量子コンピュータはいつ、既存の暗号化技術を突破できるのでしょうか? A16Zリサーチパートナーは、量子脅威の実際のタイムラインを深く分析し、暗号化と署名が直面するさまざまなリスクを明確にし、ブロックチェーン業界に対して7つの主要な対応提案を提示しています。 この記事は ジャスティン・セイラー / a16z研究報告書、ダイナミックゾーンまとめられ、洗練された。
(概要:物理学の専門家:量子コンピュータにあと5年あとビットコインの秘密鍵を解読させる。BTCをアップグレードしたいなら完全にシャットダウンしなければならないのか? ）
(背景補足:ビットコインは2030年以前にクラックされたのか? Google Willowの「Quantum Echo」は専門家の議論を呼びました:ほとんどの公開鍵が早期に露出しました)

この記事の目次

• タイムライン:暗号を破れる量子コンピュータからどれくらい離れているのか? *「今すぐ盗んで、未来を解読」攻撃:誰のためのものか? 誰が該当しないのでしょうか?
• これはブロックチェーンにとって何を意味するのか?
• ビットコインの特有の問題:ガバナンスの行き詰まりと「スリーピングコイン」
• ポスト量子署名のコストとリスク
• ブロックチェーンとインターネットインフラの独自の課題
• どう対応すべきか? 7つの提案

ビットコインを壊すことができる量子コンピュータの登場まで、私たちはどれほど遠いのでしょうか?

量子コンピュータはいつ、既存の暗号を解読できるのでしょうか? この問題のタイムラインはしばしば過剰に描かれており、ポスト量子暗号への緊急かつ包括的な転換を求める声が上がっています。

しかし、これらの呼びかけはしばしば早期移行に伴うコストやリスクを無視し、異なる暗号ツールが直面する脅威の性質を認識していません。

• ポスト量子暗号化は、どんな犠牲を払っても即座に展開されなければなりません。 「今盗み、将来復号する」(HNDL)攻撃手法はすでに存在しているからです。 今日の暗号化された機密データは、たとえ量子コンピュータが数十年後に利用可能になったとしても、依然として価値があります。 ポスト量子暗号化は性能ペナルティや実装リスクを引き起こす可能性がありますが、長期間機密にしなければならないデータに関しては選択肢がありません。
• ポスト量子デジタル署名は別の話です。 これらの「盗みと復号化」攻撃に対する脆弱性は低く、コストやリスク(かさばり、パフォーマンス負荷、未熟な解決策、潜在的な脆弱性)は即時の対応ではなく慎重な計画が必要です。

それらを区別することが非常に重要です。 誤解はコストと利益の分析を歪め、コードの脆弱性などより差し迫ったセキュリティリスクを見落としてしまうことがあります。

ポスト量子暗号学への移行に成功する本当の課題は、行動の緊急性と実際の脅威を両立させることにあります。 以下では、量子コンピューティング脅威暗号に関する一般的な誤解を解き明かし、暗号化、署名、ゼロ知識証明を扱い、特にそれらがブロックチェーンにとって何を意味するのかに焦点を当てます。

タイムライン:暗号技術を破れる量子コンピュータからはどのくらいの距離があるのか?

誇張されたプロパガンダにもかかわらず、20世紀20年代に「暗号関連の量子コンピュータ」が登場する可能性は非常に低い。

いわゆる「暗号関連量子コンピュータ」とは、フォールトトレランスと誤り訂正能力を持ち、ショアアルゴリズムを実行し、楕円曲線暗号(例:secp256k1)やRSA(例:RSA-2048)を合理的な時間(例:1か月以内の連続運用)で解読できるほどの量子コンピュータを指します。

公開されている技術的マイルストーンやリソース評価に基づけば、そのようなコンピュータはまだかなり遠い段階にあります。 一部の企業は2030年や2035年以前には可能だと主張していますが、現時点での進展はこれらの主張を支持していません。

現時点で、どの量子コンピューティングプラットフォームもRSA-2048やsecp256k1を解読するのに必要な物理量子ビット数に近づくことはできません(誤り率や誤り訂正方式によります)。

ボトルネックは量子ビット数だけでなく、ゲートの忠実度、量子ビット間の接続性、深層量子アルゴリズムを実行するために必要な連続誤り訂正回路の深さにも存在します。 一部のシステムは現在1,000以上の物理量子ビットを持っていますが、この数字だけでは誤解を招きます。暗号操作に必要な接続性と忠実度を欠いています。

近年のシステムは量子誤り訂正に必要な物理的誤り率の閾値に近づいていますが、数個の論理キュービット以上を確実に実行できた者はいません。ましてや、ショールアルゴリズムを実行するために必要な数千の高精度・深回路・フォールトトレラント論理キュービットはなおさらです。 原理実証から暗号解析を実現するために必要な規模に至るまで、ギャップは依然として巨大です。

要するに、量子ビットの数と忠実度が桁違いに増加しない限り、暗号関連の量子コンピュータはまだ手の届かない存在です。

しかし、企業のプレスリリースやメディア報道はしばしば混乱を招きます。 主な混乱点は以下の通りです:

2. 「Quantum Advantage」デモ:現在のデモタスクの多くはよく設計されており、既存のハードウェア上で実行できて「すぐに現れる」ため、実際には役に立たない。 これはプロパガンダでしばしば過小評価されます。
3. 「数千の物理量子ビット」プロパガンダ:これは通常、公開鍵暗号を攻撃するために必要なショールアルゴリズムを実行できるゲートモデル量子コンピュータではなく、量子アニーラーを指す。
4. 「論理量子ビット」の乱用:物理的な量子ビットはノイズが多く、実用的なアルゴリズムでは誤り訂正により多数の物理量子ビットで構成される「論理量子ビット」が必要です。 ショアアルゴリズムを実行するには数千の論理キュービットが必要で、それぞれ通常は数百から数千の物理キュービットを必要とします。 しかし、一部の企業は誇張しており、例えば最近の「distance-2」誤り訂正コード(誤り検出のみ、誤り訂正ではなく誤り検出のみ)を用いて、1論理量子ビットあたり2つの物理量子ビットで48個の論理量子ビットを達成できると主張していますが、これは意味がありません。
5. 誤解を招くロードマップ:多くの「論理量子ビット」は「クリフォード演算」のみをサポートしており、これは古典的なコンピュータで効率的にシミュレート可能であり、多数の「非クリフォードゲート」(例えばTゲート)を必要とするショアアルゴリズムを実行するには不十分です。 したがって、たとえロードマップが「X年で数千の論理キュービットを達成する」と主張しても、その時点で古典的な暗号を解読できるとは限りません。

これらの慣行は、ベテランの観察者を含む一般の量子コンピューティングの進歩に対する認識を大きく歪めています。

もちろん、進歩は本当にワクワクします。 例えば、スコット・アーロンソンは最近、「ハードウェアの進歩の驚くべき速さ」を踏まえ、「次のアメリカ大統領選挙までにショールアルゴリズムを実行できるフォールトトレラント量子コンピュータが実現する現実的な可能性がある」と考えていると書いています。 しかし後に彼は、これは暗号学に関連する量子コンピュータを指すものではないと明言しました。たとえそれが15=3×5のフォールトトレラント分解(ペンと紙の方が速い)であっても、その約束を果たしていると数えています。 これはまだ小規模な実証であり、このような実験は常に15を目指します。なぜなら、15の係数は操作が簡単で、やや大きい数(例えば21)ははるかに難しいからです。

重要な結論:RSA-2048やsecp256k1を解読できる暗号関連の量子コンピュータが今後5年以内に登場すると予想されており、これは実用的な暗号学にとって極めて重要ですが、公共の進歩への支援が欠けています。 10年経っても、依然として野心的です。

したがって、進歩の興奮は「まだ10年以上かかる」というタイムラインの判断と矛盾しません。

では、米国政府が政府システムの全面的なポスト量子移行を2035年に定める期限はどうでしょうか? これは大規模な変換を完了するための妥当な時間計画だと思いますが、暗号関連の量子コンピュータがその時期に確実に登場するとは限りません。

「今すぐ盗み、未来を解読」攻撃:誰に適用されるのか? 誰が該当しないのでしょうか?

「今すぐ盗んで未来を復号する」攻撃とは、攻撃者が今暗号化されたトラフィックを保存し、未来に暗号関連の量子コンピュータが現れた後に復号することを意味します。 国家レベルの敵対者が、将来の復号のために米国政府からの大量の暗号化通信をアーカイブしている可能性が高いです。

したがって、少なくとも10〜50年以上の機密保持期間を必要とするデータについては、直ちに暗号化のアップグレードが必要です。

しかし、すべてのブロックチェーンの基盤であるデジタル署名は暗号技術とは異なります。攻撃に対して遡及的に適用できるほどの秘密性はありません。 将来量子コンピュータが登場しても、それ以降は署名を偽造するだけで、過去の署名を「復号」することはできません。 シグネチャが量子コンピュータの登場前に生成されたことを証明できれば、偽造はできません。

これにより、後方量子デジタル署名への移行は暗号学的な移行よりもはるかに緊急性が低いのです。

主流のプラットフォームはまさにそれを行っています:

• ChromeとCloudflareはネットワークTLS暗号化のためにハイブリッドX25519+ML-KEMソリューションを展開しています。 「ハイブリッド」とは、ポスト量子セキュリティスキーム(ML-KEM)と既存のソリューション(X25519)の両方を用いることを意味します。後者は、セキュリティを備え、HNDL攻撃を防ぎ、ポスト量子ソリューションに問題が生じた場合に古典的なセキュリティを維持することができます。
• AppleのiMessage(PQ3プロトコル)やSignal(PQXDHおよびSPQRプロトコル)も同様のハイブリッドポスト量子暗号化を展開しています。

一方で、重要なネットワークインフラにおけるポスト量子デジタル署名の展開は、暗号関連の量子コンピュータが真に近づくまで遅れています。 なぜなら、現在のポスト量子シグネチャスキームは性能の低下をもたらすからです(後述します)。

ゼロ知識証明(zkSNARK)は署名と似た状況にあります。 ポスト量子安全でない(楕円曲線暗号を使っている)zkSNARKsでさえ、それ自体がポスト量子安全です。 この性質により、証明が秘密に関する情報を一切明かさないことが保証されます(量子コンピュータはそれを防げません)。したがって、将来の復号のために「今すぐ盗まれる」秘密はありません。 したがって、zkSNARKもHNDL攻撃に対して脆弱ではありません。 量子コンピュータが登場する前に生成されたzkSNARK証明は信頼され(楕円曲線暗号を使っていても)、攻撃者は量子コンピュータ出現後に偽の証明を偽造することができました。

これはブロックチェーンにとって何を意味するのでしょうか?

ほとんどのブロックチェーンはHNDL攻撃に対して脆弱ではありません。

今日のビットコインやイーサリアムのような非プライバシーチェーンと同様に、これらの非ポスト量子暗号は主に暗号化ではなく取引承認(すなわちデジタル署名)に使われています。 これらの署名はHNDLのリスクをもたらしません。 ビットコインブロックチェーンを例に挙げると、それは公開されており、量子的な脅威は公開取引データの復号ではなく、署名偽造(資金の盗難)にあります。 これにより、HNDLの即時的な暗号的緊急性が解消されます。

残念ながら、連邦準備制度理事会のような権威ある機関でさえ、ビットコインがHNDL攻撃に対して脆弱であると誤って主張し、移行の緊急性を誇張しています。

もちろん、緊急性が減ったからといってビットコインが安静に過ごせるわけではありません。 プロトコル変更に伴う膨大な社会的調整作業(以下に詳述)との時間的制約が異なります。

現在の例外はプライバシーチェーンです。 多くのプライバシーチェーンは受信者と金額を暗号化または隠しています。 この機密情報は今盗まれ、将来の量子コンピュータが楕円曲線のコードを解読した後に遡って匿名性を解除することができます。 攻撃の深刻度は設計によって異なります(例:Moneroのリング署名やキーイメージによってトランザクショングラフが完全に再構築されることがあります)。 したがって、ユーザーが将来の量子コンピュータに取引が露出しないことを懸念しているなら、プライバシーチェーンはできるだけ早くポスト量子プリミティブ(またはハイブリッド方式)へ移行するか、復号可能な秘密をチェーンに置かないアーキテクチャを採用すべきです。

ビットコインの特有の問題:ガバナンスの行き詰まりと「眠れるコイン」

ビットコインの場合、量子署名の緊急性を促す現実世界の要因が2つありますが、これらは量子技術自体とは無関係です。

• スローガバナンス:ビットコインの変化プロセスは遅く、論争があれば破壊的なハードフォークを引き起こす可能性があります。
• 受動的に移行できない:コイン保有者は資産を積極的に移行しなければなりません。 つまり、量子攻撃に脆弱な放棄コインは保護されません。 このような「眠っている」量子脆弱なBTCは、現在の価値で数千億ドルにのぼると推定されています。

しかし、量子的な脅威はビットコインにとって「一夜にして」終わるものではなく、選択的かつ段階的な標的化プロセスのようなものです。 初期の量子攻撃は非常に高コストで遅く、攻撃者は高価値ウォレットを選択的に標的にします。

さらに、アドレスの再利用を避け、Taprootアドレス(公開鍵を直接オンチェーンで公開する)を使わないユーザーは、プロトコルのアップグレードがなくても基本的に安全です。公開鍵はハッシュの背後に隠されており、使用されるまでは利用されます。 公開鍵は支出取引が放送されるまで露呈し、短いリアルタイム競争が始まります。誠実なユーザーはできるだけ早く取引を確認し、量子攻撃者は秘密鍵を計算し、それ前に資金を盗もうとします。

したがって、真に脆弱なコインは公開鍵が露出したコインです。初期のP2PK出力、再利用されたアドレス、Taproot方式で保有された資産です。

放棄された脆弱コインの解決策は非常に複雑です。コミュニティが「期限」を決め、それ以降に移行されていないコインは破棄されたものとみなす、 あるいは将来的に量子コンピュータを所有する者たちに乗っ取られるか。 後者は深刻な法的および安全保障上の問題をもたらすでしょう。

ビットコイン特有の最後の難問は、取引スループットの低さです。 たとえ移行計画が最終決定されても、現在のペースで全ての脆弱な資金を移動させるには数か月かかるでしょう。

これらの課題により、ビットコインは今すぐポスト量子移行の計画を始める必要があります。量子コンピュータが2030年以前に登場するかもしれないからではなく、数千億ドル規模の資産を移転させるために必要なガバナンス、調整、技術物流には何年もかかるからです。

ビットコインが直面する量子的脅威は現実的ですが、時間的プレッシャーは主に量子コンピュータ自体ではなく、その限界に起因しています。

注:上記の署名に関する脆弱性は、ビットコインの経済的安全性(すなわち作業証明コンセンサス)には影響しません。 PoWはハッシュ演算に依存し、グローバー探索アルゴリズムの二次加速のみの影響を受け、実際のオーバーヘッドはかなり大きいため、有意な加速を達成する可能性は低いです。 たとえあったとしても、それは大手鉱山業者に優位性を与えるだけで、経済的な安全モデルを覆すものではありません。

ポスト量子署名のコストとリスク

なぜブロックチェーンはポスト量子シグネチャを急いで導入してはいけないのでしょうか? 性能のコストを理解し、これらの新しいソリューションがまだ進化し続けているという自信を持つ必要があります。

ポスト量子暗号は主に、ハッシュ、符号化、格子、多変量二次方程式、楕円曲線ホモロジーという5種類の数学的問題に基づいています。 多様性の理由は、スキームの効率が依存する問題の「構造」に関連しているためです。構造が多いほど効率は通常高くなりますが、攻撃アルゴリズムにとっての突破口が増える可能性もあり、これは基本的なトレードオフです。

• ハッシュスキームは最も保守的(安全性に最も自信がある)が、最も性能が悪い。 例えば、NISTで標準化されている最小ハッシュ署名は7〜8KBですが、現在の楕円曲線署名はわずか64バイトで、約100倍の差があります。
• グリッドシナリオが現在の展開重点です。 NISTが選定した独自のポスト量子暗号化方式(ML-KEM)と、3つの署名のうち2つ(ML-DSA、Falcon)は格子ベースです。
• ML-DSAのシグネチャサイズは約2.4〜4.6KBで、現在のシグネチャの40〜70倍に相当します。
• Falconシグネチャは小さい(0.7〜1.3KB)ですが、実装は非常に複雑で、定時浮動小数点演算を含み、サイドチャネル攻撃の成功例もあります。 創設者の一人はこれを「私がこれまで実装した中で最も複雑な暗号アルゴリズム」と呼びました。
• 実装におけるより大きなセキュリティ課題:グリッド署名は楕円曲線署名よりも感度の高い中間体と複雑なリジェクトサンプリングロジックを持ち、より強力なサイドチャネルと故障注入保護が必要です。

これらの問題がもたらす即時のリスクは、遠方の量子コンピュータよりもはるかに現実的です。

歴史からの教訓もまた慎重になっています。NIST標準化プロセスの主要な候補であるRainbow(MQベースの署名)やSIKE/SIDH(ホモロジーベースの暗号化)は、従来のコンピュータによって突破されています。 これは、時期尚早な標準化と展開のリスクを示しています。

インターネットインフラは署名移行に慎重な姿勢を取っており、これは暗号移行自体が時間のかかるため特に注目に値します(例:MD5/SHA-1からの移行は何年も前から進められており、まだ完全には完了していません)。

ブロックチェーンとインターネットインフラの独特な課題

良い点として、オープンソースコミュニティ(例:Ethereum、Solana)によって維持されるブロックチェーンは、従来のネットワークインフラよりも速くアップグレードできます。 一方で、従来のネットワークは頻繁な鍵の回転によって攻撃対象を減らせる一方で、ブロックチェーンコインや関連鍵は長期間にさらされる可能性があるという欠点があります。

しかし一般的には、ブロックチェーンはネットワークの慎重なシグネチャー移行戦略に従うべきです。 両者ともHNDLによるシグネチャ攻撃に免疫があり、早期移行のコストとリスクは大きいです。

また、早期移行を特に危険にするブロックチェーンの独特な複雑さもいくつかあります:

• 署名集約要件:ブロックチェーンはしばしば大量の署名(例えばBLS署名)を迅速に集約する必要があります。 BLSは速いですが、量子後安全ではありません。 SNARKに基づくポスト量子署名集約研究は有望ですが、まだ初期段階にあります。
• SNARKsの未来:コミュニティは現在主にハッシュベースのポスト量子SNARKに強気ですが、今後数ヶ月から数年で格子ベースのSNARK代替案が登場し、証明の長さなど多くの面でより良いパフォーマンスを発揮すると信じています。

現在のより深刻な問題はセキュリティの実施です。

今後何年にもわたり、脆弱性の実装は量子コンピュータよりも大きなセキュリティリスクをもたらすでしょう。 SNARKsにとって、主な脅威はプログラムの脆弱性です。 デジタル署名や暗号化はすでに課題を抱えており、SNARKsははるかに複雑です。 実際、デジタル署名はミニマリストなzkSNARKと見なすことができます。

ポスト量子シグネチャでは、サイドチャネルやフォールトインジェクションなどの実装攻撃がより差し迫った脅威となっています。 コミュニティがこれらの実装を強化するには何年もかかるでしょう。

したがって、状況が落ち着く前に移行しすぎると、最適でない状況に陥ったり、脆弱性を修正するために二度目の移行を余儀なくされる可能性があります。

どう対応すべきでしょうか? 7つの提案

上記の現実を踏まえ、建設者から意思決定者まですべての関係者に次の提案を申し上げます。 一般的な原則としては、量子脅威を真剣に受け止めつつ、暗号関連の量子コンピュータが2030年までに登場するとは限らない(現状の進展ではこの仮定は支持されていない)というものです。 その間に、今できること、そしてすべきことがある。

2. ハイブリッド暗号化を直ちに展開する:少なくとも長期的な秘密保持が必要でコストが許容できる場合に。 多くのブラウザ、CDN、通信アプリケーション(例:iMessage、Signal)がすでに展開を開始しています。 ハイブリッド方式(ポスト量子+古典的)はHNDL攻撃を防ぎ、ポスト量子方式における潜在的な脆弱性を回避します。
3. 大きなサイズが許容できるシナリオでハッシュベースの署名を即座に使用:ソフトウェアやファームウェアのアップデートなど低頻度でサイズに敏感でないシナリオでは、ハイブリッドハッシュ署名を使用可能となりました(ハイブリッド化は新しいソリューション実装における脆弱性をヘッジするためのものです)。 これにより、量子コンピュータが事前に偶然現れた場合に備えた保守的な「救命ボート」となります。
4. ブロックチェーンは量子署名の起動を急ぐ必要はありませんが、計画は直ちに始めるべきです。
5. 開発者はオンラインPKIコミュニティの慎重な姿勢を模倣し、ソリューションをより成熟させるべきです。
6. ビットコインのようなパブリックチェーンは、「眠っている」脆弱なファンドの移行経路とポリシーを定義する必要があります。 特にビットコインは、その課題が主に非技術的(遅いガバナンス、多くの高価値の「スリーピング」アドレス)にあるため、今すぐ計画を始める必要があります。
7. ポスト量子SNARKや集約可能なシグネチャー研究には成熟(場合によっては数年)を設け、最適でないプロトコルの早期標的化を避けること。
8. イーサリアムアカウントについて:スマートコントラクトウォレット(アップグレード可能)は、よりスムーズな移行経路を提供する可能性がありますが、違いは限定的です。 アカウントの種類以上に重要なのは、コミュニティがポスト量子原始的研究や緊急対策計画を推進し続けていることです。 より広範な設計上の示唆:アカウント識別を特定の署名スキーム(例えばアカウント抽象化)から切り離すことは、ポスト量子移行だけでなく、スポンサー取引、社会的回復、その他の機能においてもより大きな柔軟性を提供します。
9. プライバシーチェーンは移行を優先すべきです(性能が許容範囲であれば):ユーザーの機密性はHNDL攻撃にさらされています。 復号型シークレットチェーンを回避するために、ハイブリッド方式やアーキテクチャの調整が検討されます。
10. 短期的には、量子脅威に過度に焦点を当てるよりも実装セキュリティを優先すること:SNARKやポスト量子署名のような複雑な暗号技術においては、今後何年にもわたり、脆弱性や実装攻撃のリスクが量子コンピュータよりも高まるでしょう。 監査、ファジング、形式的な検証、そして詳細な防御に今すぐ投資し、量子不安にかき消されないように、より差し迫った脆弱性の脅威を隠さないでください。
11. 量子コンピューティングの研究開発への継続的な資金提供:国家安全保障の観点からは、資金への投資と人材育成の継続が必要です。 もし主要な敵が最初に暗号関連の量子計算能力を手に入れた場合、深刻なリスクを生み出します。
12. 量子コンピューティングのニュースを合理的に見てください:これからもまだマイルストーンが待ち受けています。 しかし、すべての節目が、私たちがまだ目標から遠いことを証明しています。 プレスリリースは、急ぎの行動のサインではなく、批判的な評価が必要な進捗報告として捉えるべきです。

もちろん、技術的なブレークスルーは加速する可能性があり、ボトルネックは予測を長引かせる可能性もあります。 5年以内に絶対不可能だと断言しているわけではありませんが、非常に可能性は低いと思います。 これらの推奨に従うことで、実装の脆弱性、急ぎの展開、暗号移行における一般的なミスといった、より即時的かつ起こりやすいリスクを回避できます。