ビットコインと量子コンピュータを巡る混乱：私たちが本当に気にすべきこと

一般的な意見では、量子コンピュータはビットコインの暗号化に直接的な脅威をもたらすとされています。ですが、それは誤りです。問題は用語の誤用とネットワークのセキュリティメカニズムの誤解にあります。ビットコインはブロックチェーン上に暗号化された秘密情報を保存しているわけではありません。これが重要な違いです。

実際の危険性はどこにあるのか

ビットコインの所有権は、デジタル署名(ECDSAやシュノア署名)、およびハッシュ関数に基づく約束によって保証されており、暗号化によるものではありません。もし量子コンピュータがビットコインの楕円曲線暗号に対してShorのアルゴリズムを実行できるなら、できることは一つです：公開鍵から秘密鍵を導き出すことです。

これが潜在的な不正アクセスのリスク、つまり実際に起こり得る脅威です。攻撃者は「復号」するわけではありません。代わりにShorのアルゴリズムを用いて公開鍵から秘密鍵を推測し、その後有効な署名を生成して不正な支出を行うのです。

長年ビットコインの開発者でありHashcashの創始者でもあるAdam Backは、これを次のように要約しています：「ビットコインは暗号化を使用していません。誰でも公開帳簿上のすべての取引を見ることができ、何も暗号化されていません。」

公開鍵の露出：セキュリティのボトルネック

ビットコインのセキュリティは一つに集約されます：公開鍵がブロックチェーン上に見えるかどうかです。多くのアドレス形式は公開鍵のハッシュ値を用いており、資金が動かされるまでは生の公開鍵はネットワーク上に現れません。これにより、潜在的な攻撃者のための時間窓が狭まります。

しかし、他のスクリプトタイプは公開鍵を早期に公開します。アドレスの再利用は、一度だけ公開された公開鍵を永続的なターゲットに変える可能性があります。Project Elevenは、その「Bitcoin Risq List」を通じて、すでに公開鍵が誰かにアクセス可能な場所を正確にマッピングしています。

データによると、約670万BTCが公開鍵の露出条件を満たしています。これは既に追跡可能な具体的な数値です。

重要な数字

計算側の観点からは、論理量子ビットと物理量子ビットの違いが重要です。理論的には、256ビットのECCの離散対数を計算するには約2330の論理量子ビットが必要とされています。

これを誤り訂正を備えた量子コンピュータに変換すると、コストが膨らみます。2023年の推定では：

• 10分で鍵を回復するには約690万の物理量子ビット
• 1日で回復するには約1300万の物理量子ビット
• 1時間のウィンドウを狙うには約3億1700万の物理量子ビット

これらの数字は、昨日の技術ではなく、今も進化し続けているインフラの上にあることを示しています。

Taprootは未来のゲームチェンジャー

Taproot(P2TR)の出力は、ハッシュではなく直接32バイトの修正された公開鍵をコードに含んでいます。これは今日の脆弱性を生み出すものではありませんが、もし鍵のリカバリーが実用的になった場合に、デフォルトで公開される情報を変える可能性があります。

Taprootは公開露出パターンの変化を意味しますが、これはウォレットやプロトコルの設計選択によって管理可能な変更です。

この課題は移行の問題であり、破局ではない

NISTはすでにML-KEM(FIPS 203)のようなポスト量子暗号の標準化を進めています。ビットコインでは、BIP 360が「Pay to Quantum Resistant Hash」を提案し、qbip.orgは古い署名の廃止を促し、移行を促進しています。

IBMは最近、誤り訂正コンポーネントの進展と、2029年頃の耐誤りシステムへの道筋について報告しています。これは、進化する量子システムに対して、進化し続ける防御ネットワークが伴うことを示しています。

実際の課題は、スループット、ストレージ、手数料、そして移行の調整です。ポスト量子署名は数キロバイトのサイズになり、数十バイトではなくなるため、取引の経済性も変わります。これはインフラの問題であり、突発的な事象ではありません。

したがって、ビットコインは暗号化の破綻によって危機に瀕しているわけではありません。なぜなら、それはそもそもビットコインの根幹ではなかったからです。追跡可能な要素は、公開鍵が露出しているUTXOの比率、ポスト量子経路の採用速度、そしてネットワークが変化した環境にどれだけ迅速に適応できるかです。