研究者は、今日のEthereumツールを再利用して将来の量子攻撃を軽減し、コンセンサスや署名プリミティブに触れることなく、量子安全な新しいウォレットアーキテクチャを提案します。EthereumウォレットとECDSAに対する量子リスク量子コンピュータによる楕円曲線暗号への脅威は、暗号学的に関連するマシンがまだ存在しないにもかかわらず、より具体的になりつつあります。しかし、ショアのアルゴリズムはすでに、離散対数問題を効率的に解く方法を示しており、ECDSAを破ることが可能です。Ethereum財団は、専用のポスト量子研究イニシアチブを開始し、より広範なPQロードマップも策定しています。さらに、エコシステム全体の開発者は、大規模な量子ハードウェアの登場前にEthereumを強化できる代替案を模索しています。Ethereumでは、トランザクションを送信したことのない外部所有アカウント(EOA)は、公開鍵がハッシュの背後に隠されているため、実質的に量子耐性があります。ただし、EOAがトランザクションに署名すると、その公開鍵は永続的にオンチェーン上に露出し、そのアドレスは量子耐性の観点から事実上消滅します。現在のポスト量子署名の取り組みの制限いくつかのプロジェクトは、FalconやPoqethなどの代表的な例を挙げて、EVMにポスト量子署名スキームを導入しようとしています。これらの解決策は長期的なセキュリティに不可欠です。しかし、オンチェーンでの検証は依然として高コストであり、Falconの検証には100万ガス以上かかる一方、ハッシュベースの署名は現在約20万ガス程度です。これらのコストは、将来的にEIP-8051やEIP-8052のような提案がEVMに追加されれば低減する可能性があります。さらに、ガス効率だけが障壁ではありません。標準化、ハードウェアウォレットとの統合、古典的暗号攻撃に対する耐性の実証など、新たなETH署名標準にとって依然として課題が残っています。たとえ堅牢なポスト量子署名が技術的に完成しても、標準化には時間がかかり、ECDSAを完全に置き換えるにはプロトコルレベルの変更が必要です。ECDSAを完全に廃止するのではなく、ここで説明する設計は、各ECDSAキーを使い捨てにし、一度だけ使用することを可能にします。エフェメラルキー・ペアによる量子安全性の設計この基本的なアイデアは、アカウント抽象化を利用して、ユーザーの永続的なアイデンティティと署名キーを分離することにあります。スマートコントラクトウォレットは静的なオンチェーンアイデンティティを維持しつつ、認証された署名者アドレスは各トランザクション後に回転し、一時的なキー・ペアを作り出します。この設計は、過去のトランザクションに関連付けられた秘密鍵を量子コンピュータが回復することを防ぎませんが、回復された鍵は将来の操作には役立たずにします。なぜなら、スマートコントラクトウォレットはすでに新しい署名者に移行しているからです。基本的なワークフローはシンプルで、スマートコントラクトウォレットのロジックに自然に適合します。さらに、今日のインフラだけを使用し、Ethereumの基本的なプロトコルルールに変更を加える必要はありません。トランザクションの流れとECDSAキーの回転提案されたスキームは、各トランザクションに対して次の4つのステップを踏みます。ユーザーは、userOpのcalldataに新しいアドレスを追加します。スマートコントラクトウォレットは、userOpを検証し、現在の署名者を確認します。通常通りにuserOpを実行します(例:トークンの送金)。最後に、スマートコントラクトウォレットは認証された署名者を新しいアドレスに更新します。実行後、たとえ秘密鍵が回復されたとしても、その鍵は再び意味のある署名を行えません。新しいアドレスだけがスマートコントラクトウォレットに保存され、ハッシュ由来の値のみを公開し、新しい鍵は次のトランザクションまで量子耐性を保ちます。実際には、BIP44の導出パスを用いて新しいアドレスのシーケンスを生成することで、ユーザーエクスペリエンスを向上させることが可能です。この方法は既に広く使われているウォレットの標準であり、実装の負担を低く抑えつつ、自動的なECDSAキーの回転を実現します。Ethereumでの実用的な実装このアーキテクチャは、基本的なSimpleWallet設計に少しの変更を加えることで実現可能です。必要なのは、calldataから次の署名者アドレスを解析するロジックと、それに応じてスマートコントラクトの所有者を更新する関数です。すでに概念実証の実装が存在し、userOpがリバートされても署名者の回転を完了できることを示しています。さらに、重要な問題も解決しています。回転が成功時のみ行われる場合、リバートされたトランザクションは現在の署名者を露出させ、ウォレットを脆弱にします。現行の実装では、ERC20の送金にかかるコストは約13.6万ガスであり、標準的なトークン送金と比較して10万ガス未満のオーバーヘッドです。このオーバーヘッドは、今日のオンチェーンでのほとんどのポスト量子署名の検証コストよりもはるかに低いです。コストとアカウント抽象化のEthereumの利点署名者の回転ロジックだけのガスコストは、既存のアカウント抽象化ベースのウォレットに組み込むとさらに低くなり、複雑なDeFi操作の全体の中ではほとんど無視できるレベルです。さらに、ユーザーはバッチ処理や柔軟な検証ルールなど、Ethereumアカウント抽象化のすべての利点を享受できます。ウォレットアドレスは一定のままで署名者だけが変わるため、この設計はdAppsやエクスプローラー、カウンターパーティのオンチェーンアイデンティティを安定させます。ただし、セキュリティモデルは変わります。ユーザーは、安全に新しい鍵を生成・保存できる仕組みを確保する必要があります。ソーシャルリカバリーを用いた鍵の回転類似の動作を実現するもう一つの方法は、多くのスマートコントラクトウォレットに既に備わっているソーシャルリカバリー機能を再利用することです。特定の制限がなければ、ユーザーは自分のアドレスをリカバリーガーディアンに設定し、各トランザクション後にリカバリー手続きをトリガーできます。この方法は、リカバリーの仕組みを使って制御を新しい鍵に回転させる効果があります。ただし、緊急時のリカバリー用に設計された仕組みを日常的に使うため、ガスコストはやや高くなります。利点は、ユーザーがこの量子対応構造をカスタムのオンチェーンアーキテクチャを展開せずに採用できる点です。実験によると、このリカバリーを用いた操作の追加コストは約3万ガスであり、リカバリーなしのベースアーキテクチャの総オーバーヘッドは約11万ガスです。さらに、ウォレット開発者はセキュリティやUXの優先順位に応じてこれらのパラメータを調整可能です。メモリプール露出リスクと残る脆弱性著者は、このモデルが完全には排除できない重要な脆弱性を認めています。それは、トランザクションがマイニングされるまでの待機期間中のメモリプール露出リスクです。その間、ユーザーの公開鍵はメモリプールに見えており、量子対応能力を持つ攻撃者は理論的に秘密鍵を回復し、フロントランニングを行う可能性があります。現状の量子能力を考慮すると、このシナリオは直ちに深刻ではありません。なぜなら、攻撃者は計算を行うための時間が非常に短いためです。ただし、最も保守的なアプローチとして、トランザクションをプライベートメモリプールにルーティングすることで、この漏洩リスクをほぼ排除できます。さらに、Layer 2ネットワーク上にこのアーキテクチャを展開することもリスク軽減に役立ちます。L2は一般的に確認時間が短く、シーケンスの仕組みも異なるため、公開鍵が攻撃者に露出する期間を短縮します。より広範なポスト量子対策戦略における位置付けこの設計は、Ethereumにおけるポスト量子対策の一環として補完的なツールとみなすべきです。絶対的に最良の量子安全なウォレットを目指すものではなく、長期的に必要となるネイティブなポスト量子署名を置き換えるものでもありません。むしろ、Shorのアルゴリズムが実行層で悪用する可能性のある長期的な公開鍵露出という特定の弱点に対処しています。さらに、現行のインフラと馴染みのあるスマートコントラクトパターンだけを使用しているため、新たなEIPや署名標準を待つことなく展開可能です。Ethereumにおける量子安全なトランザクションの展望提案された量子安全なウォレットスキームは、各トランザクション後にECDSAキー・ペアを回転させることで、実行層の量子安全性を実現します。これにより、安定したスマートコントラクトアドレスを維持しつつ、約100kガスの追加コストで済み、現在のポスト量子検証コストのごく一部です。これは、今後登場するポスト量子署名スキームに取って代わるものではありませんが、長期的な解決策として重要です。長期間にわたる公開鍵の露出を排除することで、ユーザーやウォレット開発者が今日から採用できる実用的な段階的防御策を提供します。残るメモリプールレベルの露出に対しては、プライベートメモリプールの利用が最も効果的な対策となります。
量子耐性ウォレット設計が一時的な鍵とアカウント抽象化を用いてEthereumユーザーをどのように保護できるか
研究者は、今日のEthereumツールを再利用して将来の量子攻撃を軽減し、コンセンサスや署名プリミティブに触れることなく、量子安全な新しいウォレットアーキテクチャを提案します。
EthereumウォレットとECDSAに対する量子リスク
量子コンピュータによる楕円曲線暗号への脅威は、暗号学的に関連するマシンがまだ存在しないにもかかわらず、より具体的になりつつあります。しかし、ショアのアルゴリズムはすでに、離散対数問題を効率的に解く方法を示しており、ECDSAを破ることが可能です。
Ethereum財団は、専用のポスト量子研究イニシアチブを開始し、より広範なPQロードマップも策定しています。さらに、エコシステム全体の開発者は、大規模な量子ハードウェアの登場前にEthereumを強化できる代替案を模索しています。
Ethereumでは、トランザクションを送信したことのない外部所有アカウント(EOA)は、公開鍵がハッシュの背後に隠されているため、実質的に量子耐性があります。ただし、EOAがトランザクションに署名すると、その公開鍵は永続的にオンチェーン上に露出し、そのアドレスは量子耐性の観点から事実上消滅します。
現在のポスト量子署名の取り組みの制限
いくつかのプロジェクトは、FalconやPoqethなどの代表的な例を挙げて、EVMにポスト量子署名スキームを導入しようとしています。これらの解決策は長期的なセキュリティに不可欠です。しかし、オンチェーンでの検証は依然として高コストであり、Falconの検証には100万ガス以上かかる一方、ハッシュベースの署名は現在約20万ガス程度です。
これらのコストは、将来的にEIP-8051やEIP-8052のような提案がEVMに追加されれば低減する可能性があります。さらに、ガス効率だけが障壁ではありません。標準化、ハードウェアウォレットとの統合、古典的暗号攻撃に対する耐性の実証など、新たなETH署名標準にとって依然として課題が残っています。
たとえ堅牢なポスト量子署名が技術的に完成しても、標準化には時間がかかり、ECDSAを完全に置き換えるにはプロトコルレベルの変更が必要です。ECDSAを完全に廃止するのではなく、ここで説明する設計は、各ECDSAキーを使い捨てにし、一度だけ使用することを可能にします。
エフェメラルキー・ペアによる量子安全性の設計
この基本的なアイデアは、アカウント抽象化を利用して、ユーザーの永続的なアイデンティティと署名キーを分離することにあります。スマートコントラクトウォレットは静的なオンチェーンアイデンティティを維持しつつ、認証された署名者アドレスは各トランザクション後に回転し、一時的なキー・ペアを作り出します。
この設計は、過去のトランザクションに関連付けられた秘密鍵を量子コンピュータが回復することを防ぎませんが、回復された鍵は将来の操作には役立たずにします。なぜなら、スマートコントラクトウォレットはすでに新しい署名者に移行しているからです。
基本的なワークフローはシンプルで、スマートコントラクトウォレットのロジックに自然に適合します。さらに、今日のインフラだけを使用し、Ethereumの基本的なプロトコルルールに変更を加える必要はありません。
トランザクションの流れとECDSAキーの回転
提案されたスキームは、各トランザクションに対して次の4つのステップを踏みます。
ユーザーは、userOpのcalldataに新しいアドレスを追加します。
スマートコントラクトウォレットは、userOpを検証し、現在の署名者を確認します。
通常通りにuserOpを実行します(例:トークンの送金)。
最後に、スマートコントラクトウォレットは認証された署名者を新しいアドレスに更新します。
実行後、たとえ秘密鍵が回復されたとしても、その鍵は再び意味のある署名を行えません。新しいアドレスだけがスマートコントラクトウォレットに保存され、ハッシュ由来の値のみを公開し、新しい鍵は次のトランザクションまで量子耐性を保ちます。
実際には、BIP44の導出パスを用いて新しいアドレスのシーケンスを生成することで、ユーザーエクスペリエンスを向上させることが可能です。この方法は既に広く使われているウォレットの標準であり、実装の負担を低く抑えつつ、自動的なECDSAキーの回転を実現します。
Ethereumでの実用的な実装
このアーキテクチャは、基本的なSimpleWallet設計に少しの変更を加えることで実現可能です。必要なのは、calldataから次の署名者アドレスを解析するロジックと、それに応じてスマートコントラクトの所有者を更新する関数です。
すでに概念実証の実装が存在し、userOpがリバートされても署名者の回転を完了できることを示しています。さらに、重要な問題も解決しています。回転が成功時のみ行われる場合、リバートされたトランザクションは現在の署名者を露出させ、ウォレットを脆弱にします。
現行の実装では、ERC20の送金にかかるコストは約13.6万ガスであり、標準的なトークン送金と比較して10万ガス未満のオーバーヘッドです。このオーバーヘッドは、今日のオンチェーンでのほとんどのポスト量子署名の検証コストよりもはるかに低いです。
コストとアカウント抽象化のEthereumの利点
署名者の回転ロジックだけのガスコストは、既存のアカウント抽象化ベースのウォレットに組み込むとさらに低くなり、複雑なDeFi操作の全体の中ではほとんど無視できるレベルです。さらに、ユーザーはバッチ処理や柔軟な検証ルールなど、Ethereumアカウント抽象化のすべての利点を享受できます。
ウォレットアドレスは一定のままで署名者だけが変わるため、この設計はdAppsやエクスプローラー、カウンターパーティのオンチェーンアイデンティティを安定させます。ただし、セキュリティモデルは変わります。ユーザーは、安全に新しい鍵を生成・保存できる仕組みを確保する必要があります。
ソーシャルリカバリーを用いた鍵の回転
類似の動作を実現するもう一つの方法は、多くのスマートコントラクトウォレットに既に備わっているソーシャルリカバリー機能を再利用することです。特定の制限がなければ、ユーザーは自分のアドレスをリカバリーガーディアンに設定し、各トランザクション後にリカバリー手続きをトリガーできます。
この方法は、リカバリーの仕組みを使って制御を新しい鍵に回転させる効果があります。ただし、緊急時のリカバリー用に設計された仕組みを日常的に使うため、ガスコストはやや高くなります。利点は、ユーザーがこの量子対応構造をカスタムのオンチェーンアーキテクチャを展開せずに採用できる点です。
実験によると、このリカバリーを用いた操作の追加コストは約3万ガスであり、リカバリーなしのベースアーキテクチャの総オーバーヘッドは約11万ガスです。さらに、ウォレット開発者はセキュリティやUXの優先順位に応じてこれらのパラメータを調整可能です。
メモリプール露出リスクと残る脆弱性
著者は、このモデルが完全には排除できない重要な脆弱性を認めています。それは、トランザクションがマイニングされるまでの待機期間中のメモリプール露出リスクです。その間、ユーザーの公開鍵はメモリプールに見えており、量子対応能力を持つ攻撃者は理論的に秘密鍵を回復し、フロントランニングを行う可能性があります。
現状の量子能力を考慮すると、このシナリオは直ちに深刻ではありません。なぜなら、攻撃者は計算を行うための時間が非常に短いためです。ただし、最も保守的なアプローチとして、トランザクションをプライベートメモリプールにルーティングすることで、この漏洩リスクをほぼ排除できます。
さらに、Layer 2ネットワーク上にこのアーキテクチャを展開することもリスク軽減に役立ちます。L2は一般的に確認時間が短く、シーケンスの仕組みも異なるため、公開鍵が攻撃者に露出する期間を短縮します。
より広範なポスト量子対策戦略における位置付け
この設計は、Ethereumにおけるポスト量子対策の一環として補完的なツールとみなすべきです。絶対的に最良の量子安全なウォレットを目指すものではなく、長期的に必要となるネイティブなポスト量子署名を置き換えるものでもありません。
むしろ、Shorのアルゴリズムが実行層で悪用する可能性のある長期的な公開鍵露出という特定の弱点に対処しています。さらに、現行のインフラと馴染みのあるスマートコントラクトパターンだけを使用しているため、新たなEIPや署名標準を待つことなく展開可能です。
Ethereumにおける量子安全なトランザクションの展望
提案された量子安全なウォレットスキームは、各トランザクション後にECDSAキー・ペアを回転させることで、実行層の量子安全性を実現します。これにより、安定したスマートコントラクトアドレスを維持しつつ、約100kガスの追加コストで済み、現在のポスト量子検証コストのごく一部です。
これは、今後登場するポスト量子署名スキームに取って代わるものではありませんが、長期的な解決策として重要です。長期間にわたる公開鍵の露出を排除することで、ユーザーやウォレット開発者が今日から採用できる実用的な段階的防御策を提供します。残るメモリプールレベルの露出に対しては、プライベートメモリプールの利用が最も効果的な対策となります。