執筆者:Justin Thaler、a16z crypto 研究パートナー兼ジョージタウン大学コンピュータサイエンス准教授
翻訳:Yangz、Techub News
暗号学関連の量子コンピュータ出現時期の予測は過大に見積もられることが多く、その結果、緊急かつ全面的なポスト量子暗号への移行を求める声が高まっている。しかし、これらの呼びかけは早すぎる移行のコストとリスクを見落とし、異なる暗号原語のリスク特性の違いも無視している。
ポスト量子暗号はコストが高いにもかかわらず、即時展開が必要だ:「先収集・後解読」(HNDL)攻撃はすでに展開されており、現在の暗号化された敏感データは、たとえ数十年後に量子コンピュータが実現しても価値を持ち続ける。さらに、ポスト量子暗号の性能オーバーヘッドと実装リスクは存在するが、長期的な秘密保持が必要なデータにとっては、HNDL攻撃に対抗するために即時移行せざるを得ない。
一方、ポスト量子署名は異なる考慮事項を抱える。これらはHNDL攻撃の影響を受けにくいが、そのコストとリスク(規模の拡大、性能低下、実装の未成熟性、潜在的な脆弱性)は、即時の移行よりも慎重な対応を求める。
これらの違いは非常に重要だ。誤解はコスト・効果分析を歪め、システムの脆弱性などのより顕著な安全リスクを見落とす原因となる。
ポスト量子暗号への移行の真の課題は、緊急性と実際の脅威を適切に一致させることにある。以下に、量子計算が暗号に及ぼす脅威に関する一般的な誤解を解き明かし、暗号化、署名、ゼロ知識証明に関して、特にブロックチェーンへの影響に焦点を当てて解説する。
我々はどの段階にいるのか?
多くの宣伝がある一方で、今世紀20年代内に暗号学関連の量子コンピュータ(CRQC)が出現する可能性は極めて低い。
私が「暗号学関連の量子コンピュータ」と呼ぶのは、誤り訂正と耐性を備え、十分な規模のShorアルゴリズムを動かせる量子コンピュータを指す。これにより、合理的な時間内(例:最大1か月の連続計算でsecp256k1やRSA-2048を破る)に楕円曲線暗号やRSAを攻撃できる。公開されたマイルストーンやリソースの見積もりから合理的に解釈すると、暗号学関連の量子コンピュータの実現にはまだ遠い。企業が2030年やそれ以前にCRQCが出現する可能性を主張することもあるが、公開された進展はこれを裏付けていない。
現在のアーキテクチャ(イオントラップ、超伝導量子ビット、中性原子系)を含め、どのプラットフォームもRSA-2048やsecp256k1を解読するための数十万から数百万の物理量子ビットに近づいていない(誤り率やエラー訂正方式に依存)。制約要因は量子ビット数だけでなく、ゲートの忠実度、量子ビット間の連結性、深い量子アルゴリズムを動かすための継続的なエラー訂正回路の深さにも及ぶ。一部のシステムは1,000を超える物理量子ビットを持つが、これだけでは誤解を招く。これらのシステムは、暗号学的計算に必要な量子ビットの連結性やゲート忠実度を備えていない。最新のシステムは、誤り率が量子誤り訂正の効果を発揮し始める物理的誤り率に近づいているが、少数の論理量子ビット(深いエラー訂正回路を持つ)を超えるものは未だ示されていない。
理論的に量子誤り訂正が可能であることが証明されても、暗号解析に必要な規模に到達するには大きなギャップがある。要するに、量子ビット数と忠実度が数桁向上するまでは、暗号学的な量子コンピュータは遠い未来の話だ。公開された進展は、今後5年以内にRSA-2048やsecp256k1を解読できる暗号学的量子コンピュータの出現を支持しない。米国政府が2035年を政府システムの全面的なポスト量子(PQ)移行の最終期限と設定していることについては、これは大規模な移行を完了するための妥当なタイムラインだと考える。しかし、これはあくまでその時点での大規模な変革を完了させるための目標であり、暗号学的な量子コンピュータの出現を予測しているわけではない。
HNDL攻撃はどのような場面に適用されるのか?
「先収集・後解読」(HNDL)攻撃は、攻撃者が今のうちに暗号化された通信を保存し、量子コンピュータが出現した後に解読を行うことを指す。国家レベルの攻撃者はすでに大量の米国政府の暗号通信をアーカイブしており、将来CRQCが実現した際に解読できるよう準備している。これが、暗号技術の即時移行が必要とされる理由だ——少なくとも10年以上、50年以上の秘密保持が求められる場合には。
しかし、デジタル署名(すべてのブロックチェーンが依存する技術)と暗号化は異なる。もしポスト量子量子コンピュータが出現したら、その瞬間から署名の偽造は可能になるが、過去の署名は「秘密」を隠すものではない。署名がCRQC出現前に生成されたものであれば、それは偽造できない。これにより、ポスト量子署名への移行は、ポスト量子暗号化ほど緊急ではない。
現在、主流のプラットフォームは対応を進めている。ChromeやCloudflareはネットワーク伝送層のTLS暗号にX25519+ML-KEMのハイブリッド方式を導入し、AppleのiMessageもPQ3プロトコルを用いたハイブリッド暗号を展開している。SignalもPQXDHやSPQRプロトコルを採用している。
一方、ポスト量子署名の導入は、暗号学的量子コンピュータの出現が差し迫るまで遅らせられる見込みだ。これは、現行のポスト量子署名方式が性能低下を伴うためだ(後述)。
zkSNARKs(ブロックチェーンの長期的な拡張性とプライバシーに不可欠)は、署名と類似の状況にある。これは、たとえ非ポスト量子安全のzkSNARKs(楕円曲線暗号を用いる)があっても、そのゼロ知識性はポスト量子安全だとされる。ゼロ知識性は、秘密証明に関する情報を漏らさずに証明できる性質であり、量子攻撃者に対しても同様だ。したがって、秘密の証人情報を「今収集」しておく必要はない。
したがって、zkSNARKsはHNDL攻撃の影響を受けにくい。今日生成された非ポスト量子署名と同様に、暗号学的量子コンピュータ出現前に作成されたzkSNARK証明は信頼できる(証明された命題は真であると証明されている)。ただし、暗号学的量子コンピュータが出現した後に、攻撃者は虚偽の命題に対して説得力のある証明を見つけることができる。
これがブロックチェーンにとって何を意味するのか?
多くのブロックチェーンはHNDL攻撃に対して脆弱ではない。例えば、ビットコインやイーサリアムのような非プライバシー系のチェーンは、主に非ポスト量子暗号を用いて取引の承認を行っている。つまり、署名を使っており、暗号化はしていない。繰り返すが、これらの署名はHNDLリスクをもたらさない。HNDL攻撃は暗号化されたデータに対して有効だ。例えば、ビットコインのブロックチェーンは公開されているため、量子脅威は署名の偽造(秘密鍵の窃盗による資金の奪取)に関係し、既に公開された取引データの解読には及ばない。これにより、HNDL攻撃の緊急性は低い。
残念ながら、米連邦準備制度理事会などの信頼できる分析も、ビットコインがHNDL攻撃に脆弱だと誤って主張しており、これによりポスト量子暗号への移行の緊急性を過大評価している。もちろん、緊急性が低下したからといって、ビットコインの安全性は保証されない。むしろ、プロトコル変更に伴う社会的調整の時間的制約が存在する(詳細は後述)。
例外はプライバシー系のチェーンで、多くは送金者や金額を暗号化または隠蔽している。これらのプライバシー保護は、今すぐにでも収集可能であり、量子コンピュータが楕円曲線暗号を解読できるようになれば、逆追跡による匿名化解除が可能となる。
こうしたプライバシー系チェーンの攻撃の深刻さは、ブロックチェーンの設計によって異なる。例えば、モネロは楕円曲線のリング署名とキーイメージ(ダブル支払い防止のための出力のリンク性タグ)に基づいており、公開台帳だけで支出の追跡と再構築が可能だ。一方、他のチェーンでは被害は限定的だ——詳細はZcashの暗号エンジニア兼研究者Sean Boweの議論を参照。
もしユーザーが自分の取引が暗号学的量子コンピュータに曝されていないことを重視するなら、プライバシー系チェーンはできるだけ早くポスト量子原語(またはハイブリッド方式)に移行すべきだ。あるいは、解読可能な秘密をチェーン上に置かない設計にすべきだ。
ビットコインの特殊な課題:ガバナンスと廃止通貨
ビットコインには、ポスト量子署名への移行の緊急性を促す二つの現実的な状況がある。これらは量子技術とは無関係だ。
第一に、ガバナンスの遅さだ。ビットコインの変化は遅い。コミュニティが適切な解決策に合意できなければ、争点は破壊的なハードフォークを引き起こす可能性がある。
第二に、ビットコインのポスト量子署名への切り替えは受動的な移行ではできない。所有者が自らのコインを積極的に移行しなければならない。これにより、廃止された、量子攻撃に脆弱なコインは保護されない。推定では、数百万枚のビットコインがこのリスクにさらされている。
しかし、ビットコインの量子脅威は突然の終末ではなく、選択的かつ漸進的なターゲットロックの過程となる。量子コンピュータはすべての暗号を一度に解読できるわけではなく、Shorアルゴリズムは一つの公開鍵に対してのみ作用する。初期の量子攻撃は非常にコストが高く遅い。したがって、量子コンピュータが単一のビットコイン署名鍵を解読できるようになったら、攻撃者は高価値のウォレットを選択的に攻撃するだろう。
さらに、アドレスの再利用を避け、Taprootアドレス(公開鍵を直接公開しない)を使わないユーザーは、プロトコルの変更なしでも基本的に保護される。これらのユーザーの公開鍵は、コインが支出されるまでハッシュ関数の背後に隠されている。支出取引を放送するときに公開鍵が露出し、その瞬間に短時間のリアルタイム競争が発生する。正直な支出者は取引の承認を得る必要があり、攻撃者は量子デバイスを用いて秘密鍵を見つけ、コインを奪おうとする。したがって、最も脆弱なのは、公開鍵がすでに露出しているコイン——早期のP2PK出力、アドレスの再利用、Taprootのコインだ。
廃止された脆弱なコインには簡単な解決策はない。いくつかの選択肢は以下の通り。
二つ目の選択は、法的・安全上の重大な問題を引き起こす。秘密鍵なしで量子コンピュータを用いてコインの所有権を奪取することは、多くの法域で窃盗やコンピュータ詐欺に該当し、深刻な問題となる。
さらに、「廃止」とは非活動状態に基づく推定だが、実際にこれらのコインに所有者がいるのかは不明だ。所有証明が十分でない場合、法的にコインを取り戻すための正当な権限も不明確だ。こうした法的曖昧さは、量子攻撃にさらされたコインが、法的拘束を無視して悪意ある者の手に渡るリスクを高める。
最後に、ビットコインのもう一つの特有の問題は、その低い取引スループットだ。移行計画が最終決定したとしても、現行の取引速度では、すべての脆弱な資金をポスト量子安全なアドレスに移すには数か月かかる。
これらの課題から、ビットコインは今から後量子移行の計画を始めることが不可欠だ。これは、暗号学的な量子コンピュータが2030年前に出現する可能性があるからではなく、数十億ドル規模の資産の移行には、ガバナンスや調整、技術的な後方互換性の確保に数年を要するためだ。
ビットコインの量子脅威は実在するが、その時間的プレッシャーは、ビットコイン自身の制約に由来するものであり、量子コンピュータの出現を待つものではない。その他のブロックチェーンもそれぞれの課題を抱えるが、ビットコインのリスクは特に顕著だ。最も早期の取引では公開鍵が直接ブロックチェーンに置かれ、多くのビットコインが暗号学的量子コンピュータに脆弱となる。この技術的差異と、長い歴史、価値の集中、低スループット、ガバナンスの硬直性が、問題をより深刻にしている。
なお、上述の脆弱性はビットコインの署名の暗号学的安全性に関するものであり、ビットコインの経済的安全性には影響しない。これは、PoW(プルーフ・オブ・ワーク)コンセンサスメカニズムに由来し、次の三つの理由で量子コンピュータの攻撃に耐性がある。
ポスト量子署名のコストとリスク
なぜブロックチェーンがポスト量子署名の導入を急ぐべきでないのか、その性能コストと、ポスト量子安全性に対する信頼の進化を理解する必要がある。
ほとんどのポスト量子暗号は、以下の五つの方法のいずれかに基づく:ハッシュ、符号化、格子(Lattice)、多元二次方程式(MQ)、同源。これらの安全性は、量子計算機が特定の数学的問題を効率的に解けないという仮定に基づく。問題の「構造化」度合いが高いほど、より効率的な暗号プロトコルが構築できるが、その分攻撃の表面も増える。これは根本的なトレードオフだ——より強い仮定は性能向上をもたらすが、安全性の潜在的な脆弱性も増す。
一般に、ハッシュベースの方式は安全性の面で最も保守的であり、量子計算機がこれらを効果的に攻撃できないと最も確信されている。一方、性能は最も劣る。例えば、NISTが標準化したハッシュベース署名は、最小パラメータ設定でもサイズが7-8キロバイトに及ぶ。対して、現代の楕円曲線署名は64バイト程度だ。約100倍の差がある。
格子方式は、現在の標準的な焦点だ。NISTは、標準化された唯一の暗号方式と、二つの署名方式のうちの二つを格子に基づくものとした。一つはML-DSA(旧Dilithium)で、署名のサイズは2.4KB(128ビット安全性)から4.6KB(256ビット安全性)まであり、楕円曲線署名の約40-70倍の大きさだ。もう一つはFalconで、署名は少し小さく(Falcon-512は666バイト、Falcon-1024は1.3KB)だが、複雑な浮動小数点演算を伴い、NISTはこれを特別な実装課題と位置付けている。Falconの開発者の一人、Thomas Porninは「これまでに実装した中で最も複雑な暗号アルゴリズム」と述べている。
楕円曲線署名と比べて、格子ベースの方式は実装の安全性もより難しい。ML-DSAは、多くの敏感な中間値や非平凡な拒否サンプリングロジックを含み、サイドチャネルや故障保護が必要だ。Falconも一定時間の浮動小数点演算に関する懸念を増大させており、実際にいくつかのサイドチャネル攻撃により秘密鍵が復元されている。
これらの問題は、直接的なリスクを構成し、遠い将来の量子コンピュータの脅威とは異なる。
高性能なポスト量子暗号方式の展開には慎重さが必要だ。歴史的に、Rainbow(MQに基づく署名方式)やSIKE/SIDH(同源暗号方式)などの主要候補は、古典的なコンピュータによる解読により破られている。これらの解読は、NISTの標準化過程の深い段階で起きたものであり、科学的に健全な運用の証左だが、早すぎる標準化や展開は逆効果となる可能性もある。
インターネットのインフラは、署名の移行に慎重なアプローチを取っている。MD5やSHA-1の移行は、技術的には数年前にネットワーク管理者によって廃止されたが、実際のインフラへの適用にはさらに多くの年数を要した。これらの方式はすでに破られているが、状況は変わらない。
ブロックチェーンとインターネットインフラの違い
幸い、EthereumやSolanaのようなオープンソースのブロックチェーンは、従来のネットワークよりも迅速にアップグレードできる。一方、従来のインフラは頻繁な鍵のローテーションにより、量子マシンがロックする速度よりも攻撃面の移動速度が速い。これは、資産と鍵が無期限に露出し続けるブロックチェーンにはない利点だ。
しかし、全体として、ブロックチェーンもネットワークの署名移行の慎重なアプローチを踏襲すべきだ。署名に関しては、HNDL攻撃に対して脆弱ではなく、鍵の有効期間に関わらず、早すぎる移行はコストとリスクを伴う。
ブロックチェーン特有の課題は、署名方式の早期移行を特に危険かつ複雑にしている。例えば、現在広く使われているBLS署名は高速なアグリゲーションが可能だが、ポスト量子安全ではない。研究者はSNARKに基づくポスト量子署名のアグリゲーションを模索しており、将来的には格子ベースの方式が魅力的な選択肢となる見込みだ。数か月から数年のうちに、格子ベースの方式がハッシュベースのSNARKよりも性能面で優れる選択肢となると私は信じている。例えば、証明長の大幅な短縮などだ。
現状の最大の課題:実装の安全性
今後数年間、実装の脆弱性は暗号学的な量子コンピュータよりもはるかに大きな安全リスクとなる。SNARKに関しては、主な懸念は脆弱性だ。
脆弱性は、デジタル署名や暗号方式の課題であり、SNARKはより複雑だ。実際、デジタル署名は、私が私の公開鍵に対応する秘密鍵を知っており、そのメッセージを承認したことを示す非常に単純なzkSNARKとみなせる。
ポスト量子署名における直接的なリスクは、サイドチャネル攻撃や故障注入攻撃だ。これらは詳細に記録されており、既存のシステムから秘密鍵を抽出できる。これらの脅威は、遠い未来の量子コンピュータよりも差し迫っている。
コミュニティは、SNARKの脆弱性を特定し修正し、サイドチャネルや故障攻撃に耐える堅牢な実装を数年かけて構築していく必要がある。ポスト量子SNARKや署名アグリゲーション方式は未確定のため、早すぎる移行は次善の選択肢にとどまる可能性がある。より良い選択肢や脆弱性の発見により、再度の移行が必要になることもあり得る。
我々はどうすべきか?7つの提言
上記の現実を踏まえ、関係者に向けていくつかの提言をまとめる。基本原則は、量子脅威を真剣に受け止めるが、2030年前に暗号学的な量子コンピュータが出現するとの仮定に基づいて行動しないことだ。現状の進展はこの仮定を支持しないが、今できること、すべきことはある。
まとめ
(注:本文の内容は、専門的な暗号学の知識と長期的な戦略を踏まえた要約・翻訳であるため、一部内容を簡略化・省略している。)
関連記事
今すぐ買うべき最高の暗号資産: BTC、XRP、SOL、TRX、AVAX、APEPEPE トップピック
