Adam Backは、創設者のサイファーパンクであり、次のような洗練された解決策を提案しました。ビットコインは、Taproot/Schnorrの既存フレームワーク内で新しい署名タイプを導入し、即座に全体を混乱させることなく、量子耐性の方法を選択できるというものです。ユーザーは、新しいリーフタイプに資産を保存するなど、量子耐性の方法に段階的に移行しながら、レガシーインフラは引き続き機能します。この段階的アプローチにより、開発者はインフラの準備と標準のテストを、実際の脅威が現れる前に行うことができます。
ビットコインの量子防御は、市場のパニックが示すよりも堅固に保たれています
暗号コミュニティはビットコインの量子リスクについて二つの陣営に分かれています。一方はそれを差し迫った脅威と捉え、緊急の対応を求める意見、もう一方は市場のFUDが実際の技術的危険性をはるかに上回っていると主張します。Gabor Gurbacs(テザーの戦略アドバイザー)など業界関係者を交えた最近の議論は、タイムライン、脅威の深刻さ、準備が賢明かパニック的かという根本的な不一致を明確にしています。
今日の量子攻撃に耐えるアーキテクチャ
ビットコインの量子コンピュータに対する防御は、重要な区別に基づいています。それは、合意形成メカニズムと取引検証層が根本的に異なるという点です。ネットワークのプルーフ・オブ・ワークのセキュリティはSHA-256に依存しており、これは公開鍵暗号よりもはるかに量子耐性の高いハッシュベースのアルゴリズムです。たとえGroverのアルゴリズムのような量子の突破口があったとしても、従来の計算より高速化できるのは二次的な改善に過ぎず、ネットワークを守る経済的インセンティブ構造を破るには不十分です。
実際の脆弱性は、個々の取引を保護するECDSA署名にあります。十分に強力な量子コンピュータが実現すれば、Shorのアルゴリズムによってこれらの鍵が理論上破られる可能性があります。しかし、ビットコインの設計には先見の明があります。アドレスの再利用は経済的に抑制されており、多くの公開鍵は実際に使われるまでオンチェーン上に隠されたままです。この慣行により、露出は大幅に減少します。
「量子終末論」的な物語が不要な恐怖を煽る理由
Gurbacsは、量子に関する懸念を過大評価とし、次の三つの具体的な事実を挙げて、終末論的な物語を否定しています。第一に、ECDSAを破るために必要な量子ハードウェアは「信じられないほど高速かつ安定」している必要があり、現段階のプロトタイプをはるかに超えています。第二に、そのようなマシンが存在すれば、Bitcoinよりも先にTLS暗号、PGP、政府のPKIインフラが崩壊します。2024年現在、これらは一度も突破されておらず、量子コンピューティングは理論的な脅威に過ぎません。
第三に、ビットコインのモジュラーアーキテクチャは、署名層のアップグレードを、通貨政策や供給ルールを損なうことなく行うことを可能にしています。最近のNISTによるFIPS-205の標準化(SLH-DSA(ステートレスハッシュベースデジタル署名アルゴリズム))は、信頼できる機関からのポスト量子代替案が出現していることを示しています。これにより、行動しない理由の一つが排除されました。標準はすでに存在しています。
徐々に移行する技術的根拠
Adam Backは、創設者のサイファーパンクであり、次のような洗練された解決策を提案しました。ビットコインは、Taproot/Schnorrの既存フレームワーク内で新しい署名タイプを導入し、即座に全体を混乱させることなく、量子耐性の方法を選択できるというものです。ユーザーは、新しいリーフタイプに資産を保存するなど、量子耐性の方法に段階的に移行しながら、レガシーインフラは引き続き機能します。この段階的アプローチにより、開発者はインフラの準備と標準のテストを、実際の脅威が現れる前に行うことができます。
タイムラインも重要です。NISTは2024年8月にSLH-DSAを正式化したばかりであり、暗号コミュニティはこれらの代替案の評価を始めたばかりです。開発者は、実装の監査、トレードオフの理解、採用するスキームの合意に数年を要します。Backは、「schnorrとECDSAの署名方式は、暗号的に重要な量子コンピュータ(CRQCs()が到達すれば廃止されるだろう」と予測していますが、これは「2030年よりずっと先の話」とも述べています。
セキュリティの専門家が反論:ガバナンスと調整
すべての人が段階的な準備だけで十分だとは考えていません。MessariのDan McArdleやProject ElevenのGraeme Mooreは、Gurbacsが過小評価していると考える三つの構造的な問題点を指摘しています。
第一の問題は、レガシーのP2PK出力です。非常に古いビットコイン取引の中には、アドレスの再利用保護がなく、公開鍵が即座に露出するpay-to-pubkey形式を使ったものがあります。これらはネットワーク全体に散在していますが、量子コンピュータの進化により標的になり得ます。
第二のリスクは、メンプールスナイピングです。強力な量子敵対者が、取引がネットワークに伝播して未確認の間に資金を盗むことを理論的に考えられます。攻撃者は、未確認の取引から送信者の公開鍵を抽出し、秘密鍵を計算し、資金を再配分します。ただし、McArdleは、これには完成に何倍もの高速な量子ハードウェアが必要だと認めています。
第三の問題は、ポスト量子署名の膨張です。SLH-DSAのような schemesは、secp256k1よりも大きな署名を生成し、取引のスループットを維持するためにブロックサイズの増加が必要になる可能性があります。このガバナンスの争いは、2015-2017年のスケーリング戦争以来ビットコインを悩ませており、再び議論が分裂を招く恐れがあります。
Mooreは、理想的な条件下でも、ポスト量子署名への完全移行には六ヶ月以上かかる可能性があると強調し、準備は今始めるべきだと述べています。また、NIST標準のアルゴリズムをビットコインコミュニティが受け入れるかどうかについても疑問を呈しています。なぜなら、サトシ・ナカモトは、secp256k1のような非NIST曲線を意図的に選択したからです。これは、中央集権的な標準設定機関への不信からです。
移行されていないコインの問題:倫理と技術の交差点
Mooreは、挑発的な思考実験を提案しました。量子アップグレード中に「失われた」ビットコイン、特にサトシ・ナカモトに帰属する保有分はどうなるのか?これらのコインは凍結すべきか、それとも脆弱にすべきか?Gurbacsは、特別な例外は認めず、ガバナンスルールはすべての未移行鍵に一律に適用されるべきだと反論しました。彼の立場は、弱い暗号システムは最初に失敗し、ビットコイン自体が緊急の圧力に直面する前に何年も警告が出ると考えています。
市場の無関心と現実的なタイムライン
報道時点で、ビットコイン )BTC(は95.20Kドルで取引されており、市場は量子の物語に動じていません。準備の必要性については両陣営とも異論はなく、緊急性とタイムラインだけが争点です。最終的には、五年後、十五年後、あるいは現在の計画範囲を超えた未来に、ECDSAを破ることができる量子コンピュータが出現するかどうかにかかっています。
明らかなのは、ビットコインのアーキテクチャは成熟しているものの、凍結されているわけではないということです。ネットワークは、新しい署名タイプを導入するソフトフォーク、段階的なユーザー移行、ポスト量子暗号の研究を通じて適応可能です。今後の標準化研究、ガバナンスの議論、技術的テスト次第で、これらのリスクをどれだけ真剣に受け止めるか、そして準備が賢明な努力か、あるいは過剰な反応かが決まるでしょう。