量子コンピューティングとブロックチェーン：今年、脅威が近づいた

暗号への量子リスクは常に「後で」とされてきた。2023年3月30日のGoogle Quantum AIの論文が、「後で」の意味を狭めた。
→ 論文が発見したこと
ビットコインやイーサリアムのウォレットをロックする曲線secp256k1を破るには、1,200未満の論理量子ビットが必要だ。実ハードウェアでは、50万未満の物理量子ビットで済む。旧推定の約900万の20分の1程度だ。
この論文はGoogle、イーサリアム財団、スタンフォードから発表された。実際の攻撃を公開せずに、その数値を証明した。
それでも、これは計算結果であり、実機ではない。今日の最良のコンピュータは数千の量子ビットしか動かせない。ギャップは巨大だ。縮小したのはターゲットであって、ハードウェアではない。
→ 実際のタイムラインの位置
ベンダーのロードマップは実際よりも近く見える。IonQは2028年までに1,600の論理量子ビットを目標としている。IBMは2033年までに約2,000を目指す。
しかし、量子ビット数は、エラーを低く抑えた状態で90万ゲートの回路を動かす閾値と同じではない。共同著者のジャスティン・ドレイクは、次のように推定している：
2032年までに量子コンピュータがsecp256k1の鍵を回復する確率は約10％。
早期2030年代で、誤差範囲は広いが、正直な見解だ。五年以内のカウントダウンではない。
→ 実際に露呈しているもの
公開鍵がすでにオンチェーンにあるもの（P2PK出力、再利用されたアドレス）は、ショアの攻撃に必要なものだ。これには数百万BTCが含まれ、その大部分はサトシ時代のもので動かせない。
より近い懸念は、「今すぐ収穫して後で解読」だ。露出したデータは今日アーカイブされ、ハードウェアが到着次第解読されるため、コレクションはCRQCの存在を待たない。
→ すでに動き始めている者たち
• Circleはポスト量子のロードマップを公開し、ArcメインネットでPQ署名を計画
• Nervos CKBは暗号学的柔軟性を持ち、ハードフォークなしで署名方式を切り替え可能に
• NISTは、多くの移行が依存する標準化されたアルゴリズム（Dilithium、Kyber、SPHINCS+）を策定
読み解き
「9分でビットコインを解読」といった見出しは証拠を超えて先行していた。しかし、推定値は一方向にしか動かず、最もリスクの高いコインは誰も移行できないものだ。
この問題にどう対処するかは、鍵の移行がライブ作業か、いつかの問題かにかかっている。