2030年にビットコインは量子コンピューターに攻撃されるのか？

によって書かれた Tiger Research

コンパイラ:AididiaoJP、Foresight News

量子コンピューティングの進展は、ブロックチェーンネットワークに新たなセキュリティリスクをもたらしています。本節では、量子脅威に対処するための技術を探り、ビットコインとイーサリアムがこの変化にどのように備えているかを検討します。

重要なポイント:

Q-Dayのシナリオ、すなわち量子コンピュータがブロックチェーン暗号を破ることができるシナリオは、5年から7年以内に到来すると予測されています。ブラックロックはそのビットコインETF申請書の中でもこのリスクを指摘しています。

ポスト量子暗号学は、量子攻撃に対する保護を3つのセキュリティレベルで提供します：通信暗号化、取引署名、データ持続。

GoogleやAWSなどの企業は後量子暗号の採用を始めていますが、ビットコインやイーサリアムはまだ初期の議論段階にあります。

新しい技術が未知の問題を引き起こす

量子コンピュータが数分でビットコインウォレットを破ることができるなら、ブロックチェーンの安全性は維持できるのでしょうか？

ブロックチェーンセキュリティの核心は秘密鍵の保護です。誰かのビットコインを盗むためには、攻撃者は秘密鍵を取得しなければなりませんが、現行の計算方式では実際には不可能です。オンチェーンで見えるのは公開鍵だけであり、スーパーコンピュータを使用しても、公開鍵から秘密鍵を導き出すには数百年の時間が必要です。

量子コンピュータはこのリスク状況を変えました。古典コンピュータは0または1を順次処理しますが、量子システムは2つの状態を同時に処理できます。この能力により、理論的には公開鍵から秘密鍵を導き出すことが可能になります。

専門家は、現代暗号学を破ることができる量子コンピュータが2030年頃に登場する可能性があると推定しています。この予想される瞬間はQ-Dayと呼ばれ、実際の攻撃が実行可能になるまでにあと5年から7年の時間があることを示しています。

出所:SEC

規制当局と主要機関は、このリスクを認識しています。2024年にアメリカ国立標準技術研究所がポスト量子暗号基準を導入しました。ブラックロックもそのビットコインETF申請書の中で、量子コンピューティングの進展がビットコインの安全性を脅かす可能性があると指摘しています。

量子コンピューティングはもはや遠い理論的問題ではありません。それは仮定に期待するのではなく、実際の準備を必要とする技術的問題となっています。

量子コンピュータはブロックチェーンのセキュリティに挑戦する

ブロックチェーン取引がどのように機能するかを理解するために、簡単な例を見てみましょう：EkkoがRyanに1BTCを送信します。

エコーが「私はライアンに1 BTCを送ります」という声明を作成する取引を行うとき、彼はユニークな署名を添付しなければなりません。この署名は彼の秘密鍵のみを使用して生成されます。

その後、ライアンとネットワーク内の他のノードは、エッコの公開鍵を使用してその署名が有効かどうかを検証します。公開鍵は、署名を検証できるが署名を再作成することはできないツールのようなものです。エッコの秘密鍵が機密のままであれば、誰も彼の署名を偽造することはできません。

これはブロックチェーン取引の安全性の基礎を形成しています。

秘密鍵は公開鍵を生成することができますが、公開鍵から秘密鍵を明らかにすることはできません。これは楕円曲線デジタル署名アルゴリズムによって実現されており、このアルゴリズムは楕円曲線暗号学に基づいています。ECDSAは数学的な非対称性に依存しており、一方向の計算は簡単ですが、逆方向の計算は計算上不可能です。

量子コンピューティングの発展に伴い、この障壁は弱まっています。重要な要素は量子ビットです。

クラシックコンピュータは0または1の順次処理を行います。量子ビットは同時に2つの状態を表現できるため、大規模な並列計算が実現します。十分な数の量子ビットを持つ量子コンピュータは、クラシックコンピュータが数十年かかる計算を数秒で完了することができます。

ブロックチェーンのセキュリティに直接的なリスクをもたらす二つの量子アルゴリズムがあります。

Shorアルゴリズムは、公鍵から秘密鍵を導き出す方法を提供し、公鍵暗号の安全性を弱めます。Groverアルゴリズムは、ブルートフォース検索を加速することで、ハッシュ関数の有効な強度を低下させます。

Shor アルゴリズム：直接資産盗難

現在のほとんどのインターネットセキュリティは、二つの公開鍵暗号システム：RSAとECCに依存しています。

今日のほとんどのインターネットセキュリティは、RSAとECCという2種類の公開鍵暗号システムに依存しています。これらは、整数分解や離散対数などの困難な数学的問題を利用して外部攻撃に対抗します。ブロックチェーンは、ECCに基づく楕円曲線デジタル署名アルゴリズムを使用して、同じ原理を応用しています。

現在の計算能力では、これらのシステムを破るには数十年の時間がかかるため、実際に安全であると見なされています。

ショアのアルゴリズムはこれを変えました。ショアのアルゴリズムを実行する量子コンピュータは、大きな整数の因数分解や離散対数計算を高速で実行できます。この能力はRSAやECCを破ることができます。

Shorアルゴリズムを利用すると、量子攻撃者は公開鍵から秘密鍵を導き出し、対応するアドレスの資産を自由に移動させることができます。取引を送信したことがあるアドレスは、公開鍵がブロックチェーン上で見えるようになるため、リスクにさらされています。これにより、数百万のアドレスが同時にリスクにさらされるシナリオが発生する可能性があります。

グローバーアルゴリズム：取引のインターセプト

ブロックチェーンのセキュリティは、対称鍵暗号（例えば、AES）やハッシュ関数（例えば、SHA-256）にも依存しています。

AESはウォレットファイルとトランザクションデータの暗号化に使用され、正しいキーを見つけるにはすべての可能な組み合わせを試す必要があります。SHA-256はプルーフ・オブ・ワークの難易度調整をサポートしており、マイナーは規定の条件を満たすハッシュ値を繰り返し検索する必要があります。

これらのシステムは、トランザクションがメモリプールで待機している間、他のユーザーがそれがブロックにパッケージされる前に分析または偽造するのに十分な時間がないと仮定しています。

グローバーアルゴリズムはこの仮定を弱めます。これは量子重ね合わせを利用して検索プロセスを加速し、AESおよびSHA-256の有効な安全レベルを低下させます。量子攻撃者はメモリプール内のトランザクションをリアルタイムで分析し、同じ入力（UTXO）を使用しながら出力を異なるアドレスにリダイレクトする偽のバージョンを生成することができます。

これにより、取引が量子コンピュータを使用する攻撃者によって傍受されるリスクが生じ、資金が予期しない目的地に転送される可能性があります。取引所からの引き出しや通常の送金は、このような傍受の一般的なターゲットになる可能性があります。

ポスト量子暗号

量子コンピュータ時代において、ブロックチェーンの安全性をどのように維持するか？

未来のブロックチェーンシステムは、量子攻撃の下でも安全性を維持できる暗号アルゴリズムが必要です。これらのアルゴリズムは、ポスト量子暗号技術と呼ばれています。

アメリカ国立標準技術研究所は、3つの主要なPQC標準を提案しました。ビットコインとイーサリアムのコミュニティは、これを長期的な安全性の基盤として採用することについて議論しています。

Kyber:ノード間通信を保護します

Kyberは、ネットワーク上の2者が安全に対称鍵を交換できるように設計されたアルゴリズムです。

長年にわたりインターネットインフラストラクチャを支えてきた従来の方法、例えば RSA や ECDH は、ショアのアルゴリズムによる攻撃に脆弱であり、量子環境下でさらなるリスクにさらされています。Kyber は、量子攻撃に対しても抵抗力があると見なされる格に基づく数学的問題（Module-LWE と呼ばれる）を使用することでこの問題を解決します。この構造は、データが転送中に傍受されたり解読されたりするのを防ぐことができます。

Kyberはすべての通信経路を保護します：HTTPS接続、取引所API、およびウォレットからノードへのメッセージ送信。ブロックチェーンネットワーク内部では、ノードが取引データを共有する際にもKyberを使用でき、第三者による監視や情報抽出を防ぎます。

実際、Kyberは量子計算時代のネットワーク伝送層のセキュリティを再構築しました。

ディリシウム：トランザクション署名の検証

ディリチウムは、トランザクションが秘密鍵の正当な保有者によって作成されたことを検証するためのデジタル署名アルゴリズムです。

ブロックチェーンの所有権は「秘密鍵で署名し、公鍵で検証する」というECDSAモデルに依存しています。問題は、ECDSAがショアのアルゴリズムによる攻撃を受けやすいことです。量子攻撃者は公鍵にアクセスすることで、対応する秘密鍵を導き出し、署名の偽造や資産の盗難を実現できます。

Dilithiumは、Module-SISとLWEを組み合わせた格子ベースの構造を使用してこのリスクを回避します。攻撃者が公開鍵と署名を分析しても、秘密鍵は推測できず、この設計は量子攻撃に対しても安全です。Dilithiumを適用することで、署名の偽造、秘密鍵の抽出、大規模な資産の盗難を防ぐことができます。

それは資産の所有権を保護し、各取引の真実性も保護します。

SPHINCS+:長期記録を保持

SPHINCS+は多層ハッシュツリー構造を使用しています。各署名はそのツリー内の特定のパスによって検証され、単一のハッシュ値からその入力を逆算することができないため、このシステムは量子攻撃に対しても安全性を保持しています。

EkkoとRyanの取引がブロックに追加されると、記録は永続的なものになります。これは文書の指紋に例えることができます。

SPHINCS+ は取引の各部分をハッシュ値に変換し、独自のパターンを作成します。ドキュメント内の文字が1つでも変更されると、その指紋は完全に変わります。同様に、取引のいかなる部分を変更しても、全体の署名が変わります。

数十年後であっても、EkkoとRyanの取引を変更しようとする試みは即座に検出されます。SPHINCS+によって生成される署名は比較的大きいですが、長期間にわたって検証可能性を保持する必要がある金融データや政府の記録には非常に適しています。量子コンピュータはこの指紋を偽造または複製することが難しいでしょう。

要約すると、PQCテクノロジーは、標準的な1BTC転送で量子攻撃に対する保護の3つの層を構築します:通信暗号化のためのKyber、署名検証のためのDilithium、およびレコードの整合性のためのSPHINCS+。

ビットコインとイーサリアム：異なる道が同じ目的地に

ビットコインは不変性を強調し、イーサリアムは適応性を優先しています。これらの設計理念は過去の出来事によって形作られ、各ネットワークが量子コンピュータの脅威に対処する方法に影響を与えています。

ビットコイン：最小限の変更で既存のチェーンを保護する

ビットコインの不変性への強調は、2010年の価値の過剰供給事件に遡ります。あるハッカーが脆弱性を利用して1840億BTCを作成し、コミュニティはソフトフォークを通じて5時間以内にその取引を無効にしました。この緊急行動の後、「確認された取引は絶対に変更できない」という原則がビットコインのアイデンティティの核心となりました。この不変性は信頼を維持しましたが、迅速な構造的変更を困難にしました。

この理念は、ビットコインが量子安全に対処する方法に引き継がれています。開発者たちは、アップグレードが必要であることに同意していますが、ハードフォークによるチェーン全体の置き換えは、ネットワークのコンセンサスにはリスクが大きすぎると見なされています。したがって、ビットコインは混合移行モデルを通じて漸進的な移行を模索しています。

ソース: bip360.org

この理念は、ビットコインの量子安全への対処方法にも引き継がれています。開発者たちはアップグレードが必要だと同意していますが、ハードフォークによる全体のチェーン置き換えはネットワークのコンセンサスにとってリスクが大きすぎると考えられています。したがって、ビットコインはハイブリッド移行モデルを通じて段階的な移行を探求しています。

もし採用されれば、ユーザーは従来の ECDSA アドレスと新しい PQC アドレスを同時に使用できるようになります。例えば、Ekko の資金が古いビットコインアドレスに保管されている場合、彼は Q-Day が近づくにつれて徐々にそれを PQC アドレスに移行することができます。ネットワークが両方の形式を同時に認識するため、安全性が向上し、破壊的な移行を強制することなく行われます。

挑戦は依然として大きい。数億のウォレットを移行する必要があり、秘密鍵を失ったウォレットについては明確な解決策がまだ存在しない。コミュニティ内の異なる意見も、チェーンのフォークのリスクを増加させる可能性がある。

イーサリアム：柔軟なアーキテクチャを通じて迅速な移行を再設計する

イーサリアムの適応性の原則は、2016年のDAOハッキング攻撃に由来します。約360万ETHが盗まれたとき、ヴィタリック・ブテリンとイーサリアム財団は、この盗難を逆転させるためにハードフォークを実行しました。

この決定はコミュニティをイーサリアム（ETH）とイーサリアムクラシック（ETC）に分裂させました。それ以来、適応性はイーサリアムの決定的な特徴となり、迅速な変革を実施できる重要な要因となっています。

ソース: web3edge

歴史的に、すべてのイーサリアムユーザーは外部アカウントに依存しており、これらのアカウントは ECDSA 署名アルゴリズムを通じてのみ取引を送信できます。すべてのユーザーが同じ暗号モデルに依存しているため、署名スキームを変更するには、ネットワーク全体のハードフォークが必要です。

EIP-4337はこの構造を変更し、アカウントがスマートコントラクトのように機能できるようにしました。各アカウントは独自の署名検証ロジックを定義でき、ユーザーはネットワーク全体を変更することなく代替の署名スキームを採用できます。署名アルゴリズムは、プロトコル全体のアップグレードを介さずにアカウントレベルで置き換えることができます。

この基盤の上に、PQCの採用を支持するいくつかの提案が出てきています。

EIP-7693：ECDSA との互換性を保ちながら、段階的にPQC署名への移行をサポートする混合移行パスを導入します。

EIP-8051：NIST PQC スタンダードをオンチェーンで適用し、実際のネットワーク条件下でPQC署名をテストします。

EIP-7932：プロトコルが複数の署名アルゴリズムを同時に認識し検証できるようにし、ユーザーが好みの方法を選択できるようにします。

実践において、ECDSAウォレットを使用しているユーザーは、量子脅威が迫っている際にDilithiumベースのPQCウォレットに移行することができます。この移行はアカウントレベルで行われ、チェーン全体を置き換える必要はありません。

要するに、ビットコインは現在の構造を維持しながらPQCを並行して統合することを目指しており、イーサリアムはPQCを直接取り入れるためにアカウントモデルを再設計しています。両者は量子耐性という同じ目標を追求していますが、ビットコインは保守的な進化に依存しており、イーサリアムは構造的な革新を採用しています。

ブロックチェーンがまだ議論されている間に、世界はすでに変わった

世界のインターネットインフラは、新しいセキュリティ基準への移行を開始しました。

集中化された意思決定に支えられた Web2 プラットフォームは迅速に行動します。Google は 2024 年 4 月から Chrome ブラウザで量子後の鍵交換をデフォルトで有効にし、それを数十億台のデバイスに展開します。Microsoft は全組織的な移行計画を発表し、2033 年までに PQC を完全に採用することを目指しています。AWS は 2024 年末から混合 PQC を使用し始めます。

ブロックチェーンはさまざまな状況に直面しています。ビットコインのBIP-360はまだ議論中であり、イーサリアムのEIP-7932は数ヶ月前に提出されましたが、まだ公開テストネットはありません。ヴィタリック・ブテリンは段階的な移行経路を概説していますが、量子攻撃が実際に可能になる前に移行を完了できるかは不明です。

デロイトの報告書によると、約20%から30%のビットコインアドレスはその公開鍵を露出しています。現在は安全ですが、2030年代に量子コンピュータが成熟すると、それらはターゲットになる可能性があります。その時点でネットワークがハードフォークを試みると、分裂の可能性が非常に高くなります。ビットコインの不変性へのコミットメントは、そのアイデンティティの基盤である一方で、急速な変革を難しくしています。

最終的に、量子コンピューティングは技術的な課題だけでなく、ガバナンスの課題も提起しました。Web2はすでに移行を開始しています。ブロックチェーンはまだどのように始めるかについて議論しています。決定的な問題は、誰が最初に行動するかではなく、誰が安全に移行を完了できるかです。