a16z: 量子脅威は過大評価されていますか?
原文タイトル:Quantum computing and blockchains: Matching urgency to actual threats
原著者:Justin Thaler,a16zcrypto
翻訳:Peggy,BlockBeats
編者補記:量子脅威に関する議論は市場で「過剰に緊急なもの」とされていますが、後量子時代への移行は一律に行われるべきではありません。本文の中心的な考えは、暗号化は「収集してから解読」(HNDL)が現実のリスクとなっているため、ハイブリッドソリューションにできるだけ早く移行すべきだというものです。しかし、デジタル署名やzkSNARKは、急ぐ必要がなく、早すぎる移行はセキュリティコストの増加、パフォーマンスの低下、実装の脆弱性など、より直接的なリスクをもたらす可能性があります。
本文の著者Justin Thalerは、a16zのリサーチパートナーであり、ジョージタウン大学のコンピュータサイエンス准教授であり、検証可能な計算などの分野を研究しています。彼は業界に後量子時代が訪れた際に取るべき措置は、パニック的な移行ではなく、真に緊急を要するリスクにリソースを集中させることだと述べています。
以下は原文です:
現在の暗号体系が脅かされる「十分な」量子コンピューティングまでの距離は実際どれだけあるのでしょうか。市場のタイムラインはしばしば過度に前倒しされており、それによって「即座に、完全に後量子暗号(PQC)に移行する必要がある」という緊急の論述が生まれました。
しかし、問題は、このような要求がしばしば重要な現実を無視していることです。早すぎる移行自体にはコストと新たなリスクが伴います。さらに重要なのは、暗号システムが一括りではないということです。異なる暗号学的プリミティブの攻撃方法とリスク露出の度合いには大きな違いがあるのです:
後量子暗号(Post-quantum encryption)のロジックはより緊急です:高いコストがかかるかもしれませんが、できるだけ早く展開する必要があります。なぜなら、「先に収集して後で解読する」(Harvest-now-decrypt-later, HNDL)攻撃が既に発生しているからです。敵対者は今日暗号化された機密データを保存しておき、将来量子コンピュータが現れたときに解読することができます。量子コンピュータが到来するには数十年かかるかもしれませんが、それらのデータがその時点で価値がある限り、それは実際の脅威となります。後量子暗号には確かにパフォーマンスのコストと実装リスクがありますが、長期的な機密保持が必要なデータにとって、HNDL攻撃に立ち向かう他の方法はありません。
一方、後量子署名(Post-quantum signatures)の状況は異なります。その計算方法にはHNDL攻撃の影響を受けず、コストとリスク(サイズの増加、パフォーマンスの低下、実装の未熟さ、脆弱性リスク)が移行を慎重かつ段階的に進めるべきであることを決定付けます。全面的な採用を急ぐ必要はありません。
これらの違いは非常に重要です。誤った認識はコスト便益分析を歪め、チームがより緊急なセキュリティリスク(たとえばコードの脆弱性(バグ))を無視する原因となります。量子暗号移行を成功させる上での真の難関は、「緊急性」を「実際の脅威」と一致させることです。以下では、量子脅威と暗号に関する一般的な誤解についていくつか明らかにし、暗号化、署名、ゼロ知識証明に焦点を当て、特にそれらがブロックチェーンに与える影響について強調します。
現在の進捗状況はどのようなものですか?
2020年代に「暗号解読に関連する量子コンピュータ」(Cryptographically Relevant Quantum Computer, CRQC)が現れることは非常に不可能です。一部の大げさな主張があるにもかかわらず、そのようなことは起こりません。
私が言う「暗号学に関連する量子コンピュータ」とは、容錯性を持ち、エラー訂正能力を備えた量子コンピュータのことであり、十分な規模でShorのアルゴリズムを実行し、楕円曲線暗号やRSAなどを合理的な時間内に破ることができるものを指します(例:secp256k1やRSA-2048を破るのに最大でも1か月程度の持続的な計算が可能なもの)。
公開されたマイルストーンやリソースの見積もりに基づくどんな合理的な見解を採用しても、私たちはCRQCから非常に遠いところにいます。一部の企業は2030年までにまたはそれよりもはるかに早くCRQCを実現する可能性があると主張していますが、公に利用可能な進展はこれらの主張を支持していません。
比較対照として、現在のすべての主要アーキテクチャ、イオントラップ、超伝導ビット、および中性原子システムなどでは、Shorのアルゴリズムを実行するには必要な規模には全く達していません:RSA-2048やsecp256k1を攻撃するには、通常、数十万から数百万の物理ビットが必要です(誤り率やエラー訂正スキームに依存します)。
制約要因は物理ビットの数だけでなく、ゲートの忠実度(gate fidelity)、ビットの接続性(connectivity)、および長期にわたって続行するための深い量子エラーコレクション回路が必要な、量子アルゴリズムの実行にも関わります。いくつかのシステムはすでに1000個以上の物理ビットを突破しているかもしれませんが、数量だけを見ても誤解を招きやすいです:これらのシステムは、「暗号解読に関連する計算」を行うのに必要な接続性やゲートの忠実度が欠如しています。
一部の最新のシステムの物理エラー率は確かに「量子エラー訂正が効果を発揮し始める」閾値に近づいていますが、現時点では、数少ない論理キュビット(logical qubit)ですら、十分な深いエラー訂正回路の下で持続的に実行できることを示した人はいません。さらに言えば、Shorのアルゴリズムが真に必要とするのは、数千から数万の高忠実度で深いエラー訂正の論理キュビットです。
「量子誤り訂正の原理的実現」から「暗号解読に十分な規模の達成」までの間には、まだ大きな隔たりがあります。
要するに、物理ビット数と保真度がいくつかの桁数向上するまで、CRQC はまだ遠い未来の話です。
しかし、なぜみんな簡単に誤解されるのでしょうか?
企業のプレスリリースやメディア報道は、混乱を招きやすく、一般的な誤解の原因は次のようなものです:
いくつかのデモは、「量子アドバンテージ」を達成したと主張していますが、現時点では人工的に設計された実用的でないタスクが多いです。これらのタスクが選択された理由は、それらが現実的な価値を持っているからではなく、既存のハードウェアで実行でき、かつ量子アクセラレーションが非常に大きく見えるためであり、そのような背景はしばしば発表で弱められます。
いくつかの企業は、「数千の物理ビット」を実現したと主張していますが、それは通常、ゲートモデルの量子コンピューターではなく、量子アニーリングマシンを意味します。
また、一部の企業が「論理ビット」の用語を誤用しています。物理ビットはノイズが大きく、量子アルゴリズムには論理ビットが必要です。そして、Shor のアルゴリズムには数千の論理ビットが必要です。論理ビットは通常、エラー訂正を介して多数の物理ビットから構成されます。しかし、一部の企業はこの概念を「誇張しています」。たとえば、距離 2 のエラー訂正符号を使用して、各論理ビットに物理ビット 2 つだけを使用し、48 個の論理ビットを実現したと主張する発表があります。これは荒唐無稽です。距離 2 の符号はエラーを検出できるが訂正できないためです。暗号学に使用される本当の耐障害論理ビットは、それぞれ数百から数千の物理ビットが必要です。
より一般的には、多くの量子コンピューティングのロードマップでは、「論理ビット」はClifford演算のみをサポートするものを指します。Clifford演算は古典コンピューターによって効率的にシミュレートできるため、Shor のアルゴリズムを実行するには十分ではありません。Shor のアルゴリズムには、大規模なエラー訂正Tゲート(または一般的な非Cliffordゲート)が必要です。
したがって、あるロードマップが「X 年内に数千の論理ビットに到達する」と述べていたとしても、その企業が同じ年に古典暗号を解読するためにShor のアルゴリズムを実行することを予測しているわけではありません。
これらの手法は、一般の人々がCRQC 距離を誤解するのに大きく貢献しており、専門家の間でも同様です。
専門家も興奮していますが、「すぐには解読できない」という意味ではありません
確かに、進展に興奮している専門家もいます。たとえば、最近 Scott Aaronson が、「現在の驚異的なハードウェアの進歩速度」を考慮すると、次回の米国大統領選挙前に、Shorのアルゴリズムを実行できる容錯耐性量子コンピューターが登場する可能性について、「現実の可能性」と考えていると述べていました。
しかし、Aaronson はその後、「これはCRQCを指しているわけではない」とも明確に述べています。完全容錯性のあるShorアルゴリズムの実行でさえ、15 = 3×5を分解できるというレベルであれば、「達成した」と考えるだろうと述べていますが、この計算は鉛筆と紙の方が速いです。まだ「小規模」で実行される状態に至っておらず、「暗号解読に使用可能」な規模ではないとしています。
さらに、なぜ多くの実験が常に15を分解しようとするのか?それは、モジュラス15の算術が非常に簡単であり、一方で21などの少し大きな数を分解するのははるかに難しいからです。そのため、21を分解できたと主張する実験は、通常、追加のヒントやショートカットに依存しているとされています。
要するに:将来、RSA-2048やsecp256k1を解読できるCRQCが出現するという展望には、公にサポートされた進展がないということです。「実践的な暗号学が真に関心を抱く能力」といえるようなCRQCが5年以内に現れると考えることは、非常に進歩的な視点です。CRQCからどれだけ遠いかを考えると、「10年さえも依然として非常に積極的」ということになります。CRQCの展望から2035年を米国政府が後量子化システムへの全面的な移行の目標期限と見なしていることについて:私はこれが「大規模な移行を完了するためのスケジュール」として理にかなっていると考えていますが、これは「2035年までにCRQCが出現する」という予測ではないと述べています。
HNDL攻撃はどのような場面に適用され(されない)ますか?
「Collect Now, Decrypt Later」(HNDL)攻撃は、敵が今すぐ暗号化通信を保存し、将来的にCRQCが登場した後に解読することを意味します。国家レベルの敵はほぼ確実に、米国政府の暗号化通信を大規模にアーカイブしており、数年後に解読できるようにしています。
したがって、暗号システムは今日から移行を開始する必要があります−少なくとも、10〜50年以上の機密性が必要な人々にとってはそうです。
しかし、ブロックチェーンが依存しているデジタル署名は暗号化とは異なります:署名自体には「機密内容」が含まれておらず、事後に解読できる機密情報は存在しません。
要するに:CRQCが登場すれば、その瞬間から署名を偽装する可能性は確かにありますが、歴史的な署名は暗号化されたメッセージとは異なり、「秘密を隠している」わけではありません。CRQCが出現する前に特定の署名が生成されたことを知っていれば、それが偽造されている可能性はありません。
これにより、ポスト量子暗号化の移行の緊急性が高まりましたが、暗号のポスト量子移行よりもはるかに低いです。
したがって、主要なプラットフォームの動きもこのリズムに合致しています:
Chrome と Cloudflare は TLS 暗号化で X25519 + ML-KEM のハイブリッドソリューションを展開しました。
(注:可読性のためにここでは「暗号化ソリューション」と言っていますが、厳密には TLS は公開鍵暗号化とは異なる鍵交換または鍵封入メカニズムを使用しています。)
「ハイブリッド」とは、ポスト量子セキュリティソリューション(ML-KEM)と既存のソリューション(X25519)を重ねて使用し、両方のセキュリティ保証を同時に取得することを意味します:ML-KEM で HNDL に対抗し、ML-KEM が古典計算に対して脆弱であることが証明された場合でも、X25519 の古典的なセキュリティ性能を維持します。
Apple の iMessage は PQ3 プロトコルを使用して同様のポスト量子ハイブリッド暗号化を展開しました。Signal も、PQXDH および SPQR プロトコルを使用して、似たようなアプローチを展開しました。
対照的に、キーインターネットインフラストラクチャ上のポスト量子デジタル署名の展開は、CRQC が本当に迫るまで遅れています。なぜなら、既存のポスト量子署名ソリューションは、明らかなパフォーマンス劣化をもたらすからです(後述します)。
zkSNARK は暗号化ではなく署名に類似しています
zkSNARK(Zero-Knowledge Succinct Non-Interactive Argument of Knowledge)は、ブロックチェーンの長期的なスケーラビリティとプライバシーに非常に重要です。その立場は署名と似ており、一部の zkSNARK がポスト量子セキュアではないにもかかわらず(楕円曲線暗号を使用しているため、今日の非ポスト量子暗号および署名ソリューションと同様)、それらのゼロ知識性質は依然としてポスト量子セキュアです。
ゼロ知識性質は、証明が「秘密の証人」(witness)に関する情報を漏洩しないことを意味します。量子相手に直面しても「最初に収集し、後で解読する」ことはありません。したがって、zkSNARK は HNDL 攻撃の影響を受けません。今日生成された非ポスト量子署名が信頼できるのと同様に、zkSNARK の証明が CRQC が現れる前に生成された場合、それは信頼できます(証明の主張は真でなければなりません)。したがって、そのzkSNARKが楕円曲線暗号を使用していても、CRQCが現れた後でない限り、攻撃者は「信頼できるように見えるが実際には偽の主張を証明する」証明を偽装する可能性はありません。
これがブロックチェーンにとって意味することは何ですか?
ほとんどのブロックチェーンは、HNDL攻撃の影響を受けません:ビットコインやイーサリアムなどのプライバシーのないチェーンは、主に非量子暗号を使って取引承認を行います。つまり、デジタル署名を使用し、暗号化ではありません。署名はHNDLの脆弱性ポイントではありません:HNDLは暗号化データを対象としています。たとえば、ビットコインチェーンは公開されており、量子脅威は「署名の偽造(プライベートキーの逆算による盗難)」に対処しており、「元々公開されている取引データの復号化」ではありません。したがって、HNDLは「すぐに移行する必要がある」暗号学的緊急性をもたらしません。
残念ながら、連邦準備制度などの信頼できる情報源でも、時折、誤ってビットコインがHNDL攻撃を受ける可能性があると主張しています。このような判断ミスは、量子コンピューティングの移行を誇張します。
もちろん、緊急性の低下とはビットコインがゆっくりと待つことができることを意味しません。その時間的プレッシャーは別の要因から来ています - プロトコルを変更するために必要な巨大な社会的調整コストです。 (後述のビットコインの特定の問題については後で説明します。)
現在の真の例外はプライバシーチェーンです:そこでは、多くのチェーンが受信者と金額を暗号化または隠します。このような機密性は、「現在収集される」ことができ、将来、量子コンピュータが楕円曲線暗号を解読した後、匿名を追跡するために使用できます。
プライバシーチェーンへの攻撃の深刻度は、特定の設計に依存します。たとえば、Moneroの曲線ベースのリング署名とkey image(「各々の出力のリンク可能なラベル」としての二重支払いの防止に使用される)により、公開台帳だけでも、支出履歴をかなり再構築することが可能です。一部の他のプライバシー向けソリューションは、損害がより限定的です。詳細については、Zcashの暗号エンジニア兼リサーチャーであるSean Boweによるディスカッションを参照してください。
ユーザーがCRQC到来後もトランザクションが公開されないことを非常に重視している場合は、プライバシーチェーンは、後量子原理(またはハイブリッドアプローチ)に迅速に移行するか、チェーンに複合鍵の秘密情報を書き込まないようなアーキテクチャを採用する必要があります。
ビットコインの「特別なヘッドエイク」:ガバナンス+ 廃コイン
ビットコインにとって、後量子署名への移行を早急に計画する必要がある2つの現実的な要因があります。そして、これらの点は、量子技術そのものとは無関係です:
ガバナンススピード:ビットコインのアップグレードは非常に遅いです。議論の余地のある問題はすぐに破壊的なハードフォークを引き起こす可能性があります。コミュニティが合意に達しない場合。
移行は受動的に完了できません:ビットコインが後量子署名に切り替わることは「自動的な移行」は不可能であり、通貨保有者は自らアセットを移行する必要があります。つまり、廃コインであり、量子脆弱性を持つコインは保護できません。いくつかの推定では、こうした潜在的な廃コインであり、量子脆弱性のあるBTCが数百万枚存在し,2025年12月の価格で数千億ドルに達する可能性があります。
しかしながら、ビットコインの量子脅威は一夜での終末ではなく、むしろ「選択的で徐々に進行する」攻撃プロセスのようなものです。量子コンピュータはすべてのキーを同時に破るわけではありません:Shorのアルゴリズムは公開鍵を1つずつ攻撃する必要があります。初期の量子攻撃は非常に高価で遅いものになります。したがって、1つのビットコイン署名キーを解読できると、攻撃者は優先的に高額ウォレットを標的にします。
さらに、アドレスの再利用をせず、かつ Taproot アドレス(Taproot は公開鍵を直接公開する)を使用しないユーザーは、プロトコルが変更されない限り比較的安全です:彼らの公開鍵は支出するまでハッシュ関数によって隠されています。支出トランザクションが送信されるまで、公開鍵は見えず、その時点で一時的な「リアルタイム・レース」が発生します — 実際の所有者はトランザクションができるだけ早く承認される必要があり、量子攻撃者は最終的な承認前に秘密鍵を逆引きして先んじて支出しようとします。したがって、本当に長期にわたって脆弱なのは、公開鍵がすでに公開されているコインです:初期の P2PK 出力、再利用アドレス、および Taproot ホールディングです。
公開されていて放置されているコインに対する簡単な解決策はありませんが、選択肢には次のものがあります:
コミュニティが「フラッグデイ」を設定し、ある日付以降、未移行のコインは破棄されたものと見なされます;
または、これらの放置された量子脆弱コインを放置し、将来、CRQC を所有する誰でも直接「引き継ぐ」。
2つ目の選択肢は、重大な法的および安全上の問題を引き起こす可能性があります:量子コンピュータを使用して、秘密鍵を持たない状態でコインの支配権を取得することは、所有権が正当であると主張されたとしても、多くの司法管轄区で盗難やコンピュータ詐欺に関連する法律に抵触する可能性があります。
さらに、「放棄」自体は、長期間動かないことに基づく推測にすぎず、これらのコインに実際の所有者がいないか、アクセス可能な鍵がまだ存在するかどうかを確認できる人はいません。単に「かつてこれらのコインを所有していた」という証拠だけでは、資産を回収するためにパスワード保護を突破するための法的権限があるとは限りません。このような法的な曖昧さは、悪意ある攻撃者が早期に攻撃する可能性を高めます。
ビットコインにはさらなる問題があります:チェーン上のスループットが非常に低いことです。移行計画が確定していても、すべての量子脆弱資金を後で量子安全アドレスに移動するには、ビットコインの現在の取引速度では数ヶ月かかる可能性があります。
これらの問題により、ビットコインは今から後量子移行を計画する必要があります — 2030年までにCRQCが登場するためではなく、ガバナンス、調整、技術移行自体が解決されるまで数年かかるからです。
ビットコインが直面している量子リスクは実在しますが、時期を迫られているのは量子コンピュータ自体ではなく、ビットコイン自体の制約からです。他のブロックチェーンも量子脆弱資金の問題を抱えていますが、ビットコインはより特異です:初期のトランザクションはP2PK出力を使用しており、公開鍵が直接チェーン上に書かれているため、その量子脆弱コインの割合が特に顕著です。さらに、ビットコインは歴史が長く、価値が集中しており、スループットが低く、ガバナンスが厳格であるため、問題が非常に深刻化しています。
強調すべき点は:上記の脆弱性がビットコインのデジタル署名の暗号セキュリティに影響を与えるということであり、ビットコインの経済セキュリティには影響しないということです。ビットコインの経済セキュリティは PoW(Proof of Work)から来ており、量子コンピューティングが PoW に与える脅威は比較的限定されています。その理由は次の3つです:
PoW はハッシュに依存しており、したがって Grover の検索アルゴリズムによる平方根の加速の影響を受けるだけであり、Shor のアルゴリズムによる指数関数的な加速は受けないためです;
Grover の検索を実現するための現実的なコストは非常に高いため、量子コンピュータがビットコインの PoW 上で少しでも「実質的な加速」を得ることはほぼ不可能です;
著しい加速が現れたとしても、それはむしろ大規模なマイナー(量子マイナー)が相対的に優位に立つようにするだけであり、それがビットコインの経済セキュリティモデルを根本的に崩壊させることはありません。
Post-Quantum Signature: Cost and Risk
ブロックチェーンが急いで後量子署名を展開すべきではない理由を理解するためには、性能コストと後量子安全性への信頼の変化を同時に理解する必要があります。
大多数の後量子暗号方式は、次の5つのルートのいずれかに基づいています:
ハッシュ(ハッシング), 符号(codes), 格子(lattices), 多項式二次方程式体(MQ), 同源写像(isogenies)
5つもあるのはなぜ?なぜなら、どんな後量子暗号プリミティブの安全性も、ある数学的難問を効率的に解けないという仮定に基づいています。問題の構造が強いほど、より効率的なプロトコルを構築できます。
しかし、構造が強いほど、攻撃面が広くなり、アルゴリズムによって利用される可能性が高くなります。これには基本的な矛盾が生じます:より強力な構造仮定はより良い性能をもたらしますが、同時により高いセキュリティリスク(仮定が覆される可能性が高い)をもたらす可能性があります。
全体的に、ハッシュルートはセキュリティ面で最も保守的であり、量子コンピュータがそれらを効率的に攻撃できないという信念が強いです。ただし、パフォーマンスは最も悪いです。たとえば、NIST の標準化されたハッシュ署名は、最小のパラメータを使用しても署名サイズが 7〜8KBあります。対照的に、今日の楕円曲線に基づくデジタル署名はわずか 64バイトであり、サイズは約100倍です。
格子暗号は現在の展開焦点です:NIST が選定した標準化された唯一の暗号方式および3つの署名アルゴリズムのうち2つは格子に基づいています。
そのうち ML-DSA(元の Dilithium)の署名サイズはおおよそ次のとおりです:
128ビットセキュリティレベル:2.4KB
256 ビットのセキュリティレベル:4.6KB
楕円曲線署名と比較して約40~70倍大きいです。
もう1つのグリッド署名、Falcon署名はより小さいです(Falcon-512は666バイト、Falcon-1024は1.3KB)。しかし、複雑な浮動小数点演算が必要であり、NISTはその実装の難しさを特に指摘しています。Falconの1人の作者であるThomas Porninは、これを「実装した中で最も複雑な暗号アルゴリズム」とさえ述べています。
セキュリティの実装面から見ると、グリッド署名方式は楕円曲線方式よりもセキュリティの実現が難しいです。ML-DSAにはより多くの感覚的な中間値と複雑な拒否サンプリングロジックがあり、サイドチャネルと耐疎通保護が必要です。 Falconには一定時間の浮動小数点の実装などの課題があり、実際にはFalconの実装に対して秘密鍵を回復するサイドチャネル攻撃が存在します。
これらの問題は現在直ちにリスクとして存在しており、CRQCの将来のリスクではありません。
慎重さは歴史的教訓に基づいています。かつては先進的だった候補手法のいくつか、例えばRainbow(MQ署名)やSIKE/SIDH(同源マップ暗号)も、後に古典的なコンピュータによって破られました。つまり、現代のコンピュータで破れるという意味で、量子コンピュータではありません。
そして、これらはNISTの標準化プロセスの後半に破られました。これは科学的プロセスが機能していることを示すとともに、早すぎる標準化と早すぎる展開が逆効果である可能性を示唆しています。
そのため、インターネットインフラストラクチャは署名の移行に対してより堅牢なアプローチを取っています。たとえインターネットの暗号が一度移行を開始しても、実際には本当に落ち着くまで非常に長い時間がかかることが一般的です。MD5やSHA-1の段階を見ると、それらは既に正式に廃止されているにもかかわらず、インフラストラクチャの実装には多くの年月がかかり、今日でも一部のシナリオで完全に消滅していないものもあります。これらのアルゴリズムが「すでに完全に破られている」ことだけでなく、「将来的に破られる可能性がある」ということだけではありません。
ブロックチェーン vs インターネットインフラストラクチャ:いくつかの独自の課題
良いニュースは、EthereumやSolanaなどの活発なオープンソースコミュニティによってメンテナンスされるブロックチェーンは、通常、従来のインターネットインフラストラクチャよりも速いアップグレード速度を持っています。
ただし、従来のインターネットインフラストラクチャには利点もあります。このようなインフラストラクチャは頻繁に鍵を交換し、攻撃面を移動させ、初期の量子コンピュータが1つずつ破ることが難しくなります。一方、ブロックチェーンにはこの「贅沢条件」がありません。仮想通貨とそれに対応する鍵は期間が長く露出されたままになり、何もしないで静かにしています。
全体的に、ブロックチェーンは、インターネットにおける署名のグラデュアルな移行を採用すべきであるべきです。なぜなら、署名はQRAMに直面していないため、未熟な量子ソリューションに早期に移行するコストとリスクは依然として高いからです。
同時に、ブロックチェーンには、早期の移行をより複雑にするいくつかの特別な要件があります。たとえば、チェーン上で大量の署名を迅速に集約する必要があります。現在、BLS署名は一般的ですが、その理由は非常に速く集約できるためですが、後量子安全ではありません。研究者は、SNARKを使用して集約された後量子署名を試みており、これには前途があるものの、まだ初期段階にあります。
SNARKに関しては、コミュニティは現在、ハッシュ構築を主要な後量子ソリューションと見なしています。しかし、将来的には、格スキームが性能の向上により優れた代替選択肢となり、より短い証明などの利点をもたらす可能性があります。これは、例えば「格署名はハッシュ署名よりも短い」などの比較です。
現在のさらなる問題:量子脅威ではなくセキュリティの実現
将来数年にわたり、脆弱性の実現はCRQCよりも主要なセキュリティリスクになる可能性がはるかに高くなります。SNARKにとって、最も重要な問題はバグです。
デジタル署名と暗号はすでにバグのない実現を困難にしていますが、SNARKの複雑さはさらに高くなっています。実際、デジタル署名スキームは、非常に簡単なzkSNARKと見なすことができます:それは、「私はその公開鍵に対応する秘密鍵を知っており、このメッセージを承認します」ということを証明します。
後量子署名の場合、サイトチャネルや障害インドジェクションなどの実装攻撃に直面する必要があります。これらの攻撃は現実世界で非常に成熟しており、展開システムから秘密鍵を抽出するのに十分であり、「遠い量子コンピュータ」よりもはるかに緊急な脅威をもたらします。
数年後、コミュニティはSNARKのバグを継続して発見し、修正し、サイトチャネルと障害インドジェクションに耐える後量子署名の実現を強化する必要があります。後量子SNARKと署名集約ソリューションがまだ進化しているため、早期の移行が最適でないケースも考えられ、より優れたソリューションが登場するか、実装上の脆弱性が発見された場合には、2度目の移行を余儀なくされるかもしれません。
何をすべきか?7つの提案
上記の現実を踏まえて、様々な役割(開発者、政策立案者など)に対する私の提案は、量子脅威に真剣に取り組む一方で、2030年までにCRQCが登場するとの前提には立っていないことです。この前提は、公になされた進展に合致していません。しかしながら、私たちはいますぐに行動を起こすことができ、すべきでもあります:
#1 ハイブリッド暗号をすぐに展開する。
少なくとも、長期の機密情報の保護が必要な場所で。 Webブラウザ、CDN、コミュニケーションソフトウェアなどでは、広く「後量子+古典」のハイブリッドアプローチが採用されており、HNDLに対抗し、同時に後量子ソリューションに潜む欠陥に対処しています。
#4 プライベートチェーンに関しては、できるだけ早く移行を優先すること(パフォーマンスに耐えられる場合)。
プライベートチェーンの機密性は HNDL リスクの影響を受け、かつ設計が公開台帳で匿名性を追跡可能であるほど、リスクがより緊急となります。ハイブリッドアプローチを検討したり、チェーンに復号可能な機密情報を書き込まないようにアーキテクチャを調整することが考えられます。
#5 近い将来において最も優先すべきはセキュリティの実現であり、量子対応ではありません。
SNARK やポスト量子署名のような複雑なプリミティブにとって、バグ、サイドチャネル、および障害インジェクションは、CRQCよりも長い間、将来もっとも危険でしょう。ただちに監査、ファジング、形式的検証、およびディフェンスインデプスに投資すべきであり、「量子不安」がより緊急の脆弱性リスクを覆い隠すことがないようにすべきです。
#6 量子コンピューティングの発展を支援すること。
もしも米国よりも先に主要な競合がCRQCを実現した場合、それは深刻な国家安全保障リスクをもたらすでしょう。したがって、量子コンピューティングの研究開発と人材育成に持続的に投資すべきです。
#7 量子コンピューティングのアナウンスメントには冷静な視点を保つこと。
今後数年間、多くのハードウェアのマイルストーンがあります。ある意味では、頻繁なマイルストーンは私たちがCRQCにはまだ遠いことを示しています:各マイルストーンはCRQCに至る多くの橋の一つに過ぎず、必ず見出しを巻き起こし、興奮を呼び起こします。プレスリリースを「批判的評価が必要な進展報告」と捉え、ただちに「全面的行動が必要なサイン」とは捉えないべきです。
もちろん、将来意外のイノベーションが加速させる可能性がありますし、深刻なボトルネックが遅れにつながる可能性もあります。5年以内にCRQCが物理的に不可能であるとは断言しませんが、その確率は非常に低いです。上記のアドバイスは、このような不確実性に対して頑健性を維持し、同時により現実的で高確率なリスク、つまり脆弱性の実現、急ぎの展開、および暗号の移行における人為的ミスを避けるためのものです。
BlockBeats の公式コミュニティに参加しよう:
Telegram 公式チャンネル:https://t.me/theblockbeats
Telegram 交流グループ:https://t.me/BlockBeats_App
Twitter 公式アカウント:https://twitter.com/BlockBeatsAsia
