量子コンピュータからの脅威がブロックチェーンに与える影響は、しばしば誤解されている。多くの人は、このセキュリティ警告は未来の想像の産物に過ぎない、あるいは逆に、今すぐにでも全面的な変革が必要だと考えている。しかし、実際には状況は非常に複雑で、使用されている暗号化システムの種類によって大きく異なる。
最も危険な攻撃は未来に起こるものではなく、今まさに進行中だ。攻撃者は現在の通信を暗号化されたまま保存し、将来的に量子計算能力が向上したときに解読できるようにしている(これを「Harvest Now, Decrypt Later(今収穫し、後で解読)」と呼ぶ)。つまり、今日の国家機密や個人情報は「安全」と見なされていても、10年から50年後には完全に漏洩してしまう可能性がある。
この認識を持つことで、長期的な情報を保護すべきシステムは、今すぐ量子耐性の暗号化を導入すべきだ。ただし、これは暗号化にのみ適用され、デジタル署名には当てはまらない。
多くの人が見落としがちな重要なポイントは、デジタル署名は暗号化とは全く異なる仕組みで動作していることだ。
暗号化されたメッセージを送信すると、その暗号文は攻撃者によって保存され、後に十分な計算能力があれば解読される可能性がある。しかし、署名には「秘密の内容を隠す」必要はなく、逆に解読されるべきではない。
将来的に量子コンピュータが署名を偽造できるようになったとしても、それは未来の取引や認証にのみ影響し、過去に行われた署名の有効性には影響しない。過去の署名を検証した履歴を破壊したり、古い署名から秘密情報を漏らしたりすることはできない。
したがって、ブロックチェーン上で広く使われているECDSAやEdDSAといった署名アルゴリズムは、将来的にアップグレードが必要になる可能性はあるものの、すぐに変更する必要はない。
ゼロ知識証明(zkSNARKs)は、全く異なるセキュリティモデルを持つ。現在のzkSNARKsは楕円曲線暗号を使用しているが、その「ゼロ知識」の性質は、量子コンピュータに対しても安全とされている。理由は、証明には個人情報が含まれておらず、量子アルゴリズムによって復元される可能性がないからだ。したがって、zkSNARKsにはHNDLリスクはなく、アップグレードの優先度は署名よりも低い。
Bitcoinは、量子脅威が遠い未来の話であっても、最優先で対処すべき唯一の例外だ。その理由は、技術的な単純さだけではなく、このブロックチェーンの複雑さにある。
第一に、Bitcoinは非常に遅いペースでプロトコルを変更している。セキュリティの変更は議論や分裂、ハードフォークを引き起こす可能性がある。
第二に、Bitcoinの初期段階ではP2PK(公開鍵を直接ブロックチェーンに記録していた)。公開鍵はすでに公開されているため、量子コンピュータはShorのアルゴリズムを使って公開鍵から秘密鍵を直接抽出できる。これは、ハッシュ化された公開鍵を使う現代のシステムよりも危険性が高い(。
第三に、Bitcoinのアップグレードは自動的に資産を移動できない。なぜなら、鍵はユーザーが保持しているためだ。これにより、数百万BTCのウォレットが無効化されたり、失われたり、放置されたりしている場合でも、将来的な量子署名攻撃に対して永久に脆弱なままとなる。
したがって、Bitcoinは、不可逆的な移行計画を今から策定すべきだ。これは、緊急の脅威があるからではなく、実行の遅さによる。
量子脅威は存在するものの、全面的な急ぎの移行はむしろリスクを伴う。
現在の量子耐性アルゴリズム)ML-DSA、Falcon(は、パフォーマンスコストが高く、署名サイズは現状より数十倍から百倍以上大きくなる。これらはサイドチャネル攻撃や実数誤差、パラメータの誤設定により秘密鍵が漏洩するリスクもある。さらに、一部の量子耐性アルゴリズムは、古典的なアルゴリズムによってすでに破られている例もある)Rainbow、SIKE(。
盲目的に移行するのではなく、ブロックチェーンは次のようなアプローチを取るべきだ。
こうしたアプローチにより、ブロックチェーンは量子に備えつつ、即時のセキュリティ危機を回避できる。
3.29K 人気度
33.64K 人気度
48.86K 人気度
11.12K 人気度
8.42K 人気度
量子とブロックチェーン:いつ本当に心配すべきか?
量子コンピュータからの脅威がブロックチェーンに与える影響は、しばしば誤解されている。多くの人は、このセキュリティ警告は未来の想像の産物に過ぎない、あるいは逆に、今すぐにでも全面的な変革が必要だと考えている。しかし、実際には状況は非常に複雑で、使用されている暗号化システムの種類によって大きく異なる。
実際のリスク:Harvest Now, Decrypt Later
最も危険な攻撃は未来に起こるものではなく、今まさに進行中だ。攻撃者は現在の通信を暗号化されたまま保存し、将来的に量子計算能力が向上したときに解読できるようにしている(これを「Harvest Now, Decrypt Later(今収穫し、後で解読)」と呼ぶ)。つまり、今日の国家機密や個人情報は「安全」と見なされていても、10年から50年後には完全に漏洩してしまう可能性がある。
この認識を持つことで、長期的な情報を保護すべきシステムは、今すぐ量子耐性の暗号化を導入すべきだ。ただし、これは暗号化にのみ適用され、デジタル署名には当てはまらない。
「保存問題」のない署名
多くの人が見落としがちな重要なポイントは、デジタル署名は暗号化とは全く異なる仕組みで動作していることだ。
暗号化されたメッセージを送信すると、その暗号文は攻撃者によって保存され、後に十分な計算能力があれば解読される可能性がある。しかし、署名には「秘密の内容を隠す」必要はなく、逆に解読されるべきではない。
将来的に量子コンピュータが署名を偽造できるようになったとしても、それは未来の取引や認証にのみ影響し、過去に行われた署名の有効性には影響しない。過去の署名を検証した履歴を破壊したり、古い署名から秘密情報を漏らしたりすることはできない。
したがって、ブロックチェーン上で広く使われているECDSAやEdDSAといった署名アルゴリズムは、将来的にアップグレードが必要になる可能性はあるものの、すぐに変更する必要はない。
ZKP:優先度は低い
ゼロ知識証明(zkSNARKs)は、全く異なるセキュリティモデルを持つ。現在のzkSNARKsは楕円曲線暗号を使用しているが、その「ゼロ知識」の性質は、量子コンピュータに対しても安全とされている。理由は、証明には個人情報が含まれておらず、量子アルゴリズムによって復元される可能性がないからだ。したがって、zkSNARKsにはHNDLリスクはなく、アップグレードの優先度は署名よりも低い。
ブロックチェーンの優先順位
Bitcoin:対応が難しい例外
Bitcoinは、量子脅威が遠い未来の話であっても、最優先で対処すべき唯一の例外だ。その理由は、技術的な単純さだけではなく、このブロックチェーンの複雑さにある。
第一に、Bitcoinは非常に遅いペースでプロトコルを変更している。セキュリティの変更は議論や分裂、ハードフォークを引き起こす可能性がある。
第二に、Bitcoinの初期段階ではP2PK(公開鍵を直接ブロックチェーンに記録していた)。公開鍵はすでに公開されているため、量子コンピュータはShorのアルゴリズムを使って公開鍵から秘密鍵を直接抽出できる。これは、ハッシュ化された公開鍵を使う現代のシステムよりも危険性が高い(。
第三に、Bitcoinのアップグレードは自動的に資産を移動できない。なぜなら、鍵はユーザーが保持しているためだ。これにより、数百万BTCのウォレットが無効化されたり、失われたり、放置されたりしている場合でも、将来的な量子署名攻撃に対して永久に脆弱なままとなる。
したがって、Bitcoinは、不可逆的な移行計画を今から策定すべきだ。これは、緊急の脅威があるからではなく、実行の遅さによる。
警告:慌ててアップグレードするのは危険
量子脅威は存在するものの、全面的な急ぎの移行はむしろリスクを伴う。
現在の量子耐性アルゴリズム)ML-DSA、Falcon(は、パフォーマンスコストが高く、署名サイズは現状より数十倍から百倍以上大きくなる。これらはサイドチャネル攻撃や実数誤差、パラメータの誤設定により秘密鍵が漏洩するリスクもある。さらに、一部の量子耐性アルゴリズムは、古典的なアルゴリズムによってすでに破られている例もある)Rainbow、SIKE(。
実用的なブロックチェーン戦略
盲目的に移行するのではなく、ブロックチェーンは次のようなアプローチを取るべきだ。
こうしたアプローチにより、ブロックチェーンは量子に備えつつ、即時のセキュリティ危機を回避できる。