長年にわたり、ナarrativeは警鐘を鳴らしてきました:「量子コンピュータはビットコインの暗号を破るだろう」。しかし、この一般的な主張には根本的な概念的誤りがあります。ビットコインは資金保護のために暗号に依存してきたわけではありません。実際に注目されているのは**デジタル署名**であり、特に、量子マシンが楕円曲線の離散対数問題を古典的なコンピュータよりはるかに高速に解決できる可能性です。## 用語の混乱:暗号化 vs. デジタル署名ビットコインのブロックチェーンは完全に公開された台帳です。チェーン内に秘密情報は保存されておらず、暗号化によって保護された隠された情報もありません。各取引、各アドレス、各金額は誰でも閲覧可能です。ビットコインは**デジタル署名**—特にECDSAとSchnorr—を用いて資金の管理を証明します。取引を行う際には、何かを解読しているわけではなく、そのアドレスに対応する秘密鍵を所有していることを証明する数学的署名を生成しているのです。これは、多くの解説者が見落としがちな重要な区別です。ビットコインの開発者でありHashcashの発明者でもあるAdam Backは、次のように明言しています。「ビットコインは暗号化を使っていません。基本的なことを理解していないと、何も知らないことが明らかになるだけです。」混乱の原因は、「暗号的安全性」を「暗号化」と誤解し、全く異なる数学的問題を指していることにあります。## 真の攻撃ベクトル:公開鍵の露出十分に強力な量子コンピュータが実現した場合、その武器はメッセージの解読ではなく、**楕円曲線の離散対数問題の解決**です。これにより、攻撃者は公開鍵から秘密鍵を導き出すことが可能になります。ここで重要なのは、すべてのビットコインアドレスが同じ方法で公開鍵を露出しているわけではないという点です。多くのアドレスは公開鍵のハッシュだけで構成されており、その公開鍵はその出力が使われるまで公開されません。これにより、攻撃者が秘密鍵を計算し、対立する取引を公開できる**一時的な窓**が生まれます。一方、他のスクリプト形式では、より早期に公開鍵が露出します。アドレスを再利用すると、その露出は永続的なターゲットとなります。オープンソースの解析ツールであるProject Elevenは、どの出力が公開鍵を見せているか、どれがハッシュで保護されているかを正確にマッピングしています。## リスクの測定:潜在的に危険なBTCは670万枚現時点では、実用的な量子暗号対応のコンピュータは存在しませんが、そのリスクは**現在測定可能**です。Project Elevenは、チェーン上に公開鍵が露出しているビットコインアドレスを自動的に週次スキャンしています。結果として、約**670万BTC**が量子露出の基準を満たしています。これは、これらの資金が今日危険にさらされているわけではなく、技術の進歩次第で脅威となり得ることを示しています。計算要件を理解するために、Bitcoinで使用される256ビットの離散対数問題を解くには、学術的な推定によると**2,330論理量子ビット**が必要とされます。ただし、論理量子ビットを誤り訂正し、深い回路を実行できる量子コンピュータに変換するには、多大な物理量子ビットが必要となり、オーバーヘッドが非常に大きくなります。推定値はアーキテクチャによって異なります:- **10分**:約690万の物理量子ビット- **1日**:約1300万の物理量子ビット- **1時間**:約3億1700万の物理量子ビットIBMは、2029年頃にフォールトトレラントな量子システムのロードマップを発表していますが、誤り訂正の要素が依然として最大のボトルネックです。## Taprootは未来のために変化をもたらしたTaproot (P2TR)のアップデートは、公開鍵の露出方法をデフォルトで変更しました。Taprootの出力は、ハッシュの代わりに直接32バイトの公開鍵を含みます。これは今日の量子脅威を生み出すものではありませんが、**公開鍵の回復が量子ログリズムに基づいて可能になった場合の露出の状況を変える**可能性があります。つまり、"量子に脆弱な"アドレスの数は、Taprootを使った新しい取引が増えるたびに自動的に増加し続けることになります。量子耐性の実装がなければ、です。## Groverのアルゴリズム:二次的な脅威Shorのアルゴリズムが焦点を当てるのは、(離散対数の脅威)ですが、Groverのアルゴリズムはブルートフォース検索に対して二次的な高速化をもたらします。これにより、SHA-256のハッシュに理論的に影響を与える可能性があります。しかし、量子オーバーヘッドと誤り訂正の要件により、Groverを用いたSHA-256への攻撃は、楕円曲線の離散対数問題を解くよりもはるかにコストが高くなります。したがって、同等の脅威とはみなされません。## ユーザーとプロトコルのコントロール現実的なタイムラインを考慮すると、量子リスクは**根本的に移行の課題**であり、即時の緊急事態ではありません。利用可能な手段は複数のレベルに分かれています。**ユーザーレベル:**- アドレスの再利用を避けることで、永続的な露出の窓を縮小- 公開鍵の露出を最小化するウォレットの使用- 量子耐性スクリプトの導入(利用可能になった場合)**プロトコルレベル:**- BIP 360は、「Pay to Quantum Resistant Hash」タイプの新しい出力を提案- qbip.orgのような提案は、署名の退避を促し、移行を促進- NISTのポスト量子暗号標準化(ML-KEM FIPS 203)は、構成要素を提供**インフラストラクチャレベル:**ポスト量子署名は、通常の署名よりもキロバイト単位のサイズになるため、トランザクションの重さと手数料の経済性に影響しますが、これはエンジニアリングの問題であり、安全性の根本的な問題ではありません。## 現実的なスケジュール:インフラ整備、緊急事態ではない正確な区別は、ビットコインが即時の量子脅威にさらされているわけではないが、無期限に無視できるわけでもないということです。今日重要な要素は次の通りです。1. **公開鍵が露出しているUTXOの割合**:6.7M BTC2. **ウォレットの挙動の変化**:露出に対してどのように対応するか3. **ポスト量子標準の採用速度**:検証と手数料市場への影響を伴わずに「ビットコインの暗号を量子コンピュータが破る」という表現を、「量子コンピュータが署名の偽造を可能にする可能性があり、そのためのプロトコル移行が必要になる」と再定義する方が、より正確で有益です。ビットコインは過去にプロトコルの変更を経験しています。これは計画された技術的移行であり、突発的なセキュリティ危機ではありません。さらに、他のシステムと異なり、露出は完全に追跡可能であり、定量化され、今日でも軽減可能です。
「破られた暗号」の神話:なぜビットコインは量子対数の課題に直面しているのか、即時の暗号化の脅威ではない
長年にわたり、ナarrativeは警鐘を鳴らしてきました:「量子コンピュータはビットコインの暗号を破るだろう」。しかし、この一般的な主張には根本的な概念的誤りがあります。ビットコインは資金保護のために暗号に依存してきたわけではありません。実際に注目されているのはデジタル署名であり、特に、量子マシンが楕円曲線の離散対数問題を古典的なコンピュータよりはるかに高速に解決できる可能性です。
用語の混乱:暗号化 vs. デジタル署名
ビットコインのブロックチェーンは完全に公開された台帳です。チェーン内に秘密情報は保存されておらず、暗号化によって保護された隠された情報もありません。各取引、各アドレス、各金額は誰でも閲覧可能です。
ビットコインはデジタル署名—特にECDSAとSchnorr—を用いて資金の管理を証明します。取引を行う際には、何かを解読しているわけではなく、そのアドレスに対応する秘密鍵を所有していることを証明する数学的署名を生成しているのです。これは、多くの解説者が見落としがちな重要な区別です。
ビットコインの開発者でありHashcashの発明者でもあるAdam Backは、次のように明言しています。「ビットコインは暗号化を使っていません。基本的なことを理解していないと、何も知らないことが明らかになるだけです。」混乱の原因は、「暗号的安全性」を「暗号化」と誤解し、全く異なる数学的問題を指していることにあります。
真の攻撃ベクトル:公開鍵の露出
十分に強力な量子コンピュータが実現した場合、その武器はメッセージの解読ではなく、楕円曲線の離散対数問題の解決です。これにより、攻撃者は公開鍵から秘密鍵を導き出すことが可能になります。
ここで重要なのは、すべてのビットコインアドレスが同じ方法で公開鍵を露出しているわけではないという点です。
多くのアドレスは公開鍵のハッシュだけで構成されており、その公開鍵はその出力が使われるまで公開されません。これにより、攻撃者が秘密鍵を計算し、対立する取引を公開できる一時的な窓が生まれます。
一方、他のスクリプト形式では、より早期に公開鍵が露出します。アドレスを再利用すると、その露出は永続的なターゲットとなります。オープンソースの解析ツールであるProject Elevenは、どの出力が公開鍵を見せているか、どれがハッシュで保護されているかを正確にマッピングしています。
リスクの測定:潜在的に危険なBTCは670万枚
現時点では、実用的な量子暗号対応のコンピュータは存在しませんが、そのリスクは現在測定可能です。Project Elevenは、チェーン上に公開鍵が露出しているビットコインアドレスを自動的に週次スキャンしています。
結果として、約670万BTCが量子露出の基準を満たしています。これは、これらの資金が今日危険にさらされているわけではなく、技術の進歩次第で脅威となり得ることを示しています。
計算要件を理解するために、Bitcoinで使用される256ビットの離散対数問題を解くには、学術的な推定によると2,330論理量子ビットが必要とされます。ただし、論理量子ビットを誤り訂正し、深い回路を実行できる量子コンピュータに変換するには、多大な物理量子ビットが必要となり、オーバーヘッドが非常に大きくなります。
推定値はアーキテクチャによって異なります:
IBMは、2029年頃にフォールトトレラントな量子システムのロードマップを発表していますが、誤り訂正の要素が依然として最大のボトルネックです。
Taprootは未来のために変化をもたらした
Taproot (P2TR)のアップデートは、公開鍵の露出方法をデフォルトで変更しました。Taprootの出力は、ハッシュの代わりに直接32バイトの公開鍵を含みます。
これは今日の量子脅威を生み出すものではありませんが、公開鍵の回復が量子ログリズムに基づいて可能になった場合の露出の状況を変える可能性があります。つまり、"量子に脆弱な"アドレスの数は、Taprootを使った新しい取引が増えるたびに自動的に増加し続けることになります。量子耐性の実装がなければ、です。
Groverのアルゴリズム:二次的な脅威
Shorのアルゴリズムが焦点を当てるのは、(離散対数の脅威)ですが、Groverのアルゴリズムはブルートフォース検索に対して二次的な高速化をもたらします。これにより、SHA-256のハッシュに理論的に影響を与える可能性があります。
しかし、量子オーバーヘッドと誤り訂正の要件により、Groverを用いたSHA-256への攻撃は、楕円曲線の離散対数問題を解くよりもはるかにコストが高くなります。したがって、同等の脅威とはみなされません。
ユーザーとプロトコルのコントロール
現実的なタイムラインを考慮すると、量子リスクは根本的に移行の課題であり、即時の緊急事態ではありません。利用可能な手段は複数のレベルに分かれています。
ユーザーレベル:
プロトコルレベル:
インフラストラクチャレベル: ポスト量子署名は、通常の署名よりもキロバイト単位のサイズになるため、トランザクションの重さと手数料の経済性に影響しますが、これはエンジニアリングの問題であり、安全性の根本的な問題ではありません。
現実的なスケジュール:インフラ整備、緊急事態ではない
正確な区別は、ビットコインが即時の量子脅威にさらされているわけではないが、無期限に無視できるわけでもないということです。今日重要な要素は次の通りです。
「ビットコインの暗号を量子コンピュータが破る」という表現を、「量子コンピュータが署名の偽造を可能にする可能性があり、そのためのプロトコル移行が必要になる」と再定義する方が、より正確で有益です。
ビットコインは過去にプロトコルの変更を経験しています。これは計画された技術的移行であり、突発的なセキュリティ危機ではありません。さらに、他のシステムと異なり、露出は完全に追跡可能であり、定量化され、今日でも軽減可能です。