再び浮上する量子脅威論、暗号通貨の基盤は揺らいでいるのか？

オリジナル | Odaily Azuma

最近、量子コンピューティングが暗号資産に与える脅威が再び海外で話題となっています。この話題が再燃した理由は、量子コンピューティングや暗号資産業界の著名人たちが、量子コンピューティングの発展過程とその潜在能力について新たな予測を次々と発表したためです。

まず、11月13日、量子コンピューティング分野の権威であり、テキサス大学量子情報センターのディレクターであるScott Aaronsonが、自身の発表した記事の中で「私は今、次のアメリカ大統領選挙の前に、Shorアルゴリズムを実行できるフォールトトレラントな量子コンピュータを手に入れる可能性があると考えています……」と述べました。

続いて、11月19日、Ethereum共同創設者のVitalik Buterinもブエノスアイレスで開催されたDevconnectカンファレンスで発言し、楕円曲線暗号（ECC）は2028年のアメリカ大統領選挙前に量子コンピュータによって解読される可能性があるとし、Ethereumは4年以内に量子耐性アルゴリズムへアップグレードするよう促しました。

量子脅威とは何か？

ScottとVitalikの予測を解説する前に、まず「量子脅威」とは何かを簡単に説明する必要があります。

簡単に言えば、暗号資産における量子脅威とは、将来的に十分に強力な量子コンピュータが、現在の暗号資産の安全性を支える暗号技術の基盤を解読し、そのセキュリティモデルを破壊する可能性があることを指します。

現在、ほぼすべての暗号資産（例えばbitcoinやEthereum）のセキュリティは「非対称暗号」と呼ばれる技術に依存しており、その中で最も重要な2つの要素が「秘密鍵」と「公開鍵」です：

• 秘密鍵：ユーザーが秘密裏に保管し、トランザクションの署名や資産の所有権の証明に使用される；
• 公開鍵：秘密鍵から生成され、公開可能でウォレットアドレスやその一部として利用される。

暗号資産のセキュリティの基盤は、現在の技術では公開鍵から秘密鍵を逆算することが計算上不可能であることにあります。しかし、量子コンピュータは量子力学の原理を利用し、特定のアルゴリズム（前述のShorアルゴリズムなど）を実行することで、特定の数学的問題の解決を大幅に高速化でき、これが非対称暗号の弱点となっています。

ここでShorアルゴリズムとは何かを説明します。数学的な詳細は省略しますが、Shorアルゴリズムの本質は、従来のコンピュータでは「ほぼ解けない」数学的問題を、量子コンピュータ上では「比較的容易に解ける」周期探索問題に変換できることであり、これによって暗号資産の「秘密鍵-公開鍵」暗号体系が脅かされる可能性があります。

もっと分かりやすい例を挙げると、あなたが一籠のイチゴ（秘密鍵に例える）を簡単にジャム（公開鍵に例える）にすることはできても、ジャムを元のイチゴに戻すことはできません。しかし、突然チート級の存在（量子コンピュータに例える）が現れ、便利な方法（Shorアルゴリズムに例える）でそれを実現できるかもしれません。

暗号資産の基盤は揺らいでいるのか？

そう考えると、暗号資産はもう終わりなのでは？

心配しないでください。量子脅威は客観的に存在しますが、問題はそれほど切迫していません。そう言える理由は主に2つあります。1つは本当の脅威が到来するまでにはまだ時間があること、2つ目は暗号資産がアップグレードによって量子耐性アルゴリズムを実装できることです。

まず1点目ですが、たとえScottの予測が2028年の大統領選前に実現したとしても、それが直ちに暗号資産のセキュリティを本当に脅かすことにはなりません。Vitalikの発言も、bitcoinやEthereumの基盤が揺らぐという意味ではなく、将来的に存在しうる理論的リスクを指摘したに過ぎません。

DragonflyのマネージングパートナーであるHaseebは、量子コンピュータの新たなタイムラインにパニックになる必要はないと説明し、Shorアルゴリズムを実行できることは、実際に256ビットの楕円曲線鍵（ECC key）を解読できることと同義ではないと述べています。Shorアルゴリズムで1つの数字を解読できたとしても、それは十分に印象的ですが、数百桁の数字を分解するには、さらに大規模な計算能力とエンジニアリングが必要です……この問題は真剣に受け止める価値がありますが、差し迫ったものではありません。

暗号資産セキュリティの専門家MASTRは、さらに明確な数学的回答を示しています。bitcoinやEthereumなどが現在採用している楕円曲線署名（ECDSA）を解読するには、約2300個の論理量子ビット（logical qubits）、10¹²～10¹³回の量子操作が必要で、エラー訂正を加えると数百万から1億以上の物理量子ビット（physical qubits）が必要です。しかし、現在実現されている量子コンピュータは100～400個のノイズの多い量子ビット（noisy qubits）しかなく、エラー率も高く、コヒーレンス時間も短い——解読に必要な規模には少なくとも4桁の差があります。

2点目として、業界の暗号学者たちは、量子コンピュータによる攻撃に耐えうる新しいポスト量子暗号（PQC）アルゴリズムの開発にも取り組んでおり、主要なブロックチェーンもすでにその準備を進めています。

昨年3月には、Vitalikが「もし明日量子攻撃が来たら、Ethereumはどう解決するか？」という記事を発表し、その中でWinternitz署名やSTARKsなどが量子脅威に対して有効であること、さらには緊急時にEthereumがどのようにアップグレードすべきかについても言及しています。

Ethereumと比べて、bitcoinはアップグレードの実行がそれほど柔軟ではないかもしれませんが、コミュニティではすでにDilithium、Falcon、SPHINCS+など複数のアルゴリズムアップグレード案が提案されています。最近、関連する議論が盛り上がる中、bitcoin OGのAdam Backも、ポスト量子時代の暗号標準は実質的な量子コンピュータの脅威が現れるずっと前に導入できると述べています。

要するに、量子脅威は遠くにぶら下がる「万能鍵」のようなもので、理論的には現在すべてのブロックチェーンの鍵を開けることができますが、錠前職人たちはすでにこの万能鍵では開けられない新しい錠前の研究を始めており、万能鍵が完成する前にすべてのドアの鍵を交換する準備をしています。

これが現時点での量子脅威に関する客観的な現実です。私たちはその進展を無視することはできませんが、過度に恐れる必要もありません。