こうした考慮が、楕円曲線暗号に基づくブロックチェーン技術に対する量子攻撃の資源見積もりを「慎重に開示する」ための私たちの方針を導いています。まず、量子攻撃に対してブロックチェーンが免疫を持つ領域を明確にし、そして耐量子ブロックチェーンの安全性がすでに達成してきた進展を重点的に紹介することで、私たちが議論する FUD のリスクを低減します。次に、基盤となる量子回路を共有せずに、「ゼロ知識証明」と名付けられた最先端の暗号学的構成を公開することで、機密性のある攻撃の詳細を漏らすことなく、第三者が私たちの主張を検証できるようにしつつ、私たちの資源見積もりを裏付けます。
Google Quantum AI公式発表:ビットコインの暗号解読に必要な量子ビット数が20倍削減
Google は「ゼロ知識証明」の形でも検証資料を公開し、第三者が攻撃の詳細を漏らすことなく結論を検証できるようにした。
著者:Ryan Babbush & Hartmut Neven、Google Quantum AI
編集:深潮 TechFlow
**深潮導入:**これは今日の量子脅威議論の一次情報であり、メディアによる伝聞ではありません。Google の量子 AI 研究総監(ディレクター)と VP Engineering の共同で発表された公式テクニカルブログです。
中核となる結論は 1 つだけです。これまで見積もられていた、ビットコインの楕円曲線暗号を破るのに必要な物理量子ビットの数が、約 20 倍にまで縮小されました。Google は同時に「ゼロ知識証明」の形で検証資料を公開し、第三者が攻撃の詳細を漏らすことなく結論を検証できるようにしました——この開示方式自体も注目に値します。
全文は以下のとおり:
2026 年 3 月 31 日
Ryan Babbush、Google 量子 AI 量子アルゴリズム研究総監;Hartmut Neven、Google Quantum AI、Google Research エンジニアリング担当副総裁
私たちは、将来の量子コンピュータの暗号解読能力を明らかにするための新しいモデルを探求し、その影響を低減するために取るべきステップを概説します。
量子資源の見積もり
量子コンピュータは、化学、創薬、エネルギー分野など、これまで解決できなかった課題を解決できることが期待されています。しかし、大規模な暗号学関連量子コンピュータ(CRQC)もまた、現在広く使われている公開鍵暗号を破ることができます。この種の暗号は、機密情報などのさまざまなシステムを保護しています。Google を含む各国政府や機関は、長年にわたりこの安全保障上の課題に対処してきました。科学技術の進歩が続くにつれ、CRQC は徐々に現実のものとなりつつあり、これは耐量子暗号(PQC)への移行を要求します——これが私たちが最近提案した 2029 年の移行スケジュールの理由でもあります。
私たちはホワイトペーパーの中で、楕円曲線暗号を解読するのに基づく 256 ビットの楕円曲線離散対数問題(ECDLP-256)に必要な量子計算の「資源」(すなわち、量子ビットと量子ゲート)の最新の見積もりを共有しています。私たちは、論理量子ビット(数百の物理量子ビットから構成される誤り訂正量子ビット)と Toffoli ゲート(量子ビット上でコストの高い基本演算であり、多くのアルゴリズムの実行時間を決める主要要因)の数で資源の見積もりを表します。
具体的には、ECDLP-256 に対する Shor のアルゴリズムを実現するために、2 つの量子回路(量子ゲートの並び)をコンパイルしました。1 つは 1200 未満の論理量子ビットと 9000 万個の Toffoli ゲートを使用し、もう 1 つは 1450 未満の論理量子ビットと 7000 万個の Toffoli ゲートを使用します。私たちは、Google の一部のフラッグシップ量子プロセッサと整合する標準的なハードウェア能力に関する仮定の下で、これらの回路が 50 万未満の物理量子ビットの超伝導量子ビットによる CRQC 上で数分以内に実行できると見積もっています。
これは ECDLP-256 の解読に必要な物理量子ビット数の約 20 倍の減少であり、量子アルゴリズムを耐障害回路へコンパイルするという長い最適化のプロセスの継続でもあります。
耐量子暗号で暗号資産を保護
ほとんどのブロックチェーン技術と暗号資産は、その安全性の重要な側面に ECDLP-256 に依存しています。私たちが論文で述べているとおり、PQC は耐量子ブロックチェーンの安全性を実現する成熟した道筋であり、CRQC が存在する世界において暗号資産とデジタル経済の長期的な実現可能性を支えることができます。
私たちは、耐量子ブロックチェーンの具体例を挙げ、量子脆弱性が本来存在していたブロックチェーン上で PQC を実験的に導入した事例も示します。PQC などの実行可能な解決策がすでに存在する一方で、導入には時間がかかるため、行動の緊急性がますます高まっています。
私たちはさらに、暗号資産コミュニティに対して、短期および長期で安全性と安定性を改善するための提案を行います。たとえば、脆弱性があるウォレットアドレスを公開したり、再利用したりしないこと、ならびに、失効した(廃棄された)暗号資産の問題に対する潜在的な政策オプションです。
私たちの脆弱性開示の方法
安全脆弱性の開示は、議論のあるテーマです。一方では、「開示しない」立場は、脆弱性を公開することは攻撃者に操作手順を提供することになると考えます。他方で、「完全開示」運動は、脆弱性を一般に知らせることで、注意を促し自己防衛措置を取らせるだけでなく、安全な修正作業を促すとも考えます。コンピュータセキュリティの分野では、この論争はすでに「責任ある開示」と「協調的脆弱性開示」という一連の折衷案へ収束しています。どちらも、禁輸期間(猶予期間)を設けたうえで脆弱性を開示し、影響を受けたシステムが安全な修正を打ち出す時間を確保することを主張しています。カーネギーメロン大学 CERT/CC や Google の Project Zero などの一流のセキュリティ研究機関は、厳格な期限を伴う責任ある開示の変種を採用しており、このやり方は国際標準 ISO/IEC 29147:2018 としても採用されています。
ブロックチェーン技術における安全脆弱性の開示は、特別な要因のためにさらに複雑になります。暗号資産は、分散型のデータ処理システムであるだけではありません。デジタル資産の価値は、ネットワークのデジタルセキュリティに由来するだけでなく、システムに対する一般の信頼にも由来します。デジタルの安全層において CRQC による攻撃が起こり得る状況においても、一般の信頼は恐怖、不確実性、疑念(FUD)技術によって損なわれる可能性があります。そのため、ECDLP-256 を解読するための量子アルゴリズムに関する非科学的で根拠のない資源見積もりでさえ、システムに対する一種の攻撃になり得ます。
こうした考慮が、楕円曲線暗号に基づくブロックチェーン技術に対する量子攻撃の資源見積もりを「慎重に開示する」ための私たちの方針を導いています。まず、量子攻撃に対してブロックチェーンが免疫を持つ領域を明確にし、そして耐量子ブロックチェーンの安全性がすでに達成してきた進展を重点的に紹介することで、私たちが議論する FUD のリスクを低減します。次に、基盤となる量子回路を共有せずに、「ゼロ知識証明」と名付けられた最先端の暗号学的構成を公開することで、機密性のある攻撃の詳細を漏らすことなく、第三者が私たちの主張を検証できるようにしつつ、私たちの資源見積もりを裏付けます。
私たちは、量子、安全、暗号資産、および政策コミュニティとさらに議論し、将来の責任ある開示の規範について合意に至ることを歓迎します。
この取り組みによって、私たちの目標は、暗号資産エコシステムとブロックチェーン技術の長期的な健全な発展を支えることです。これらはデジタル経済の中でますます重要な地位を占めています。今後に向けて、私たちは、責任ある開示の私たちの方式が、量子計算の研究者とより広範な一般の人々の間で重要な対話を引き起こし、量子暗号解析研究分野にとって参考になるモデルを提供できることを期待しています。