私たちはしばしば量子計算の突破に関する扇情的なニュースを耳にします。しかし、量子計算は本当に今後5年以内に現代の暗号を解読できるのでしょうか?a16zの研究パートナーであるジャスティン・セイラーは、詳細な分析の中で、量子計算が暗号システムに脅威をもたらす時期についての見積もりはしばしば過大評価されていると指摘しています。この研究は、核心的な事実を明らかにしています:確かに量子計算は長期的なリスクを構成しますが、その到来は多くの人が主張するよりもはるかに遅いのです。さらに重要なのは、異なる暗号技術が直面する脅威の程度は全く異なるという点であり、この重要な違いはしばしば見落とされがちです。量子計算による暗号への脅威は単一の事象ではなく、具体的な用途に応じて詳細に分析すべき複雑な問題です。本稿では、これらの脅威の実際の時期、実際のリスク、そして各業界がどう対応すべきかについて体系的に解説します。## 量子計算の実際の進展:技術的現実とマーケティングの宣伝「量子計算」と聞くと、多くの人はRSA-2048やsecp256k1(ビットコインで使われる楕円曲線暗号)といった現代暗号を解読できる汎用量子コンピュータを想像します。この種のコンピュータは、厳格な条件を満たす必要があります:誤り耐性を持ち、誤り訂正能力を備え、ショアのアルゴリズムを実行でき、合理的な時間内(例:1か月以内)に解読を完了できる規模です。公開されている技術レポートや資源評価によると、そのようなシステムからはまだ遠い状況です。一部の企業は2030年やそれ以降に実現可能と主張していますが、現行の技術進展はこれらの楽観的な見積もりを支持していません。現在のイオントラップ、超伝導量子ビット、中性原子プラットフォームはいずれもRSA-2048の解読に必要な規模には達していません。これらの暗号を解読するには、数万から場合によっては数百万の物理量子ビットが必要とされ、その具体的な数は誤り率や誤り訂正の方式に依存します。重要なボトルネックは、量子ビットの数だけでなく、ゲート操作の精度、量子ビット間の結合性、深い量子アルゴリズムをサポートする誤り訂正回路の深さです。現在のシステムは、物理量子ビット数が1000を超えるものもありますが、これは誤解を招く数字です。これらのシステムは必要な結合性や精度を欠いており、暗号解析計算を実行できません。RSA-2048の解読には、数万、あるいは数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。また、門操作の精度、量子ビット間の結合性、深い誤り訂正回路の必要性も重要です。物理量子ビット数が1000を超えるシステムもありますが、これらは誤解を招く数字です。これらのシステムは、暗号解読に必要な結合性や精度を満たしていません。RSA-2048の解読には、数万から数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。現状のシステムは、物理量子ビットの数だけでなく、ゲート操作の精度、量子ビット間の結合性、深い誤り訂正回路の深さも課題です。物理量子ビット数が1000を超えるシステムもありますが、これらは誤解を招く数字です。これらのシステムは、暗号解読に必要な結合性や精度を満たしていません。RSA-2048の解読には、数万から数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。### なぜニュース報道はこれほど誤解を招くのか?商業ニュースやメディアはしばしば混乱を招きます。主な原因は次の通りです。**「量子優位性」の誤解を招くデモ**:現在のデモは、多くの場合、特定の計算タスクに限定されており、実用的な応用ではなく、あくまでハードウェアの能力を示すためのものであることが多い。これがしばしば見落とされる。**「数千の物理量子ビット」の誤解**:この表現は、絶熱量子計算機(アニーリングマシン)を指すことが多く、ショアのアルゴリズムを実行して公開鍵暗号を解読できるゲート型の量子コンピュータを意味しません。**「論理量子ビット」の乱用**:物理量子ビットはノイズの影響を受けやすいため、実用には誤り訂正を用いて複数の物理ビットから「論理量子ビット」を構築します。ショアのアルゴリズムを動かすには、数千の論理量子ビットが必要であり、各論理ビットには数百から数千の物理ビットが必要です。しかし、一部の企業は、誤り検出だけを行う「距離-2」の誤り訂正符号を用いて48の論理量子ビットを達成したと誇張し、各論理ビットに2つの物理ビットだけを使っていると主張していますが、これは全くの誤りです。**ロードマップの虚偽の約束**:多くのプロジェクトのロードマップでは、「論理量子ビット」が「クリフォード操作」だけをサポートすると記載されていることがあります。これらの操作は古典的な計算機上で模擬可能であり、ショアのアルゴリズムに必要な「非クリフォードゲート」(例:Tゲート)を実行できません。したがって、たとえロードマップが「数千の論理量子ビット」を実現するとしても、それは暗号解読のための実用的な量子コンピュータの実現を意味しません。これらの実態は、一般の認識(多くの専門家も含む)を歪め、量子計算の進展に対する理解に偏りをもたらしています。### 専門家でさえ威嚇的な脅威時期を誇張している著名な量子計算研究者のスコット・アーロンソンも、最近の議論で、「ハードウェアの驚異的な進歩」を考慮すると、「次期米大統領選前に、ショアのアルゴリズムを動かせる誤り耐性のある量子コンピュータが出現する可能性は『現実的』」と述べています。ただし、彼はすぐにこれを明確にし、「これは暗号を解読できる量子コンピュータを意味しない」と付け加えています。彼が言う「現実的」な例は、15の素因数分解(紙とペンの計算の方が速い)を行える誤り訂正のある量子コンピュータの出現です。これはあくまで小規模なデモであり、模15の演算は単純なため、少し大きな数字(例:21)になると非常に複雑になります。**結論**:RSA-2048やsecp256k1の解読に使える量子計算機が今後5年以内に出現するという見解は、公開された技術的成果に裏付けられていません。10年のスケジュールに緩めても、その目標は非常に大きなものです。したがって、進展に対する興奮と「あと数十年かかる」という時間評価は矛盾しません。## 異なる暗号技術のリスクレベルの違い量子計算の脅威を理解するには、異なる暗号技術が直面するリスクの違いを認識することが極めて重要です。この違いは非常に重要ですが、多くの場合見落とされています。### 「今の暗号、未来の解読」攻撃は特定のツールにのみ適用**「今の暗号、未来の解読」(Harvest Now, Decrypt Later)攻撃の仕組み**:攻撃者は現在の通信を収集・保存し、将来量子コンピュータが出現したときに解読します。国家レベルの対抗者は、米国政府の暗号情報を大量に保存し、将来解読できるようにしている可能性があります。この攻撃は**暗号アルゴリズム**に対して直接的な脅威です。今日暗号化された機密情報は、将来的に価値が維持されるため、量子計算機の出現とともに解読される可能性があります。したがって、長期的な秘密保持が必要なデータについては、ポスト量子暗号の即時導入が不可欠です。ただし、これは**デジタル署名**には全く適用されません。### デジタル署名のリスクは全く異なるデジタル署名(すべてのブロックチェーンの基盤)は、秘密性を保護する必要がなく、復号攻撃に対して耐性を持つ必要もありません。将来量子計算機が出現しても、それは署名の**偽造**を可能にするだけであり、過去の署名を解読することはできません。署名が量子計算機の前に生成されたものであれば、その偽造は不可能です。これにより、ポスト量子署名への移行の緊急性は**暗号の移行**よりもはるかに低くなります。ポスト量子署名の導入には、サイズ増大や性能低下、未成熟な技術、潜在的な脆弱性といったコストとリスクが伴うため、慎重な計画が必要です。### ゼロ知識証明の特殊性ゼロ知識証明(zkSNARK)についても同様です。たとえzkSNARKが量子耐性のない楕円曲線暗号を用いていても、その「ゼロ知識」属性自体は量子耐性を持ちます。この属性は、秘密に関する情報を漏らさずに証明を行うものであり、たとえ量子計算機があっても秘密情報が漏れることはありません。したがって、「今盗み出して、未来に解読」されるリスクはありません。## ブロックチェーンエコシステムにおける量子計算の脅威評価### 大半のパブリックチェーンはこの種の攻撃に自然免疫**ビットコインやイーサリアムなどの非プライバシー系パブリックチェーン**は、ポスト量子暗号の適用範囲が主に署名に限定されているため、これらの署名は「今の暗号、未来の解読」攻撃の対象にはなりません。ビットコインは公開情報であり、量子脅威は資金の盗難を目的とした署名の偽造に限定されます。これにより、即時のポスト量子移行の暗号学的必要性は低いです。ただし、米連邦準備制度理事会などの分析は、ビットコインがこの種の攻撃に脆弱だと誤って主張しており、移行の緊急性を過大評価しています。もちろん、ビットコインは完全に安全ではありません。さまざまな時間的制約(例:大規模な社会的調整を伴うプロトコル変更の必要性)に直面しています。### プライバシーコインの実際のリスク**例外はプライバシーコイン**です。多くのプライバシーコインは、受取人や金額を暗号化または隠蔽しています。これらの秘密データは、今日すでに盗まれ、将来的に楕円曲線暗号を解読できる量子計算機を用いて匿名化される可能性があります。攻撃の深刻さは、設計次第です(例:Moneroのリング署名やキーマトリックスは、取引全体の復元を可能にする場合があります)。したがって、ユーザーが自分の取引が将来量子計算機によって解読されることを懸念する場合、早急にポスト量子原語やハイブリッド方式に移行すべきです。## ビットコインの特有の課題:ガバナンスの遅さと「ゾンビコイン」問題ビットコインにとって、次の2つの要因がポスト量子署名の緊急性をもたらしていますが、これらは量子技術そのものに起因するものではありません。**ガバナンスの遅さ**:ビットコインの進化は遅く、意見の不一致は破壊的なハードフォークを引き起こす可能性があります。**受動的な移行の不可能性**:コイン所有者が自発的に移行しなければなりません。これにより、放置されたままの、量子攻撃に脆弱なコインが存在します。推定では、数百万の「ゾンビ」コインがあり、これらは今日の価格で数兆円に相当します。ただし、ビットコインの量子脅威は一夜にして起こるものではなく、選択的かつ段階的な攻撃となるでしょう。初期の量子攻撃は非常に高コストで遅く、攻撃者は高価値のウォレットをターゲットに選びます。アドレスの再利用を避け、Taprootを使わないユーザーは、基本的に安全です(公開鍵はハッシュに隠されているため)。取引の公開時にのみ公開鍵が露出し、その後短時間での確認を促すことで、量子攻撃者は秘密鍵を事前に計算し、資産を盗むことを試みます。最も脆弱なのは、公開鍵がすでに露出しているコインです。例:P2PK出力や再利用されたアドレス、Taprootに保存された資産です。放置された脆弱なコインの解決策は複雑で、コミュニティが「期限」を設定し、その期限後に未移行のコインを破壊とみなすか、放置して未来の量子コンピュータに任せるかの選択になります。また、ビットコインのもう一つの課題は、低い取引スループットです。移行計画が合意に達しても、現行の速度ではすべての脆弱な資産を移行するには数か月かかる見込みです。これらの課題から、ビットコインは**今すぐ**ポスト量子時代の移行計画を始める必要があります。これは、2030年に量子コンピュータが出現する可能性があるからではなく、管理・調整・技術的な物流のために数年の準備が必要だからです。**補足**:署名に関するこれらの脆弱性は、ビットコインの経済的安全性(PoWの合意形成)には影響しません。PoWはハッシュ計算に依存し、グローバーのアルゴリズムによる二乗の加速は理論上可能ですが、実際にはコストが非常に高いため、実用的な加速は困難です。仮に加速したとしても、大規模マイナーの優位性をもたらすだけで、経済的安全性を破壊するものではありません。## ポスト量子署名のコストとリスク分析なぜブロックチェーンは急いでポスト量子署名を導入すべきでないのか?これらの新しい方案の性能コストと、これらの未成熟な解決策に対する信頼性の問題を理解する必要があります。ポスト量子暗号は、ハッシュ、符号化、格子、多項式系、楕円曲線といった五つの数学的困難問題に基づいています。これらの多様性は、効率と問題の構造性のトレードオフによるものです。構造が強いほど効率は良くなる一方、攻撃の入り口も増えます。**ハッシュ系**:最も保守的(安全性の信頼性は高い)が、性能は最悪です。NIST標準のハッシュアルゴリズムの最小署名サイズは7-8 KBであり、現行の楕円曲線署名は64バイトです。数百倍の差があります。**格子系**:現在の標準的な候補です。NISTの唯一のポスト量子暗号化方式(ML-KEM)と、3つの署名方式のうち2つ(ML-DSA、Falcon)は格子に基づいています。- ML-DSA署名は約2.4-4.6 KBで、現行の署名より40-70倍大きい。- Falconは比較的小さく(0.7-1.3 KB)ですが、実装が非常に複雑で、一定時間の浮動小数点演算を伴い、サイドチャネル攻撃に対して脆弱です。開発者はこれを「最も複雑な暗号アルゴリズム」と呼んでいます。- 実装の安全性はより難しく、格子署名は中間値やサンプリング拒否ロジックが複雑であり、楕円曲線署名よりもサイドチャネルや故障注入に対する防御が強化されている必要があります。これらの実装上の問題は、遠い将来の量子計算機と比較して、はるかに差し迫ったリスクです。歴史的に見ても、NISTの主要候補であるRainbow(多項式基盤の署名)やSIKE/SIDH(等距離暗号)は、古典的計算機上ですでに破られています。これは、早期の標準化と導入のリスクを示しています。インターネットのインフラは、新しい署名方式への移行に慎重です。移行には数年を要し、MD5やSHA-1の移行も長期間にわたっています。## インターネットインフラとブロックチェーンの共通の課題良い点は、EthereumやSolanaのようなオープンソースのブロックチェーンは、従来のネットワークインフラよりも迅速にアップグレードできることです。一方、従来のネットワークは頻繁な鍵のローテーションにより攻撃面を縮小できますが、ブロックチェーンのコインや関連鍵は長期間脆弱なままになる可能性があります。全体として、ブロックチェーンはPKI(公開鍵基盤)コミュニティの慎重な戦略を模倣し、署名の移行計画を立てるべきです。両者とも、「今の暗号、未来の解読」攻撃には耐性があり、ポスト量子移行のコストとリスクは非常に高いです。また、ブロックチェーンには特有の特徴があり、早期の移行は特に危険です。**署名のアグリゲーションの必要性**:BLS署名のように、多数の署名を高速にまとめる技術があります。BLSは高速ですが、ポスト量子安全ではありません。SNARKに基づくポスト量子署名の研究は、今後数ヶ月から数年で格子ベースの代替SNARKに置き換わる可能性があり、証明長や効率面で優れた性能を示す見込みです。より緊急の課題は、実装の安全性を確保することです。今後数年間、実装の脆弱性やサイドチャネル攻撃により、SNARKやポスト量子署名の安全性が脅かされる可能性は、量子計算機よりもはるかに大きいです。特に、ソフトウェアの脆弱性や実装ミスは、最も大きなリスクです。したがって、早すぎる移行は、未解決の脆弱性や欠陥を抱えたままの状態に陥る危険性があります。## 今後の戦略:7つの提言上述の現実を踏まえ、すべての関係者(開発者から意思決定者まで)に対して、次の戦略的提言を行います。原則:量子脅威を真剣に捉えるべきですが、2030年前に暗号を解読できる量子計算機が出現するという仮定は誤りです。現状の成果はこれを支持していません。それでも、今すぐにできること、すべきことがあります。**1. 早急にハイブリッド暗号を導入**:長期的な秘密保持が必要な場面では、少なくとも即時に導入を検討すべきです。多くのブラウザ、CDN、メッセージングアプリ(iMessage、Signalなど)はすでに導入を始めています。ハイブリッド方式(ポスト量子+従来の暗号)は、こうした攻撃からの防御と、潜在的な新方式の欠陥に対する保険となります。**2. 許容できるサイズの範囲では、ハッシュベースの署名を即時に採用**:例として、低頻度のソフトウェアやファームウェアの更新(サイズが重要でない場合)には、今すぐハッシュ署名のハイブリッドを使うことが可能です。もし量子計算機が予想外に早く出現した場合でも、この措置は「安全な救命胴衣」となります。**3. ブロックチェーンはポスト量子署名を急いで導入しなくてよいが、計画は直ちに始めるべき**。**4. 開発者は、PKIコミュニティの慎重なアプローチを模範とし、提案された解決策の成熟度を高める努力をすべきです**。**5. ビットコインなどのパブリックチェーンは、今すぐ移行計画と「ゾンビ」資産の対応策を決定すべき**。特に、ガバナンスの遅さや、放置された資産の脆弱性に対処する必要があります。**6. ポスト量子SNARKやアグリゲーション署名の研究を成熟させるために、数年の準備期間を確保すべき**。これにより、早すぎる固定化による次善策の採用を避けられます。**7. イーサリアムのアカウントについて**:スマートコントラクトウォレット(アップグレード可能なもの)は、よりスムーズな移行を可能にしますが、根本的な違いはありません。最も重要なのは、コミュニティがポスト量子原語の研究と緊急対応計画を推進し続けることです。より広範な設計の観点からは、アカウントの識別子と署名方式を分離(例:アカウント抽象化)することで、ポスト量子時代の移行や、取引のスポンサーシップ、社会的復旧などの機能を柔軟にサポートできます。**8. プライバシーコインは優先的に移行すべき**:プライバシーのために暗号化された情報は、すでに盗まれている可能性があり、将来的に量子計算機で解読されるリスクがあります。設計次第では、匿名化のための暗号方式やアーキテクチャの変更が必要です。**9. 短期的には、実現の安全性を優先すべき**:量子計算機よりも、実装の脆弱性やサイドチャネル攻撃のリスクの方がはるかに高いです。今こそ、監査、ファジング、形式検証、層別防御に投資すべきです。**10. 量子計算の研究開発への継続的資金投入**:国家安全保障の観点から、持続的な投資と人材育成が必要です。主要な対抗国が暗号学的な量子計算能力を先行獲得すれば、深刻なリスクとなります。**11. 量子計算のニュースを冷静に受け止める**:今後も多くのマイルストーンが報じられるでしょうが、それらはむしろ、我々が目標から遠く離れている証拠です。ニュースは批判的に評価し、急いで行動すべき信号とみなさないことが重要です。技術的なブレークスルーは進展を加速させる可能性もありますが、現状のボトルネックは依然として大きいです。私は、今後5年以内に何かが起こる可能性は低いと考えています。これらの提言に従うことで、より直接的で現実的なリスク(実現の脆弱性、誤った導入、誤った暗号移行)を回避できるでしょう。
量子計算が暗号学に脅威をもたらす現実的なタイムライン: 「5年、10年、またはそれ以上」の議論における合理的な評価
私たちはしばしば量子計算の突破に関する扇情的なニュースを耳にします。しかし、量子計算は本当に今後5年以内に現代の暗号を解読できるのでしょうか?a16zの研究パートナーであるジャスティン・セイラーは、詳細な分析の中で、量子計算が暗号システムに脅威をもたらす時期についての見積もりはしばしば過大評価されていると指摘しています。この研究は、核心的な事実を明らかにしています:確かに量子計算は長期的なリスクを構成しますが、その到来は多くの人が主張するよりもはるかに遅いのです。さらに重要なのは、異なる暗号技術が直面する脅威の程度は全く異なるという点であり、この重要な違いはしばしば見落とされがちです。
量子計算による暗号への脅威は単一の事象ではなく、具体的な用途に応じて詳細に分析すべき複雑な問題です。本稿では、これらの脅威の実際の時期、実際のリスク、そして各業界がどう対応すべきかについて体系的に解説します。
量子計算の実際の進展:技術的現実とマーケティングの宣伝
「量子計算」と聞くと、多くの人はRSA-2048やsecp256k1(ビットコインで使われる楕円曲線暗号)といった現代暗号を解読できる汎用量子コンピュータを想像します。この種のコンピュータは、厳格な条件を満たす必要があります:誤り耐性を持ち、誤り訂正能力を備え、ショアのアルゴリズムを実行でき、合理的な時間内(例:1か月以内)に解読を完了できる規模です。
公開されている技術レポートや資源評価によると、そのようなシステムからはまだ遠い状況です。一部の企業は2030年やそれ以降に実現可能と主張していますが、現行の技術進展はこれらの楽観的な見積もりを支持していません。現在のイオントラップ、超伝導量子ビット、中性原子プラットフォームはいずれもRSA-2048の解読に必要な規模には達していません。これらの暗号を解読するには、数万から場合によっては数百万の物理量子ビットが必要とされ、その具体的な数は誤り率や誤り訂正の方式に依存します。
重要なボトルネックは、量子ビットの数だけでなく、ゲート操作の精度、量子ビット間の結合性、深い量子アルゴリズムをサポートする誤り訂正回路の深さです。現在のシステムは、物理量子ビット数が1000を超えるものもありますが、これは誤解を招く数字です。これらのシステムは必要な結合性や精度を欠いており、暗号解析計算を実行できません。RSA-2048の解読には、数万、あるいは数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。
また、門操作の精度、量子ビット間の結合性、深い誤り訂正回路の必要性も重要です。物理量子ビット数が1000を超えるシステムもありますが、これらは誤解を招く数字です。これらのシステムは、暗号解読に必要な結合性や精度を満たしていません。RSA-2048の解読には、数万から数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。
現状のシステムは、物理量子ビットの数だけでなく、ゲート操作の精度、量子ビット間の結合性、深い誤り訂正回路の深さも課題です。物理量子ビット数が1000を超えるシステムもありますが、これらは誤解を招く数字です。これらのシステムは、暗号解読に必要な結合性や精度を満たしていません。RSA-2048の解読には、数万から数百万の物理量子ビットが必要とされ、その具体的な数は誤り率と誤り訂正の方式に依存します。
なぜニュース報道はこれほど誤解を招くのか?
商業ニュースやメディアはしばしば混乱を招きます。主な原因は次の通りです。
「量子優位性」の誤解を招くデモ:現在のデモは、多くの場合、特定の計算タスクに限定されており、実用的な応用ではなく、あくまでハードウェアの能力を示すためのものであることが多い。これがしばしば見落とされる。
「数千の物理量子ビット」の誤解:この表現は、絶熱量子計算機(アニーリングマシン)を指すことが多く、ショアのアルゴリズムを実行して公開鍵暗号を解読できるゲート型の量子コンピュータを意味しません。
「論理量子ビット」の乱用:物理量子ビットはノイズの影響を受けやすいため、実用には誤り訂正を用いて複数の物理ビットから「論理量子ビット」を構築します。ショアのアルゴリズムを動かすには、数千の論理量子ビットが必要であり、各論理ビットには数百から数千の物理ビットが必要です。しかし、一部の企業は、誤り検出だけを行う「距離-2」の誤り訂正符号を用いて48の論理量子ビットを達成したと誇張し、各論理ビットに2つの物理ビットだけを使っていると主張していますが、これは全くの誤りです。
ロードマップの虚偽の約束:多くのプロジェクトのロードマップでは、「論理量子ビット」が「クリフォード操作」だけをサポートすると記載されていることがあります。これらの操作は古典的な計算機上で模擬可能であり、ショアのアルゴリズムに必要な「非クリフォードゲート」(例:Tゲート)を実行できません。したがって、たとえロードマップが「数千の論理量子ビット」を実現するとしても、それは暗号解読のための実用的な量子コンピュータの実現を意味しません。
これらの実態は、一般の認識(多くの専門家も含む)を歪め、量子計算の進展に対する理解に偏りをもたらしています。
専門家でさえ威嚇的な脅威時期を誇張している
著名な量子計算研究者のスコット・アーロンソンも、最近の議論で、「ハードウェアの驚異的な進歩」を考慮すると、「次期米大統領選前に、ショアのアルゴリズムを動かせる誤り耐性のある量子コンピュータが出現する可能性は『現実的』」と述べています。ただし、彼はすぐにこれを明確にし、「これは暗号を解読できる量子コンピュータを意味しない」と付け加えています。彼が言う「現実的」な例は、15の素因数分解(紙とペンの計算の方が速い)を行える誤り訂正のある量子コンピュータの出現です。これはあくまで小規模なデモであり、模15の演算は単純なため、少し大きな数字(例:21)になると非常に複雑になります。
結論:RSA-2048やsecp256k1の解読に使える量子計算機が今後5年以内に出現するという見解は、公開された技術的成果に裏付けられていません。10年のスケジュールに緩めても、その目標は非常に大きなものです。したがって、進展に対する興奮と「あと数十年かかる」という時間評価は矛盾しません。
異なる暗号技術のリスクレベルの違い
量子計算の脅威を理解するには、異なる暗号技術が直面するリスクの違いを認識することが極めて重要です。この違いは非常に重要ですが、多くの場合見落とされています。
「今の暗号、未来の解読」攻撃は特定のツールにのみ適用
「今の暗号、未来の解読」(Harvest Now, Decrypt Later)攻撃の仕組み:攻撃者は現在の通信を収集・保存し、将来量子コンピュータが出現したときに解読します。国家レベルの対抗者は、米国政府の暗号情報を大量に保存し、将来解読できるようにしている可能性があります。
この攻撃は暗号アルゴリズムに対して直接的な脅威です。今日暗号化された機密情報は、将来的に価値が維持されるため、量子計算機の出現とともに解読される可能性があります。したがって、長期的な秘密保持が必要なデータについては、ポスト量子暗号の即時導入が不可欠です。ただし、これはデジタル署名には全く適用されません。
デジタル署名のリスクは全く異なる
デジタル署名(すべてのブロックチェーンの基盤)は、秘密性を保護する必要がなく、復号攻撃に対して耐性を持つ必要もありません。将来量子計算機が出現しても、それは署名の偽造を可能にするだけであり、過去の署名を解読することはできません。署名が量子計算機の前に生成されたものであれば、その偽造は不可能です。
これにより、ポスト量子署名への移行の緊急性は暗号の移行よりもはるかに低くなります。ポスト量子署名の導入には、サイズ増大や性能低下、未成熟な技術、潜在的な脆弱性といったコストとリスクが伴うため、慎重な計画が必要です。
ゼロ知識証明の特殊性
ゼロ知識証明(zkSNARK)についても同様です。たとえzkSNARKが量子耐性のない楕円曲線暗号を用いていても、その「ゼロ知識」属性自体は量子耐性を持ちます。この属性は、秘密に関する情報を漏らさずに証明を行うものであり、たとえ量子計算機があっても秘密情報が漏れることはありません。したがって、「今盗み出して、未来に解読」されるリスクはありません。
ブロックチェーンエコシステムにおける量子計算の脅威評価
大半のパブリックチェーンはこの種の攻撃に自然免疫
ビットコインやイーサリアムなどの非プライバシー系パブリックチェーンは、ポスト量子暗号の適用範囲が主に署名に限定されているため、これらの署名は「今の暗号、未来の解読」攻撃の対象にはなりません。ビットコインは公開情報であり、量子脅威は資金の盗難を目的とした署名の偽造に限定されます。これにより、即時のポスト量子移行の暗号学的必要性は低いです。
ただし、米連邦準備制度理事会などの分析は、ビットコインがこの種の攻撃に脆弱だと誤って主張しており、移行の緊急性を過大評価しています。
もちろん、ビットコインは完全に安全ではありません。さまざまな時間的制約(例:大規模な社会的調整を伴うプロトコル変更の必要性)に直面しています。
プライバシーコインの実際のリスク
例外はプライバシーコインです。多くのプライバシーコインは、受取人や金額を暗号化または隠蔽しています。これらの秘密データは、今日すでに盗まれ、将来的に楕円曲線暗号を解読できる量子計算機を用いて匿名化される可能性があります。攻撃の深刻さは、設計次第です(例:Moneroのリング署名やキーマトリックスは、取引全体の復元を可能にする場合があります)。したがって、ユーザーが自分の取引が将来量子計算機によって解読されることを懸念する場合、早急にポスト量子原語やハイブリッド方式に移行すべきです。
ビットコインの特有の課題:ガバナンスの遅さと「ゾンビコイン」問題
ビットコインにとって、次の2つの要因がポスト量子署名の緊急性をもたらしていますが、これらは量子技術そのものに起因するものではありません。
ガバナンスの遅さ:ビットコインの進化は遅く、意見の不一致は破壊的なハードフォークを引き起こす可能性があります。
受動的な移行の不可能性:コイン所有者が自発的に移行しなければなりません。これにより、放置されたままの、量子攻撃に脆弱なコインが存在します。推定では、数百万の「ゾンビ」コインがあり、これらは今日の価格で数兆円に相当します。
ただし、ビットコインの量子脅威は一夜にして起こるものではなく、選択的かつ段階的な攻撃となるでしょう。初期の量子攻撃は非常に高コストで遅く、攻撃者は高価値のウォレットをターゲットに選びます。アドレスの再利用を避け、Taprootを使わないユーザーは、基本的に安全です(公開鍵はハッシュに隠されているため)。取引の公開時にのみ公開鍵が露出し、その後短時間での確認を促すことで、量子攻撃者は秘密鍵を事前に計算し、資産を盗むことを試みます。
最も脆弱なのは、公開鍵がすでに露出しているコインです。例:P2PK出力や再利用されたアドレス、Taprootに保存された資産です。放置された脆弱なコインの解決策は複雑で、コミュニティが「期限」を設定し、その期限後に未移行のコインを破壊とみなすか、放置して未来の量子コンピュータに任せるかの選択になります。
また、ビットコインのもう一つの課題は、低い取引スループットです。移行計画が合意に達しても、現行の速度ではすべての脆弱な資産を移行するには数か月かかる見込みです。
これらの課題から、ビットコインは今すぐポスト量子時代の移行計画を始める必要があります。これは、2030年に量子コンピュータが出現する可能性があるからではなく、管理・調整・技術的な物流のために数年の準備が必要だからです。
補足:署名に関するこれらの脆弱性は、ビットコインの経済的安全性(PoWの合意形成)には影響しません。PoWはハッシュ計算に依存し、グローバーのアルゴリズムによる二乗の加速は理論上可能ですが、実際にはコストが非常に高いため、実用的な加速は困難です。仮に加速したとしても、大規模マイナーの優位性をもたらすだけで、経済的安全性を破壊するものではありません。
ポスト量子署名のコストとリスク分析
なぜブロックチェーンは急いでポスト量子署名を導入すべきでないのか?これらの新しい方案の性能コストと、これらの未成熟な解決策に対する信頼性の問題を理解する必要があります。
ポスト量子暗号は、ハッシュ、符号化、格子、多項式系、楕円曲線といった五つの数学的困難問題に基づいています。これらの多様性は、効率と問題の構造性のトレードオフによるものです。構造が強いほど効率は良くなる一方、攻撃の入り口も増えます。
ハッシュ系:最も保守的(安全性の信頼性は高い)が、性能は最悪です。NIST標準のハッシュアルゴリズムの最小署名サイズは7-8 KBであり、現行の楕円曲線署名は64バイトです。数百倍の差があります。
格子系:現在の標準的な候補です。NISTの唯一のポスト量子暗号化方式(ML-KEM)と、3つの署名方式のうち2つ(ML-DSA、Falcon)は格子に基づいています。
これらの実装上の問題は、遠い将来の量子計算機と比較して、はるかに差し迫ったリスクです。歴史的に見ても、NISTの主要候補であるRainbow(多項式基盤の署名)やSIKE/SIDH(等距離暗号)は、古典的計算機上ですでに破られています。これは、早期の標準化と導入のリスクを示しています。
インターネットのインフラは、新しい署名方式への移行に慎重です。移行には数年を要し、MD5やSHA-1の移行も長期間にわたっています。
インターネットインフラとブロックチェーンの共通の課題
良い点は、EthereumやSolanaのようなオープンソースのブロックチェーンは、従来のネットワークインフラよりも迅速にアップグレードできることです。一方、従来のネットワークは頻繁な鍵のローテーションにより攻撃面を縮小できますが、ブロックチェーンのコインや関連鍵は長期間脆弱なままになる可能性があります。
全体として、ブロックチェーンはPKI(公開鍵基盤)コミュニティの慎重な戦略を模倣し、署名の移行計画を立てるべきです。両者とも、「今の暗号、未来の解読」攻撃には耐性があり、ポスト量子移行のコストとリスクは非常に高いです。
また、ブロックチェーンには特有の特徴があり、早期の移行は特に危険です。
署名のアグリゲーションの必要性:BLS署名のように、多数の署名を高速にまとめる技術があります。BLSは高速ですが、ポスト量子安全ではありません。SNARKに基づくポスト量子署名の研究は、今後数ヶ月から数年で格子ベースの代替SNARKに置き換わる可能性があり、証明長や効率面で優れた性能を示す見込みです。
より緊急の課題は、実装の安全性を確保することです。今後数年間、実装の脆弱性やサイドチャネル攻撃により、SNARKやポスト量子署名の安全性が脅かされる可能性は、量子計算機よりもはるかに大きいです。特に、ソフトウェアの脆弱性や実装ミスは、最も大きなリスクです。
したがって、早すぎる移行は、未解決の脆弱性や欠陥を抱えたままの状態に陥る危険性があります。
今後の戦略:7つの提言
上述の現実を踏まえ、すべての関係者(開発者から意思決定者まで)に対して、次の戦略的提言を行います。原則:量子脅威を真剣に捉えるべきですが、2030年前に暗号を解読できる量子計算機が出現するという仮定は誤りです。現状の成果はこれを支持していません。それでも、今すぐにできること、すべきことがあります。
1. 早急にハイブリッド暗号を導入:長期的な秘密保持が必要な場面では、少なくとも即時に導入を検討すべきです。多くのブラウザ、CDN、メッセージングアプリ(iMessage、Signalなど)はすでに導入を始めています。ハイブリッド方式(ポスト量子+従来の暗号)は、こうした攻撃からの防御と、潜在的な新方式の欠陥に対する保険となります。
2. 許容できるサイズの範囲では、ハッシュベースの署名を即時に採用:例として、低頻度のソフトウェアやファームウェアの更新(サイズが重要でない場合)には、今すぐハッシュ署名のハイブリッドを使うことが可能です。もし量子計算機が予想外に早く出現した場合でも、この措置は「安全な救命胴衣」となります。
3. ブロックチェーンはポスト量子署名を急いで導入しなくてよいが、計画は直ちに始めるべき。
4. 開発者は、PKIコミュニティの慎重なアプローチを模範とし、提案された解決策の成熟度を高める努力をすべきです。
5. ビットコインなどのパブリックチェーンは、今すぐ移行計画と「ゾンビ」資産の対応策を決定すべき。特に、ガバナンスの遅さや、放置された資産の脆弱性に対処する必要があります。
6. ポスト量子SNARKやアグリゲーション署名の研究を成熟させるために、数年の準備期間を確保すべき。これにより、早すぎる固定化による次善策の採用を避けられます。
7. イーサリアムのアカウントについて:スマートコントラクトウォレット(アップグレード可能なもの)は、よりスムーズな移行を可能にしますが、根本的な違いはありません。最も重要なのは、コミュニティがポスト量子原語の研究と緊急対応計画を推進し続けることです。より広範な設計の観点からは、アカウントの識別子と署名方式を分離(例:アカウント抽象化)することで、ポスト量子時代の移行や、取引のスポンサーシップ、社会的復旧などの機能を柔軟にサポートできます。
8. プライバシーコインは優先的に移行すべき:プライバシーのために暗号化された情報は、すでに盗まれている可能性があり、将来的に量子計算機で解読されるリスクがあります。設計次第では、匿名化のための暗号方式やアーキテクチャの変更が必要です。
9. 短期的には、実現の安全性を優先すべき:量子計算機よりも、実装の脆弱性やサイドチャネル攻撃のリスクの方がはるかに高いです。今こそ、監査、ファジング、形式検証、層別防御に投資すべきです。
10. 量子計算の研究開発への継続的資金投入:国家安全保障の観点から、持続的な投資と人材育成が必要です。主要な対抗国が暗号学的な量子計算能力を先行獲得すれば、深刻なリスクとなります。
11. 量子計算のニュースを冷静に受け止める:今後も多くのマイルストーンが報じられるでしょうが、それらはむしろ、我々が目標から遠く離れている証拠です。ニュースは批判的に評価し、急いで行動すべき信号とみなさないことが重要です。技術的なブレークスルーは進展を加速させる可能性もありますが、現状のボトルネックは依然として大きいです。私は、今後5年以内に何かが起こる可能性は低いと考えています。
これらの提言に従うことで、より直接的で現実的なリスク(実現の脆弱性、誤った導入、誤った暗号移行)を回避できるでしょう。