著者:David Christopher 出所:Bankless 訳:善欧巴,金色财经ニック・カーターは、量子コンピューティングが暗号資産に脅威をもたらすことを声高に警告している数少ないビットコイン関係者の一人だ。過去数週間のうちに2本の注目度の高い論文が発表され、量子の脅威のタイムラインを「遠い未来」から「差し迫った現実」へと引き寄せた。カーターもBanklessの番組に出演し、その潜在的な破壊力を詳しく分析した。総合すると、2つの研究はいずれも次のことを示している。暗号通貨の署名アルゴリズムを解読するのに必要なハードウェアの敷居は20〜50倍に引き下げられ、見積もられた攻撃の攻撃ウィンドウも数カ月から数分へと短縮される。以下は5つの主要ポイントだ。Googleの論文がビットコインの脅威モデルを完全に書き換え---------------つい最近まで、研究界の主流のコンセンサスはこうだった。ブロックチェーンの暗号アルゴリズムに対する最初の量子攻撃には数週間、あるいは数カ月かかり、数百万量子ビット(量子コンピュータの中核となる演算ユニット)を要する。これらのパラメータは、業界に一見すると安全なバッファを築いていた。ところが暗号学者のダン・ボネ、Googleの量子AIチームのクレイグ・ジニ、およびイーサリアム財団の研究員ジャスティン・ドレイクが共同で執筆したGoogleの論文は、その「セーフティネット」を正面から引き裂いた。従来の見積もりでは、攻撃を実行するには数十万の物理量子ビットが必要だったが、Googleの論文ではこの敷居を約20倍大幅に引き下げ、ECDSAアルゴリズムを解読する攻撃ウィンドウをわずか9分に圧縮した。ECDSAはビットコインとイーサリアムのすべての取引承認が依存する暗号署名方式だ。別の論文では、Atom Quantum社とカリフォルニア工科大学の結論がさらに強い。別のハードウェア構成を用いれば、同じ暗号アルゴリズムを解読するのに1万の物理量子ビットで足りるという。そして現時点で世界に出回っているこの種のハードウェアは、最大計算能力が6000量子ビットに到達している。2029年こそが本当の期限か------------ビットコイン保有者や一部の開発者の間では、「量子デー」(すなわち、量子コンピュータが実戦でビットコインの暗号アルゴリズムを解読できるようになる日)は段階的に到来する、つまり技術が徐々に反復・改善されるのを目にでき、準備のための十分な時間があり、目標となるノードは数年後だと考えられている。しかしカーターは、Googleの論文が明確に逆の結論を示していると述べる。量子デーはしきい値式の出来事として突然到来するのだ。大規模な量子誤り訂正技術のブレークスルーが実現すれば、弱い攻撃から始まり、256ビットの秘密鍵を完全に解読するまでのプロセスは急速に進行する。注目すべき別の細部もある。Googleチームは具体的な量子アルゴリズムを公開しておらず、有効性を検証するゼロ知識証明だけを公表している。これは、アルゴリズムの原理を明かさない前提で妥当性を示すもので、いわば意図的に切り札を温存しているに等しい。2本の論文はいずれも、米国の国立標準技術研究所(NIST)および国家安全保障局(NSA)との協議の後に発表された。カーターは、今後正式な審査・統制の仕組みが導入される可能性があると見込んでいる。その時点で外部は量子技術の進展について何も知らされず、「事前」と「事後」の区切りだけが残る。Googleは社内の量子技術の転換に関する期限を2029年まで前倒しした。米国政府は重要なシステムを2030年までにアップグレード完了するよう求めている。Chaincodeラボの論文では、ビットコインのポスト量子時代への移行は通常のペースなら7年、緊急に前倒ししても2年かかると見積もっている。カーターは、ビットコインの移行作業は2030年までに完了することは不可能だと考え、Google自身が設定した期限より1年遅れる見通しだという。9分間の攻撃で全てがひっくり返る------------Googleの論文は、カーター自身が確率的に極めて低いと考えていた攻撃経路を明らかにした。ビットコインを送ると、あなたの公開鍵は取引の確認が行われるまでの短い間、ネットワーク上に一時的に露出する。Googleの論文の計算によれば、量子コンピュータはこの確認ウィンドウ内に秘密鍵を解読し、その上で競合する取引をブロードキャストすることで、元の取引が完了する前に資金を盗み取ることができる。どれほど厳密にウォレット操作を行い、まったく新しいアドレスを使うなどの手段を講じても、このウィンドウ内に仕掛けられる攻撃面の前では無力になる。この種の攻撃が実行可能になるハードウェアが登場する前に、ネットワーク全体が後量子化アップグレードを100%完了していなければ、いかなる取引も安全とは言えない。サトシ(中本)コインをめぐる争い-------合計690万枚のビットコイン(総供給量の3分の1)が、公開鍵が露出しているアドレスに保管されている。そのうち230万枚は、サトシの初期ブロック、または失われたと認定されたトークンであり、それに対応する秘密鍵の保有者がいない。つまり、永遠に能動的な移行は不可能だ。この資産に対して、Googleの論文は4つの解決策を提示している。1. 放置する 2. 恒久的に焼却する 3. 支出のレート制限を設定する 4. サイドチェーンへ移し、保有者が暗号証明によって払い戻し(赎還)できるようにする カーターは、機関勢力が2つ目の案を強く推すだろうと見込んでいる。彼は、世界の最大級のビットコインカストディ機関10〜20社(BlackRock、Coinbaseなど)が連名声明に署名し、「休眠トークンを焼却する分岐チェーンのみを支持する」と宣言することを予測している。この分岐チェーンが正統なビットコインになり、元のチェーンは廃棄され、ビットコインの総供給量は2100万枚から約1900万枚へと縮小される。カーターは、この行為は「私たちの最初の約束を全面的に裏切ることに相当し」、あるいは人類史上最大規模の「盗み」になる可能性があると語っている。だが、より根深い問題がある。ビットコインには、この種の意思決定を行う仕組みが欠けている。過去10年間、ビットコインのネットワークはプロトコルのアップグレードを2回しか完了していない――2017年のSegWitと2021年のTaprootへのアップグレードで、さらに2回のコンセンサスが成立するプロセスはまったく異なる。加えてカーターは、法的脅迫やネット上での嫌がらせによってコア開発者が後退を余儀なくされ、プロトコルの主導権を自ら放棄したと述べる。彼は現状を「権力の空白」と表現する。責任を負うことを拒む影響力のあるグループがいて、彼らが指し示す意思決定チャネル――「コミュニティの意向」――には、実際の落とし込みを実行する仕組みがないのだ。ポスト量子移行のあらゆるステップ、すなわち行動のコンセンサスを達成し、署名アルゴリズムを選び、5000万のアドレスを移行し、サトシ(中本)コインを処理することまでもが、この機能不全のガバナンス体系で行き詰まる。イーサリアムのほうが優位になり得る--------ポッドキャストの中で、揺るぎないビットコイン支持者であるカーター自身も、見たくはないにせよ、イーサリアムが暗号市場の頂点でビットコインを上回る可能性があると認めている。確かに、イーサリアムのエンジニアリングの改造規模はより大きい。ウォレットの署名アップグレードだけでなく、コンセンサス層とRollupのレイヤー2ネットワークも改造する必要がある。しかしイーサリアム財団はすでに明確なロードマップを公表しており、ジャスティン・ドレイク本人もGoogleの論文の執筆に関わっている。さらに、アカウント抽象化の特性により、ユーザーのアドレスを変えずに署名アルゴリズムの置き換えが可能で、運用がより便利になる。カーターは最終的に、次の結論で一致した。イーサリアムの量子攻撃面はビットコインより広いが、より強力で団結したコミュニティのリーダーシップが、その弱点を補っているのだ。彼はイーサリアム財団を評価しており、ビットコインの現状と対比して――現在は彼と少数の人々だけが量子の脅威を懸念している、と述べた。これまでのところ、ビットコインは過激な変革を拒むことで、何度かの危機をやり過ごしてきた。しかし量子の脅威は、この保守的な慣性を厳しく罰するようだ。先に転換を完了したパブリックチェーンが、量子時代以降の暗号業界の構図を主導することになる。
量子脅威の5つの中核ポイント
著者:David Christopher 出所:Bankless 訳:善欧巴,金色财经
ニック・カーターは、量子コンピューティングが暗号資産に脅威をもたらすことを声高に警告している数少ないビットコイン関係者の一人だ。過去数週間のうちに2本の注目度の高い論文が発表され、量子の脅威のタイムラインを「遠い未来」から「差し迫った現実」へと引き寄せた。カーターもBanklessの番組に出演し、その潜在的な破壊力を詳しく分析した。総合すると、2つの研究はいずれも次のことを示している。暗号通貨の署名アルゴリズムを解読するのに必要なハードウェアの敷居は20〜50倍に引き下げられ、見積もられた攻撃の攻撃ウィンドウも数カ月から数分へと短縮される。
以下は5つの主要ポイントだ。
Googleの論文がビットコインの脅威モデルを完全に書き換え
つい最近まで、研究界の主流のコンセンサスはこうだった。ブロックチェーンの暗号アルゴリズムに対する最初の量子攻撃には数週間、あるいは数カ月かかり、数百万量子ビット(量子コンピュータの中核となる演算ユニット)を要する。
これらのパラメータは、業界に一見すると安全なバッファを築いていた。
ところが暗号学者のダン・ボネ、Googleの量子AIチームのクレイグ・ジニ、およびイーサリアム財団の研究員ジャスティン・ドレイクが共同で執筆したGoogleの論文は、その「セーフティネット」を正面から引き裂いた。従来の見積もりでは、攻撃を実行するには数十万の物理量子ビットが必要だったが、Googleの論文ではこの敷居を約20倍大幅に引き下げ、ECDSAアルゴリズムを解読する攻撃ウィンドウをわずか9分に圧縮した。ECDSAはビットコインとイーサリアムのすべての取引承認が依存する暗号署名方式だ。別の論文では、Atom Quantum社とカリフォルニア工科大学の結論がさらに強い。別のハードウェア構成を用いれば、同じ暗号アルゴリズムを解読するのに1万の物理量子ビットで足りるという。
そして現時点で世界に出回っているこの種のハードウェアは、最大計算能力が6000量子ビットに到達している。
2029年こそが本当の期限か
ビットコイン保有者や一部の開発者の間では、「量子デー」(すなわち、量子コンピュータが実戦でビットコインの暗号アルゴリズムを解読できるようになる日)は段階的に到来する、つまり技術が徐々に反復・改善されるのを目にでき、準備のための十分な時間があり、目標となるノードは数年後だと考えられている。
しかしカーターは、Googleの論文が明確に逆の結論を示していると述べる。量子デーはしきい値式の出来事として突然到来するのだ。大規模な量子誤り訂正技術のブレークスルーが実現すれば、弱い攻撃から始まり、256ビットの秘密鍵を完全に解読するまでのプロセスは急速に進行する。
注目すべき別の細部もある。Googleチームは具体的な量子アルゴリズムを公開しておらず、有効性を検証するゼロ知識証明だけを公表している。これは、アルゴリズムの原理を明かさない前提で妥当性を示すもので、いわば意図的に切り札を温存しているに等しい。2本の論文はいずれも、米国の国立標準技術研究所(NIST)および国家安全保障局(NSA)との協議の後に発表された。カーターは、今後正式な審査・統制の仕組みが導入される可能性があると見込んでいる。その時点で外部は量子技術の進展について何も知らされず、「事前」と「事後」の区切りだけが残る。
Googleは社内の量子技術の転換に関する期限を2029年まで前倒しした。米国政府は重要なシステムを2030年までにアップグレード完了するよう求めている。Chaincodeラボの論文では、ビットコインのポスト量子時代への移行は通常のペースなら7年、緊急に前倒ししても2年かかると見積もっている。カーターは、ビットコインの移行作業は2030年までに完了することは不可能だと考え、Google自身が設定した期限より1年遅れる見通しだという。
9分間の攻撃で全てがひっくり返る
Googleの論文は、カーター自身が確率的に極めて低いと考えていた攻撃経路を明らかにした。
ビットコインを送ると、あなたの公開鍵は取引の確認が行われるまでの短い間、ネットワーク上に一時的に露出する。Googleの論文の計算によれば、量子コンピュータはこの確認ウィンドウ内に秘密鍵を解読し、その上で競合する取引をブロードキャストすることで、元の取引が完了する前に資金を盗み取ることができる。どれほど厳密にウォレット操作を行い、まったく新しいアドレスを使うなどの手段を講じても、このウィンドウ内に仕掛けられる攻撃面の前では無力になる。
この種の攻撃が実行可能になるハードウェアが登場する前に、ネットワーク全体が後量子化アップグレードを100%完了していなければ、いかなる取引も安全とは言えない。
サトシ(中本)コインをめぐる争い
合計690万枚のビットコイン(総供給量の3分の1)が、公開鍵が露出しているアドレスに保管されている。そのうち230万枚は、サトシの初期ブロック、または失われたと認定されたトークンであり、それに対応する秘密鍵の保有者がいない。つまり、永遠に能動的な移行は不可能だ。
この資産に対して、Googleの論文は4つの解決策を提示している。
放置する
恒久的に焼却する
支出のレート制限を設定する
サイドチェーンへ移し、保有者が暗号証明によって払い戻し(赎還)できるようにする
カーターは、機関勢力が2つ目の案を強く推すだろうと見込んでいる。
彼は、世界の最大級のビットコインカストディ機関10〜20社(BlackRock、Coinbaseなど)が連名声明に署名し、「休眠トークンを焼却する分岐チェーンのみを支持する」と宣言することを予測している。この分岐チェーンが正統なビットコインになり、元のチェーンは廃棄され、ビットコインの総供給量は2100万枚から約1900万枚へと縮小される。カーターは、この行為は「私たちの最初の約束を全面的に裏切ることに相当し」、あるいは人類史上最大規模の「盗み」になる可能性があると語っている。
だが、より根深い問題がある。ビットコインには、この種の意思決定を行う仕組みが欠けている。過去10年間、ビットコインのネットワークはプロトコルのアップグレードを2回しか完了していない――2017年のSegWitと2021年のTaprootへのアップグレードで、さらに2回のコンセンサスが成立するプロセスはまったく異なる。加えてカーターは、法的脅迫やネット上での嫌がらせによってコア開発者が後退を余儀なくされ、プロトコルの主導権を自ら放棄したと述べる。彼は現状を「権力の空白」と表現する。責任を負うことを拒む影響力のあるグループがいて、彼らが指し示す意思決定チャネル――「コミュニティの意向」――には、実際の落とし込みを実行する仕組みがないのだ。
ポスト量子移行のあらゆるステップ、すなわち行動のコンセンサスを達成し、署名アルゴリズムを選び、5000万のアドレスを移行し、サトシ(中本)コインを処理することまでもが、この機能不全のガバナンス体系で行き詰まる。
イーサリアムのほうが優位になり得る
ポッドキャストの中で、揺るぎないビットコイン支持者であるカーター自身も、見たくはないにせよ、イーサリアムが暗号市場の頂点でビットコインを上回る可能性があると認めている。
確かに、イーサリアムのエンジニアリングの改造規模はより大きい。ウォレットの署名アップグレードだけでなく、コンセンサス層とRollupのレイヤー2ネットワークも改造する必要がある。しかしイーサリアム財団はすでに明確なロードマップを公表しており、ジャスティン・ドレイク本人もGoogleの論文の執筆に関わっている。さらに、アカウント抽象化の特性により、ユーザーのアドレスを変えずに署名アルゴリズムの置き換えが可能で、運用がより便利になる。
カーターは最終的に、次の結論で一致した。イーサリアムの量子攻撃面はビットコインより広いが、より強力で団結したコミュニティのリーダーシップが、その弱点を補っているのだ。彼はイーサリアム財団を評価しており、ビットコインの現状と対比して――現在は彼と少数の人々だけが量子の脅威を懸念している、と述べた。
これまでのところ、ビットコインは過激な変革を拒むことで、何度かの危機をやり過ごしてきた。しかし量子の脅威は、この保守的な慣性を厳しく罰するようだ。先に転換を完了したパブリックチェーンが、量子時代以降の暗号業界の構図を主導することになる。