GoogleのQuantum AIチームは、今週初めに、将来の量子コンピューターなら、公開鍵からビットコインの秘密鍵を約9分で導き出せる可能性があると述べました。その情報はソーシャルメディア上を駆け巡り、市場を震え上がらせました。
しかし、実際にはそれは何を意味するのでしょうか?
まずは、ビットコインの取引がどのように機能するかから見ていきましょう。あなたがビットコインを送るとき、ウォレットは秘密鍵で取引に署名します。秘密鍵は、あなたがそのコインを所有していることを証明する秘密の数字です。
その署名は、共有可能なアドレスである公開鍵も明らかにします。公開鍵はネットワークにブロードキャストされ、マイナーがブロックに取り込むまで、メンプールという待機領域に置かれます。平均すると、その確認には約10分かかります。
あなたの秘密鍵と公開鍵は、楕円曲線離散対数問題(elliptic curve discrete logarithm problem)と呼ばれる数学的な問題によって結び付けられています。従来型コンピューターでは、この数学を有用な時間枠内で逆算できません。一方で、Shor’s(ショーアの)と呼ばれるアルゴリズムを動かす、十分に強力な将来の量子コンピューターなら可能です。
そして「9分」の部分がここで効いてきます。Googleの論文では、量子コンピューターは、特定の公開鍵に依存しない攻撃部分を事前に計算しておくことで、あらかじめ「仕込んでおける(primed)」ことが分かったとしています。
あなたの公開鍵がメンプールに現れたら、その機械が仕事を終えて秘密鍵を導き出すのに必要なのは、だいたい9分だけで済みます。ビットコインの平均的な確認時間は10分です。つまり攻撃者には、元の取引が確認される前にあなたの鍵を導き出し、資金を転用するための、およそ41%の確率があります。
それは、泥棒が普遍的な金庫破りマシンを作るのに何時間もかけるようなものです(事前計算)。そのマシンはどんな金庫でも動作しますが、新しい金庫が現れるたびに、最後の微調整だけが必要になります。そして、その最後のステップに約9分かかるのです。
これがメンプール攻撃です。恐ろしいものですが、まだ存在しない量子コンピューターが必要になります。Googleの論文の試算では、そうしたマシンには50万個未満の物理量子ビットが必要だとされています。今日の最大級の量子プロセッサは、およそ1,000です。
より大きく、そしてより差し迫った懸念は、すでに公開鍵が恒久的に露出しているウォレットにある、690万ビットコインです。これは総供給の約1/3に相当します。
これには、ネットワークの最初の数年間に使われていた、pay-to-public-keyと呼ばれる形式の初期のビットコインアドレスが含まれます。この形式では、公開鍵がデフォルトでブロックチェーン上に表示されます。また、アドレスを使い回したウォレットも含まれます。なぜなら、あるアドレスから支出すると、その残っている全ての資金について公開鍵が明らかになるからです。
これらのコインには「9分間の勝負」は不要です。十分に強力な量子コンピューターを持つ攻撃者なら、時間的なプレッシャーなしに、露出した鍵を1つずつ順番に解読していくことで、気の向くままに破壊できます。
CoinDeskが火曜の序盤に報じたとおり、ビットコインの2021年のTaproot(タップルート)アップグレードは、この問題をさらに悪化させました。Taprootはアドレスの仕組みを変更し、公開鍵がデフォルトでオンチェーン上に見えるようになったため、将来の量子攻撃で脆弱になり得るウォレットの母数が、意図せず拡大してしまいました。
ビットコインのネットワーク自体は動き続けます。マイニングはSHA-256と呼ばれる別のアルゴリズムを使っており、量子コンピューターは、現在のアプローチでは実質的にそれを大幅に高速化できません。ブロックは引き続き生成されます。
台帳も引き続き存在します。しかし、もし秘密鍵を公開鍵から導き出せるのなら、ビットコインの価値を支えていた所有権に関する保証が崩れます。露出した鍵を持つ誰もが盗難のリスクにさらされ、ネットワークのセキュリティモデルに対する機関投資家の信頼が崩壊します。
解決策はポスト量子暗号で、脆弱な数学を、量子コンピューターでは解読できないアルゴリズムに置き換えます。イーサリアムは、この移行に向けて8年を費やしてきました。ビットコインは、まだ始まっていません。
関連記事
