a16z｜量子コンピューティングとブロックチェーン：「緊急性」と実際の脅威を一致させる

Chainfeeds ガイド：

本記事では、量子脅威に関する一般的な誤解を明らかにし、暗号アルゴリズム、署名メカニズム、ゼロ知識証明（ZKP）への影響について説明し、それらがブロックチェーンシステムにとって何を意味するかを論じています。

出典：

a16z

見解：

a16z：量子コンピューティングがもたらす最初の現実的なセキュリティリスクは「将来の攻撃」ではなく、「Harvest Now, Decrypt Later（HNDL）」攻撃です。これは、攻撃者が現在暗号化通信を保存し、将来量子計算能力を手に入れた後に解読するというものです。つまり、高度に機密性の高い通信（特に国家レベルの通信）は、今日解読できなくても将来的に暴露される可能性があります。そのため、10～50年以上の機密保持が必要なシステムに対しては、新しい量子耐性暗号を今から導入する必要があります。しかし、この脅威はデジタル署名システムには当てはまりません。デジタル署名には「遡及的に解読可能なプライバシー内容」がなく、「過去の検証が量子計算によって覆される」問題もありません。将来量子計算によって署名が偽造できるようになったとしても、それは将来の取引や認可にのみ影響し、過去の署名が無効になったり隠された情報が漏洩したりすることはありません。この論理に基づき、ブロックチェーンで最も一般的に使われている署名メカニズム（ECDSA、EdDSA）は将来的にアップグレードが必要ですが、直ちに移行する必要はありません。さらに、zkSNARKsのセキュリティモデルは暗号化とは異なります。たとえ現在使用されているzkSNARKsが楕円曲線に基づいていても、そのゼロ知識性自体は量子攻撃に対して安全です。なぜなら、証明には量子アルゴリズムで回復可能なプライベートデータが含まれていないからです。したがって、zkSNARKsにもアーカイブして解読を待つリスクはありません。言い換えれば、プライバシーチェーンはより急を要し、パブリックチェーンは急ぐ必要がなく、署名のアップグレードは暗号化より遅く、SNARKのアップグレードは署名よりさらに遅い――これがブロックチェーン世界における量子脅威の現実的な優先順位です。 ブロックチェーン全体が直ちに量子耐性署名に切り替える必要はありませんが、bitcoinは例外です。その理由は量子脅威が差し迫っているからではなく、ガバナンスの遅さ、取引構造の歴史的な複雑さ、アクティブな移行がユーザーの行動に依存しているからです。まず、bitcoinのプロトコル変更は非常に遅く、コンセンサスやセキュリティロジックの変更は論争や分裂、さらにはハードフォークを引き起こす可能性があります。次に、bitcoinのアップグレードではすべての資産を自動的に移行できません。なぜなら、署名鍵はユーザーが保有しており、プロトコルが強制的にアップグレードできないからです。これは、失効・紛失・管理されていないウォレット（推定数百万BTC）が将来の量子攻撃に永続的に晒されることを意味します。さらに厄介なのは、bitcoin初期にはP2PK（公開鍵を直接公開するアドレス構造）が使われており、その公開鍵がチェーン上で可視化されています。量子計算はShorアルゴリズムを利用して可視化された公開鍵から直接秘密鍵を導出できます。これは、現代のアドレス方式（ハッシュで公開鍵を隠す）とは異なり、後者は取引を発行したときにのみ公開鍵が露出し、攻撃者と時間的な競争が可能です。したがって、bitcoinの移行は単なる技術的な問題ではなく、法的リスク（紛失 vs 所有証明）、社会的協力、実施期間やコストに関わる長期的なプロジェクトです。量子脅威が遠い将来であっても、bitcoinは今から不可逆的な移行ロードマップを策定する必要があります。 量子脅威が確かに存在する一方で、拙速な全面アップグレードはむしろ現実的なリスクを高めます。現段階では多くの量子耐性アルゴリズムに顕著なパフォーマンスコスト、実装の複雑さ、さらには古典的アルゴリズムによる直接的な破られた歴史的事例（Rainbow、SIKEなど）があります。例えば、現行主流のポスト量子署名であるML-DSAやFalconは、現在の署名よりも数十倍から百倍以上大きく、実装がサイドチャネル攻撃や浮動小数点の脆弱性、パラメータミスによる鍵漏洩にさらされやすいです。 したがって、ブロックチェーンは盲目的に移行すべきではなく、段階的・多軌道・交換可能なアーキテクチャ戦略を採用すべきです。長期的な機密通信にはハイブリッド暗号（post-quantum + classical）を導入し、頻繁な署名が不要なシナリオ（ファームウェア、システムアップデート）にはハッシュ署名システムを先行導入し、パブリックチェーン層では計画と研究を維持し、インターネットPKIと同様に慎重なペースを取るべきです。また、アカウント抽象化やモジュラー設計を採用し、将来の署名システムがオンチェーンのアイデンティティや資産履歴を破壊せずにアップグレード可能にするべきです。【原文は英語】