Vitalikが量子脅威理論を再考：暗号通貨の基盤は本当に危機に瀕しているのか？

Original Article Title: "The Resurgence of Quantum Threat, Is the Foundation of Cryptocurrency Shaken?"

Original Article Author: Azuma, Odaily Planet Daily

最近、量子コンピュータが暗号資産にもたらす脅威が再びオンライン上で熱い議論の的となっています。この関心の再燃の背景には、量子コンピューティングおよび暗号資産業界の複数のキーパーソンが、量子コンピュータの開発とその潜在能力について新たな予測を発表したことがあります。

まず、11月13日、量子コンピューティングの第一人者でありテキサス大学量子情報センターのディレクターであるScott Aaronson氏が記事の中で次のように述べました：「私は今、次の米国大統領選挙の前に、Shorアルゴリズムを実行できるフォールトトレラントな量子コンピュータが登場する可能性があると考えています…」

続いて、11月19日にはEthereum共同創設者のVitalik Buterin氏もブエノスアイレスで開催されたDevconnectカンファレンスで発言し、「2028年の米国大統領選挙までに、量子コンピュータによって楕円曲線暗号（ECC）が破られる可能性がある」と述べ、Ethereumは4年以内にポスト量子アルゴリズムへアップグレードするよう促しました。

量子脅威とは何か？

Scott氏やVitalik氏の予測を解釈する前に、「量子脅威」とは何かを簡単に説明する必要があります。

簡単に言えば、暗号資産に対する量子脅威とは、将来的に十分に強力な量子コンピュータが登場した場合、現在の暗号資産のセキュリティを守る暗号基盤を破る可能性があり、そのセキュリティモデルを根本から揺るがすかもしれないということです。

現在、ほぼすべての暗号資産（BitcoinやEthereumなど）のセキュリティは「非対称暗号」と呼ばれる技術に依存しており、その中で最も重要な部分は「秘密鍵」と「公開鍵」です：

• 秘密鍵：ユーザーが秘密に保持し、トランザクションの署名や資産の所有権証明に使用されます；

• 公開鍵：秘密鍵から生成され、公開可能で、ウォレットアドレスやアドレスの一部として使用されます。

暗号資産のセキュリティの要は、公開鍵から秘密鍵を導き出すことが現在の計算能力では事実上不可能であるという点にあります。しかし、量子コンピュータは量子力学の原理を利用し、特定のアルゴリズム（前述のShorアルゴリズムなど）を実行することで、特定の数学的問題の解決を大幅に高速化でき、これは非対称暗号の弱点となります。

Shorアルゴリズムとは何かをさらに説明しましょう。数学的な詳細には深入りしませんが、Shorアルゴリズムの本質は、従来のコンピュータでは「ほぼ解けない」数学的問題を、量子コンピュータ上では「比較的解きやすい」周期探索問題に変換できるというものであり、暗号資産の既存の「秘密鍵-公開鍵」暗号システムを脅かす可能性があります。

より分かりやすい例を挙げると、イチゴ（秘密鍵に例える）をジャム（公開鍵に例える）にするのは簡単ですが、ジャムをイチゴに戻すことは明らかにできません。しかし、突然チートコード（量子コンピュータに例える）が現れ、それを素早く実現できるかもしれない（Shorアルゴリズムに例える）、ということです。

暗号資産の基盤は揺らいだのか？

では、これで暗号資産は終わりなのでしょうか？

慌てる必要はありません。量子脅威は客観的に存在しますが、問題はそれほど差し迫ってはいません。この理由は主に2つあります。第一に、実際の脅威が現れるまでにはまだ時間があること、第二に、暗号資産はアップグレードによってポスト量子アルゴリズムを導入できることです。

まず第一の点について、たとえScott氏の予測が2028年の選挙前に実現したとしても、それが即座に暗号資産のセキュリティが本当に破られることを意味するわけではありません。Vitalik氏の発言も、BitcoinやEthereumの基盤が揺らぐという意味ではなく、あくまで長期的な理論上のリスクを指摘したものです。

Dragonfly CapitalのパートナーであるHaseeb氏は、量子コンピューティングの新たなタイムラインについてパニックになる必要はないと説明しています。Shorアルゴリズムを実行できることは、実際の256ビット楕円曲線鍵（ECC鍵）を破ることと同義ではありません。Shorアルゴリズムで1つの数を破ることは十分にすごいことですが、数百桁の数を分解するには、はるかに大規模な計算能力とエンジニアリング力が必要です…これは真剣に受け止めるべきですが、決して差し迫ったものではありません。

暗号資産セキュリティ専門家のMASTR氏は、より明確な数学的回答を示しています。BitcoinやEthereumなどで現在使われている楕円曲線署名（ECDSA）を破るには、約2300個の論理キュービット、10¹²～10¹³回の量子操作、そしてエラー訂正を考慮すると、数百万から数十億個の物理キュービットが必要です。しかし、現在の量子コンピュータは100～400個のノイズの多いキュービットしか持たず、エラー率も高くコヒーレンス時間も短い――前者を破るための要件との間には、少なくとも4桁のオーダーの差があります。

第二の点については、業界の暗号学者たちも量子コンピュータ攻撃に耐えうる新しいポスト量子暗号（PQC）アルゴリズムの開発を進めており、主流のブロックチェーンもすでにこれに備えています。

昨年3月には、Vitalik氏が「もし明日量子攻撃が来たら、Ethereumはどう解決するか？」という記事を執筆し、その中でWinternitz署名やSTARKsの量子脅威への耐性について言及し、さらに緊急時にEthereumがどのようにアップグレードするかも構想しています。

Ethereumと比べて、Bitcoinはアップグレードの柔軟性が低いかもしれませんが、コミュニティではDilithium、Falcon、SPHINCS+など様々なアルゴリズムアップグレード案が以前から提案されています。最近関連議論が活発化する中、Bitcoin OGのAdam Back氏も、実質的な量子コンピュータ脅威が現れる前にポスト量子暗号標準を導入できると述べています。

まとめると、量子脅威とは、理論上は現在のブロックチェーンの暗号ロックをすべて開けることができる遠い「マスターキー」のようなものです。しかし、ロックの作り手たちは、このマスターキーでは開けられない新しいロックの研究をすでに進めており、マスターキーが作られる前にすべてのドアのロックを新しいものに交換する準備をしています。

これが量子脅威に関する現在の客観的な現実です。その進展を無視することはできませんが、それによって盲目的にパニックになる必要もありません。