サトシ・ナカモトは量子への不安の16年前にビットコインのハッシュ防御を予測していた

16年前、サトシ・ナカモトは2010年にフォーラムで疑問を投げた人物に答え、その返信はいまもネットワークが資金を守る方法の指針になっています。

重要ポイント

  • サトシ・ナカモトは2010年7月16日のBitcointalkフォーラム投稿でSHA-256を擁護しました。
  • Google Quantum AIは、ビットコインの曲線を破るための2026年の見積もりを500,000量子ビットに引き下げました。
  • 開発者たちは量子耐性のあるアドレスに備えるため、2026年にBIP-360やその他のアイデアを提案しています。

ルールを決めたフォーラム投稿

2010年7月16日、bdonlanというユーザーがBitcointalkフォーラムで、ビットコインの「ダブルSHA-256(2回のSHA-256)ハッシュ」について疑問を投げかけました。彼は、この設計がセキュリティを弱めたのかどうかを尋ねました。

サトシは直接答えました。ビットコインの発明者は、SHA-256を「ビット長が少し増えるだけの段階的な改善」ではなく、「32ビットから64ビットの計算への飛躍」に例えました。32ビットのアドレス空間は4ギガバイトで尽きるが、64ビット空間が近いうちに尽きるとは誰も考えていない、と彼は述べています。SHA-256も同じで、数学がビットコインには十分な余裕があることを示しているのです。

サトシはさらに、ネットワークに「出口の計画」も与えました。もしSHA-256が仮に弱まることがあれば、開発者は所定のブロック高で新しいハッシュ関数にソフトフォークできます。古いハッシュと新しいハッシュは、すべてのノードがアップグレードするまで並行して動作します。

ビットコインの時価総額はその後1兆ドルを超え、ネットワークは日々数千億ドル規模の価値を決済しています。こうした活動のあらゆる1ドルが、16年前のフォーラム返信でサトシが擁護したハッシュ関数に依存しています。

ビットコインが「1回」ではなく「2回」ハッシュする理由

ビットコインのコードはデータを2度ハッシュします:SHA256(SHA256(data))。開発者はこれをSHA256dと呼んでいます。暗号学者のNiels FergusonとBruce Schneierは、SHA-2が使うMerkle-Damgard構造における「長さ拡張攻撃」への耐性を高めるため、この方式を推奨しました。

採掘者(マイナー)はネットワークの難易度目標に合わせるため、ブロックヘッダーを2度ハッシュします。またノードは取引を2度ハッシュしてMerkleツリーを構築します。ウォレットはさらに3層目として、SHA-256上にRIPEMD-160を適用し、公開鍵をアドレスに短縮します。

サトシがSHA-256を選んだのには理由があります。米国立標準技術研究所(NIST)は、SHA-256をSHA-2ファミリーの一部として2001年に公開し、SHA-1よりも大幅に強度を高めたのです。SHA-1は、2009年1月にビットコインが立ち上がった時点ですでに亀裂が見えていました。SHA-256は衝突を強制するのにおよそ2^128回の操作が必要で、事前画像(preimage)を強制するのにおよそ2^256回が必要です。

16年が経った今も、この設計は誰にも破られていません。完全なSHA-256に対して、動作する衝突攻撃、事前画像攻撃、セカンド事前画像攻撃を見つけた研究者はいません。縮約ラウンド版は暗号解析で破られていますが、そうした攻撃は本来の64ラウンドのアルゴリズムに到達する前にスケールしなくなります。NISTやECRYPT-CSAのような独立したグループは、完全関数が安全だとして評価を続けています。

採掘用ハードウェアも同じ話を裏づけています。ASIC(特定用途向け集積回路)のメーカーはSHA-256dを中心に製品ライン全体を作り、ネットワークのハッシュレートは現在エクサハッシュの領域にあります。サトシは、ムーアの法則だけではその関数を脅かすことはないだろうと予測し、採掘能力が指数関数的に伸びても、難易度調整によってブロック生成時間はおよそ10分の近辺に保たれてきました。

量子コンピューティングが議論を変える

古典的な総当たり(brute force)でサトシが心配していなかったし、いまもビットコインを脅かすものではありません。量子コンピューティングはリスクを、別々の2つの問題に分解します。

グローバーのアルゴリズムは総当たり探索を高速化します。これをSHA-256に適用すると、有効なセキュリティは256ビットから約128ビットへと下がりますが、その数字でも到達困難な範囲にあります。研究者によれば、攻撃者は世界がまだ構築していない規模の量子ハードウェアを必要とするため、当面は安全が保たれています。

ショアのアルゴリズムがより大きな問題で、対象はハッシュではなく署名です。これを動かす量子コンピュータなら、ビットコインが使う楕円曲線上の公開鍵から、露出した公開鍵を起点に秘密鍵を取り出せます。推定で700万ビットコイン、供給の約35%が、公開鍵が露出しているアドレスに保管されており、そのハードウェアが存在すればリスクを負うことになります。

Google Quantum AIは、2026年の研究で、ビットコインの曲線を破るのに必要な量子ビット数を約500,000物理量子ビットまで引き下げたと公表しました。現在の量子マシンは、およそ1,000〜1,500量子ビットの範囲で動いています。研究者は、誤り訂正の進展次第で、実用的な脅威は2029年から2035年のどこかに生じるだろうと依然として見積もっています。

16年を経て開発者が問いを再検討

サトシは2010年に、ハッシュ関連の懸念について何度も立ち返っており、その中には、SHA-256で部分的な衝突が起きたらどうなるのか、といった論点も含まれていました。答えは一貫しています。トラブルが広がる前に正直なチェーンを固定し、その後で新しい関数へ移行することです。

その後のビットコインのアップグレードでは、コアのハッシュはそのまま維持されました。2017年にSegregated Witnessが有効化され、2021年にTaprootが有効化されましたが、いずれもハッシュではなく効率性とプライバシーを目的としています。量子耐性が開発者の「最優先の話題」になったのは、2020年代に暗号コミュニティへグローバーとショアのアルゴリズムの認知が広がってからでした。

サトシが約束した出口ルートを開発者が提案

ビットコイン開発者はすでに、サトシが2010年に示した移行経路を提案していますが、ハッシュではなく署名を対象にした形です。いくつかの案が検討のテーブルに上がっています。

BIP-360は、新しいアドレス形式を導入します。bc1zで始まる「pay-to-Merkle-rootアドレス」で、量子耐性のある署名方式を土台にしています。開発者は2026年に提案を統合しました。関連提案であるBIP-361は、ネットワークが将来的に、古い“露出している”アドレス型を停止(サンセット)できるようにする方法を示しています。後者の手法はやや議論が分かれる点があります。

ウォレット提供者には、量子の期限が来る前に、アドレスの使い回しをやめ、ユーザーをより新しい出力タイプへ誘導することへの圧力がかかっています。

移行には独自の障害もあります。開発者は、所有者が活動していない、または連絡が取れないような「古いアドレスにロックされたコイン」についての計画がまだ必要です。サトシ自身が初期に使っていたウォレットに紐づくビットコインも含まれます。ポスト量子署名は、今日ビットコインが使っている署名よりもブロックスペースを多く消費します。そこで研究者は、移行を現実的に保つために、ハッシュベースの署名方式を試験しています。

ビットコイン保有者にとっての意味

今日、SHA-256について何かをする必要はありません。マイニングと取引履歴を守るハッシュ関数は、古典的・量子的ないずれの既知の攻撃によっても影響を受けていません。

注目すべきポイントは「署名の露出」です。旧来のアドレスにコインを持つ人、またはビットコインのアドレスを再利用している人は、公開鍵が支払いまで隠されたままの現代的な出力タイプを使う人よりも、より大きな露出リスクを負います。

サトシは2010年のスレッドを、いまも現行方針として読み取れる警告で締めくくりました。SHA-256を破るほど強力な攻撃なら、SHA-512のようなより強い“いとこ”にも損害を与える可能性が高いので、単独で完全に破られるとは考えにくい、というものです。ビットコインの防御は決して「永久」を保証するものではありませんでした。脅威が現実になる前に移動できること――それが防御だったのです。

原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし
  • ピン留め