a16z 重磅報告：代碼漏洞比量子運算更致命，別被恐慌帶偏

a16z Cryptoは、量子コンピューティングの脅威が誇張されており、2030年以前にCRQC(暗号関連量子コンピュータ)が登場する確率は非常に低いと指摘しました。 デジタル署名やzkSNARKは「先に収集して後でクラックする」攻撃の対象にはならず、早期に切り替えるとリスクが生じます。 現在の脅威はコードの脆弱性やガバナンスの困難であり、急ごしらえのアップグレードよりも監査テストを優先することが推奨されています。

a16zは2030年以前のCRQCの主張を否定しています

a16z Cryptoは公式アカウントで分析記事を発表し、市場の「量子コンピューティングが暗号通貨を脅かす」という時間判断はしばしば誇張されており、2030年以前に現実的な破壊力を持つ量子コンピュータが登場する可能性は非常に低いと述べています。 いわゆる「暗号的に意味のある量子コンピュータ」とは、フォールトトレラントで誤り訂正を行う量子コンピュータを指し、ショールアルゴリズムは楕円曲線暗号(RSA)を合理的な時間内に攻撃できるほど大きすぎます。

公開のマイルストーンや資源推定の合理的な解釈に基づくと、このレベルの量子コンピュータの構築はまだ遠い段階です。 現在のすべてのアーキテクチャ—閉じ込めイオン、超伝導量子ビット、中性原子系—は、数十万、あるいは数百万の固体量子ビットのスケールには近づくことはできません。 制限要因は量子ビット数だけでなく、ゲート忠実度、量子ビットの結合性、そして深量子アルゴリズムを実行するために必要な連続誤り訂正回路の深さも含まれます。

現在、物理的な量子ビットが1,000を超えるシステムもありますが、この数字は非常に誤解を招きます。 これらのシステムは暗号関連計算に必要な量子ビット接続性やゲート忠実度を欠いています。 量子誤り訂正の原理が実現可能であることを証明することと、暗号解析を実現するために必要な規模との間には、依然として大きなギャップがあります。 要するに、量子ビットの数と忠実度が数桁増えない限り、暗号学的に意味のある量子コンピュータはまだ手の届かないのです。

量子パニックに関する三つの一般的な誤解

量子優位性は混乱を招く「量子的優位性」を主張するデモは、実際のパスワード解読ではなく、人間が設計した作業を対象としています

量子アニーラーは誤解を招きます数千の量子ビットを主張していますが、ショールアルゴリズムを実行するゲートモデルマシンではなく、アニーラーを指しています

論理的キュービット乱用:一部の企業は「論理量子ビット」と主張しますが、誤りを検出するために距離2のエンコーディングを用い、修正しません

HNDL攻撃は署名やzkSNARKには適用されません

記事は、主流のデジタル署名ソリューションやzkSNARKのようなゼロ知識システムは、「まず収集し後でクラックする」という量子攻撃パターンに弱いと指摘しています。 Harvest Now, Decryption Later(HNDL)攻撃とは、敵対勢力が暗号化されたトラフィックを保存し、暗号学的に重要な量子コンピュータが現れた後にそれを復号する行為を指します。 この攻撃は暗号技術にとって現実的な脅威であり、だからこそ暗号技術は今日、少なくとも10〜50年以上機密保持を必要とする者にとっては変革が必要です。

しかし、すべてのブロックチェーンが依存するデジタル署名は暗号化とは異なり、追跡可能な攻撃のような秘密性を持ちません。 言い換えれば、暗号学に関連する量子操作が現れれば、署名の偽造は可能になりましたが、過去の署名は暗号化されたメッセージのように秘密を「隠す」ものではありませんでした。 デジタル署名がCRQCが現れる前に生成されたと知っていれば、偽造はできません。 これにより、ポスト量子デジタル署名への移行は、ポスト量子暗号への移行よりも緊急性が低いのです。

zkSNARK(ゼロ知識簡潔で非インタラクティブな知識の議論)は、ブロックチェーンの長期的なスケーラビリティとプライバシーの鍵であり、署名と似た状況にあります。 zkSNARKは楕円曲線暗号を用いていますが、ゼロ知識特性はポスト量子安全です。 ゼロ知識属性により、証明過程で秘密の証人に関する情報が一切明かされず、量子の敵対者にも明かされません。したがって、後で復号するために「今すぐ収集」できる機密情報が存在しません。

その結果、zkSNARKはキャプチャ・ファースト・アンド・デコード攻撃の対象になりません。 今日生成された非ポスト量子署名が安全であるように、暗号学的に意味のある量子コンピュータが登場する前に生成されたzkSNARKの証明は信頼できるものです。 暗号学的に意味のある量子コンピュータが登場して初めて、攻撃者は虚偽の証拠を説得力のあるものを見つけられるのです。 この技術的詳細は、量子脅威の真偽を理解する上で極めて重要です。

早期移住の三大コストとリスク

ブロックチェーンを早期に量子抵抗ソリューションへ移行させることは、性能低下、工学の未熟さ、潜在的なセキュリティ上の欠陥などの問題を引き起こす可能性があります。 ポスト量子署名の性能コストは非常に大きいです。 ハッシュベースの署名は7〜8 KBの大きさですが、現在の楕円曲線ベースのデジタル署名はわずか64バイトで、約100倍のサイズ差があります。 グリッドソリューションはやや優れており、ML-DSAのシグネチャは2.4KBから4.6KBの範囲で、現在のソリューションの40倍から70倍に相当します。

この規模の増加はブロックチェーンにとって何を意味するのでしょうか? 署名が大きいほど、取引手数料が高く、ブロック伝播が遅くなり、ノードのストレージコストも高くなります。 すでにスケーラビリティの課題に直面しているビットコインのようなブロックチェーンにとって、ポスト量子署名への切り替えは問題を何十倍にも悪化させる可能性があります。 さらに、ポスト量子署名方式は楕円曲線に基づく署名よりもセキュリティ実装が難しく、ML-DSAはより多くのセキュリティリスクと複雑なリジェクトサンプリングロジックを抱え、サイドチャネル保護を必要とします。

歴史の教訓はさらに警告です。 Rainbow(MQベースの署名方式)やSIKE/SIDH(ホモロジーベースの暗号化方式)は、NIST標準化プロセスの後半で従来のコンピュータで解読された主要な候補です。 これは科学の正常な機能を示していますが、同時に時期尚早な標準化や導入が逆効果になる可能性も示唆しています。 ブロックチェーン特有の課題も早期移行を特に危険にしており、例えばブロックチェーン独自の署名スキーム要件、特に大量の署名を迅速に集約できる能力などがあります。

a16z 七つの提案:量子脅威に慎重に対処する

A16Zはさらに、まだ形を成していない量子コンピューティングのリスクと比べて、ビットコインやイーサリアムのような主流のパブリックチェーンが直面しているより現実的な課題は、協働アップグレードの難しさ、ガバナンスの複雑さ、実装層のコード脆弱性にあると強調しました。 開発者には、移行を急ぐのではなく、合理的な評価期間に基づいて量子抵抗性の経路を事前に計画することを推奨しています。 同時に、近い将来、コードの欠陥、サイドチャネル攻撃、フォールトインジェクションといった従来のセキュリティ問題は、量子コンピューティングよりも優先的に投資されるべきであり、監査、ファジング、形式検証の強化に注力すべきだと指摘しています。

a16z 7つのコア勧告の概要

今日、ハイブリッド暗号化を導入しましょう:少なくとも長期的な機密保持が重要な場合にはそうです

ハッシュベースの署名を使うソフトウェアアップデートなど許容範囲の低周波シナリオにおいて

ブロックチェーンは綿密に計画されています:急いで移住せず、今すぐ進路の計画を立て始めてください

まずプライバシーチェーン: パフォーマンスが許容範囲であれば、できるだけ早く移行を行うべきです

安全を最優先に監査とテストは反量子よりも緊急です

量子研究開発への資金提供:相手が先に能力を得るのを防ぐ

発表を冷静に見てください進捗報告は行動のきっかけではなく、マイルストーンとして扱う

ブロックチェーン開発者は、ウェブPKIコミュニティの例に倣い、ポスト量子署名の導入に慎重なアプローチを取るべきです。 これにより、ポスト量子署名方式は性能とセキュリティの面で引き続き向上しています。 特にビットコインコミュニティにとって、遅いガバナンスや多数の高価値で放棄され、量子脆弱なアドレスが特別な課題をもたらすため、今すぐ計画を始めることが重要です。