「2030年までの実現可能性は非常に低い」
米大手ベンチャーキャピタル企業アンドリーセン・ホロウィッツ(a16z)の暗号資産(仮想通貨)部門のジャスティン・テイラー氏は、暗号技術として実用的な量子コンピュータの実現はまだ遠い将来であるとして、暗号資産(仮想通貨)業界に対し、量子脅威に対するパニックに陥らないように促した。
a16zのリサーチ・パートナーでジョージタウン大学コンピュータサイエンス学部の准教授であるテイラー氏は、「2年で公開鍵暗号は破られる」や「100年先」といった極端な予測はどちらも正しくないと述べている。2030年までに暗号解読に実用的な量子コンピュータ(CRQC)が実現する可能性は非常に低いと指摘。また、米国政府が2035年を政府システム全体の耐量子暗号(PQC)移行の目標に設定していることは、妥当なタイムラインだが、CRQCの出現を予測するものではないとの見方を示した。
同氏は、暗号解読に実用的な量子コンピュータ(CRQC)が実現する時期は、しばしば誇張して語られていると指摘する。耐量子暗号(PQC)への即時かつ全面的な移行を求める声が高まっているが、このような主張は早すぎる移行のコストやリスクを見落としがちだと警告した。
さらに、量子脅威を議論する際、全く異なるリスク特性を持っているのにも関わらず、全ての暗号の基本要素を同じように扱うという、間違いを犯していると同氏は指摘した。
例えば、長期の機密性が必要なデータの暗号化については、「今収集して後で復号する(Harvest-now-decrypt-later, HNDL)攻撃」がすでに現実の脅威となっており、コストが高くても即時導入が必要だと同氏は主張する。現在暗号化されている国家機密などの機密データの価値は、将来も変わらないとみられるためだ。
HNDL攻撃とは、攻撃者が現在の暗号化通信を保存しておき、将来、CRQCが登場した時点でそれを復号する攻撃を指す。
一方、ブロックチェーンが依存するデジタル署名と暗号化は本質的に異なっており、署名には「収穫」すべき機密情報が存在しない。そのためHNDL攻撃の対象とはならない。また、CRQCが存在する前に作成された署名を、後から偽造することはできない。
ゼロ知識証明も署名と似ており、HNDL攻撃の対象となる機密情報が存在しないため、脆弱性はないとテイラー氏は指摘。量子脅威とは、「すでに公開されているデータの復号ではなく、署名偽造(秘密鍵を導出して資金を盗むこと)」であるため、ビットコイン(BTC)やイーサリアム(ETH)などの公開型ブロックチェーンでは、HNDL攻撃による暗号上のリスクは解消されると同氏は説明している。
また、今日の耐量子署名には、鍵・署名サイズの肥大化や運営コスト、バグのリスクなど多くの課題があると指摘。今後、数年間は、バグや実装攻撃の方がCRQCよりも大きなリスクであると警告し、PQCへの即時移行ではなく、慎重で段階的な移行が妥当だと主張した。
ただし、現時点での例外として、受取人や送金額を暗号化・秘匿しているプライバシーチェーンを挙げ、早期の耐量子暗号への移行、あるいは復号可能な秘密情報をオンチェーンに残さない設計の採用を推奨している。
ビットコイン特有の問題
テイラー氏は、ビットコインに関しては早期にPQC署名移行を考えるべき十分な理由があると主張する。それは量子技術そのものではなく、以下の二つの要因によるものだ。
- ガバナンスが遅く、合意形成に年単位の時間がかかる
- PQC署名への切り替えでは、所有者が自ら資金移動させる必要がある=放棄された量子脆弱性を持つコインは保護できない
- PoWはハッシュ関数に依存:Shorアルゴリズムによる指数関数的速度向上の影響を受けない(Grover探索アルゴリズムの影響を受ける)
- Grover探索の実装には非常に大きな実用的オーバーヘッドがある
- 大幅な高速化が実現しても、影響は競争条件の変化にとどまる:経済安全モデルそのものに影響はない
放棄された量子脆弱なビットコインは数百万枚規模と推定されるが、簡単な解決策は存在せず、その扱いは法的にも技術的にも極めて難しい。ビットコインのスループットの低さも問題になる。
テイラー氏は、仮に移行計画が確定しても、現在の処理能力ではすべての量子脆弱な資金を安全なアドレスに移すには、数か月を要すると見ている。数十億ドル相当のコインを移行するためのガバナンス、調整、技術的ロジスティクスの解決に何年もかかると考えられるため、ビットコインに関しては、今すぐに耐量子暗号への移行計画を始めることが重要だと主張した。
ビットコインへの量子脅威は現実のものだが、タイムラインへのプレッシャーは量子コンピュータではなく、ビットコイン自身の制約から生じている。
なお、ビットコインに対する量子脅威は、署名の暗号学的安全性の問題であり、ビットコインブロックチェーンの経済的安全性には当てはまらないことに留意すべきだと、テイラー氏は付け加えた。
ビットコインの経済的安全性はプルーフオブワーク(PoW) によって支えられており、PoWは量子コンピュータに対して、以下の3つの理由から比較的耐性がある。
関連:ビットコイン供給量3分の1が将来の量子攻撃に脆弱か、コインベース研究責任者が警告