一般的に広まっている、量子コンピュータがビットコインの暗号化に脅威をもたらすという意見は、ネットワークのアーキテクチャの誤解に基づいています。実際には、ビットコインの安全性はブロックチェーンに保存された秘密の暗号化に依存しているわけではありません。この点についての言及は多くの技術的な資料に見られますが、一般の認識にはほとんど届いていません。代わりに、真の課題はデジタル署名と公開鍵の公開に関するものであり、これらが理論的な量子脅威に対する実際の攻撃ベクトルとなっています。
暗号化とデジタル署名システムの混同は、量子対応ビットコインに関する誤情報の大部分の原因です。ブロックチェーンは公開された台帳であり、すべての取引、金額、アドレスが誰でも閲覧可能です。このシステム内の情報は従来の意味で暗号化されていません。
ビットコインの安全性は、(ECDSAとSchnorr)の署名システム、および(ハッシュ関数)に基づいています。これらの仕組みは鍵ペアの管理を保証しますが、情報を暗号化して保護するものではありません。十分に進んだ量子コンピュータがShorのアルゴリズムを実行できる場合、公開鍵がブロックチェーン上で公開されている状態から秘密鍵を導き出すことが可能になります。これは認証の偽造であり、暗号の解読ではありません。
脆弱性はネットワーク全体に均一に存在しているわけではありません。多くのアドレス形式は公開鍵のハッシュ値を用いており、公開鍵そのものは取引の発行時まで隠されたままです。これにより、潜在的な攻撃者にとっての攻撃の窓は狭まります。
Project Elevenは毎週スキャンを行い、「Bitcoin Risq List」を公開して、公開鍵が露出しているアドレスを追跡しています。現在の推定では、露出の条件を満たすアドレスには約6,7百万BTCが存在しているとされており、これがリスク分析の基準となっています。
他のタイプのスクリプト、特にTaproot (P2TR)は、32バイトの修正された公開鍵を直接出力に埋め込むため、露出のプロフィールを変えますが、今日の脆弱性には影響しません。これは、暗号的に重要なマシンが登場したときに初めて重要となるでしょう。
研究によると、明確で測定可能な目標があります。256ビット楕円曲線の秘密鍵を計算するには、約2330論理キュービット(参照:Roetteler et al.)が必要です。ただし、これを実用的なマシンに変換するには、誤り訂正のために何百万もの物理キュービットが必要です。
2023年の推定では:
アーキテクチャの選択、エラー率、誤り訂正の実装により、実際のコストは大きく異なる可能性があります。
ハッシュ関数に関する議論では、Groverのアルゴリズムが登場します。これはブルートフォース検索の平方根の高速化をもたらすものであり、Shorのディスクリートログの破壊的な突破のようなものではありません。SHA-256のプリイメージに対しては、目標は依然として2^128の作業量のままであり、量子最適化後も変わりません。これは楕円曲線の脅威と比較して相対的に小さなものです。
量子リスクは主に移行の課題であり、技術的な破滅ではありません。NISTはすでにポスト量子暗号の標準化を進めており、ML-KEM(FIPS 203)のようなプリミティブも標準化されています。ビットコインコミュニティでは、BIP 360のような提案も議論されており、「Pay to Quantum Resistant Hash」のような仕組みも検討されています。
移行の主な制約は、帯域幅、ストレージ、取引手数料です。ポスト量子署名は数キロバイトのサイズになり、従来の数十バイトよりも大きくなるため、取引の経済性やウォレットのユーザー体験に影響します。
最近の報告では、IBMなどの企業は2029年頃までに耐誤りシステムの実現を見込んでいます。これにより、適応のための時間枠は数年単位となる見込みです。
重要なのは、実際に影響を受ける要素です。UTXOのうち、公開鍵が露出している部分の割合、ウォレットの挙動がこの露出にどう反応するか、そしてネットワークが量子耐性の支出経路をどれだけ迅速に採用できるかです。これらを維持しながら、手数料の検証や市場の安定性を保つ必要があります。
アドレスの再利用は露出の時間的窓を拡大します。同じアドレスへの将来の入金は公開されたままです。一方、ウォレットの設計次第では、アドレス管理と早期のポスト量子フォーマットへの移行によってリスクを低減できます。
ビットコインに対する量子コンピュータの脅威は虚構ではありませんが、その性質は一般的な誤った認識とは大きく異なります。これは暗号の破壊の問題ではなく、エコシステムの進化に伴う調整の問題であり、各決定の根拠はネットワークの現状の露出に関する測定可能なデータに基づくべきです。
20.66K 人気度
26.6K 人気度
48.01K 人気度
17.07K 人気度
100.54K 人気度
ビットコインに対する量子コンピュータの脅威:技術的な神話か現実の問題か?
一般的に広まっている、量子コンピュータがビットコインの暗号化に脅威をもたらすという意見は、ネットワークのアーキテクチャの誤解に基づいています。実際には、ビットコインの安全性はブロックチェーンに保存された秘密の暗号化に依存しているわけではありません。この点についての言及は多くの技術的な資料に見られますが、一般の認識にはほとんど届いていません。代わりに、真の課題はデジタル署名と公開鍵の公開に関するものであり、これらが理論的な量子脅威に対する実際の攻撃ベクトルとなっています。
実際の脅威はどこにあるのか?
暗号化とデジタル署名システムの混同は、量子対応ビットコインに関する誤情報の大部分の原因です。ブロックチェーンは公開された台帳であり、すべての取引、金額、アドレスが誰でも閲覧可能です。このシステム内の情報は従来の意味で暗号化されていません。
ビットコインの安全性は、(ECDSAとSchnorr)の署名システム、および(ハッシュ関数)に基づいています。これらの仕組みは鍵ペアの管理を保証しますが、情報を暗号化して保護するものではありません。十分に進んだ量子コンピュータがShorのアルゴリズムを実行できる場合、公開鍵がブロックチェーン上で公開されている状態から秘密鍵を導き出すことが可能になります。これは認証の偽造であり、暗号の解読ではありません。
実際の露出のマッピング:現状何がわかっているか?
脆弱性はネットワーク全体に均一に存在しているわけではありません。多くのアドレス形式は公開鍵のハッシュ値を用いており、公開鍵そのものは取引の発行時まで隠されたままです。これにより、潜在的な攻撃者にとっての攻撃の窓は狭まります。
Project Elevenは毎週スキャンを行い、「Bitcoin Risq List」を公開して、公開鍵が露出しているアドレスを追跡しています。現在の推定では、露出の条件を満たすアドレスには約6,7百万BTCが存在しているとされており、これがリスク分析の基準となっています。
他のタイプのスクリプト、特にTaproot (P2TR)は、32バイトの修正された公開鍵を直接出力に埋め込むため、露出のプロフィールを変えますが、今日の脆弱性には影響しません。これは、暗号的に重要なマシンが登場したときに初めて重要となるでしょう。
計算上の側面:必要なキュービット数はどれくらいか?
研究によると、明確で測定可能な目標があります。256ビット楕円曲線の秘密鍵を計算するには、約2330論理キュービット(参照:Roetteler et al.)が必要です。ただし、これを実用的なマシンに変換するには、誤り訂正のために何百万もの物理キュービットが必要です。
2023年の推定では:
アーキテクチャの選択、エラー率、誤り訂正の実装により、実際のコストは大きく異なる可能性があります。
Groverのアルゴリズム:Shorよりも脅威は少ない
ハッシュ関数に関する議論では、Groverのアルゴリズムが登場します。これはブルートフォース検索の平方根の高速化をもたらすものであり、Shorのディスクリートログの破壊的な突破のようなものではありません。SHA-256のプリイメージに対しては、目標は依然として2^128の作業量のままであり、量子最適化後も変わりません。これは楕円曲線の脅威と比較して相対的に小さなものです。
ビットコインはどう適応できるか?
量子リスクは主に移行の課題であり、技術的な破滅ではありません。NISTはすでにポスト量子暗号の標準化を進めており、ML-KEM(FIPS 203)のようなプリミティブも標準化されています。ビットコインコミュニティでは、BIP 360のような提案も議論されており、「Pay to Quantum Resistant Hash」のような仕組みも検討されています。
移行の主な制約は、帯域幅、ストレージ、取引手数料です。ポスト量子署名は数キロバイトのサイズになり、従来の数十バイトよりも大きくなるため、取引の経済性やウォレットのユーザー体験に影響します。
最近の報告では、IBMなどの企業は2029年頃までに耐誤りシステムの実現を見込んでいます。これにより、適応のための時間枠は数年単位となる見込みです。
実際の準備の方向性
重要なのは、実際に影響を受ける要素です。UTXOのうち、公開鍵が露出している部分の割合、ウォレットの挙動がこの露出にどう反応するか、そしてネットワークが量子耐性の支出経路をどれだけ迅速に採用できるかです。これらを維持しながら、手数料の検証や市場の安定性を保つ必要があります。
アドレスの再利用は露出の時間的窓を拡大します。同じアドレスへの将来の入金は公開されたままです。一方、ウォレットの設計次第では、アドレス管理と早期のポスト量子フォーマットへの移行によってリスクを低減できます。
ビットコインに対する量子コンピュータの脅威は虚構ではありませんが、その性質は一般的な誤った認識とは大きく異なります。これは暗号の破壊の問題ではなく、エコシステムの進化に伴う調整の問題であり、各決定の根拠はネットワークの現状の露出に関する測定可能なデータに基づくべきです。