維持されます。

ただし、この提案が導入された場合に守られるのは、将来の新しいコインのみです。すでに公開鍵が露出しているアドレスにある1,7百万BTCは、下記の別の提案で対処されます。

SPHINCS+ / SLH-DSA: ハッシュベースのポスト量子署名

SPHINCS+は、ハッシュ関数に基づいて構築されたポスト量子署名メカニズムであり、Bitcoinが現在使用している楕円曲線暗号が直面する量子リスクを回避するのに役立ちます。ShorのアルゴリズムがECDSAを脅かす一方で、SPHINCS+のようなハッシュベースの設計は、同様に脆弱だと見なされていません。

この方式は、米国の国立標準技術研究所（NIST）が、長年にわたる公開の検討ののち、2024年8月にFIPS 205（SLH-DSA）として標準化しました。

その見返りとして求められるのは、高度なセキュリティのための大きなサイズです。現在のBitcoinの署名が64 byteにすぎないのに対し、SLH-DSAの署名は8キロバイト（KB）またはそれ以上です。したがって、SLH-DSAを適用するとブロックスペースの需要が大きく増え、取引手数料もより高くなります。

そのため、ポスト量子セキュリティを犠牲にすることなく署名サイズを削減することを目的に、SHRIMPS（別のハッシュベースのポスト量子署名方式）やSHRINCSといった提案が紹介されました。どちらもSPHINCS+の上に構築されていますが、より現実的でスペース効率のよい形で、そのセキュリティ保証を維持することを目指しています。

Tadge DryjaのCommit/Revealシステム: mempoolへの緊急ブレーキ

この提案は、Lightning Networkの共同創設者であるTadge Dryjaによるソフトフォークであり、将来の量子攻撃者からmempool内の取引を守ることを目的としています。取引の実行を2つの段階に分けることで、それを実現します。CommitとRevealです。

たとえば、あなたがパートナーに「メールを送る」と伝えたあと、実際にメールを送る場面を想像してください。最初の「メールを送る」はcommitの段階で、メールを送る行為そのものがrevealの段階です。

ブロックチェーン上では、それはまず「意図」の封印された指紋を公開することを意味します。これはハッシュであり、取引については何も明らかにしません。ブロックチェーンはその指紋に永続的にタイムスタンプを付けます。次に、あなたが実際の取引を発信すると公開鍵が露出します。そしてそうです。ネットワークを監視している量子コンピューターなら、そこから秘密鍵を推測し、あなたのお金を盗むための競合取引を作り出せます。

しかし、その偽造取引はすぐに拒否されます。ネットワーク検証はこうします。この支払い取引に、事前にオンチェーンへ記録されたコミットが存在するか？あなたの取引にはそれがあります。攻撃者の取引にはありません——攻撃者はそれをほんの数分前に作ったばかりです。事前に登録された指紋が、あなたのアリバイの証拠になります。

問題は、コストが増えることです。取引が2つの段階に分割されるためです。そのため、これは一時的なブリッジとして、コミュニティが引き続き量子防衛策を構築している間に導入できるだけの実用性があると考えられています。

Hourglass V2: 古いコインの売り出し速度を遅らせる

開発者のHunter Beastによって提案されたHourglass V2は、すでに公に露出している約1,7百万BTCが保管されている古いアドレスに関連する量子の脆弱性を狙います。

この提案は、これらのコインが将来の量子攻撃で盗まれ得ることを認め、そのうえで、売り出し（換金）を「1ブロックあたり1 bitcoin」に制限することで、流出の進行を遅らせようとします。夜通しで起きる大規模な投げ売り（清算）によって市場が崩壊するのを避けるためです。

同様の例として、大量の出金があります。すべての人の出金を止めることはできませんが、出金の速度を制限すれば、システムが一晩で崩壊するのを防げます。この提案は物議を醸しています。たとえその制限が最小限であっても、Bitcoinコミュニティの一部の人々は、それが「誰もあなたのコインの支出権に介入してはならない」という原則に違反すると見なしているためです。

結論

これらの提案はまだ有効化されておらず、Bitcoinの分散型ガバナンス——開発者、マイナー、ノード運用者を含む——が意味するところは、どんなアップグレードも現実になるまで時間が必要だということです。

それでも、今週Googleの報告書の前から、提案の波が定期的に現れていることは、問題がすでに長い間開発者の監視対象になっていたことを示しています。これは市場の懸念を和らげるのに役立つ可能性があります。