Original Title: Bitcoin's quantum upgrade path: What BIP-360 changes and what it does not

Original Source: Cointelegraph

Original Translation: AididiaoJP, Foresight News

Key Points

· BIP-360 formally incorporates quantum resistance into Bitcoin's development roadmap for the first time, marking a cautious, incremental technological evolution rather than a radical cryptographic system overhaul.

· The quantum risk primarily threatens exposed public keys rather than the SHA-256 hash algorithm used by Bitcoin. Therefore, reducing public key exposure has become a core security concern that developers are focusing on addressing.

· BIP-360 introduces Pay to Merkelized Abstract Syntax Tree (P2MR) scripts, which, by removing the key path spending option from the Taproot upgrade, mandates that spending of all UTXOs must go through a script path to maximally reduce the exposure risk of elliptic curve public keys.

· P2MR retains the flexibility of smart contracts, still supporting multi-signature, time-locks, and complex custody structures through Tapscript Merkle trees.

Bitcoin's design philosophy enables it to withstand significant economic, political, and technical challenges. As of March 10, 2026, its development team is addressing a new emerging technological threat: quantum computing.

The recently released Bitcoin Improvement Proposal 360 (BIP-360) formally incorporates quantum resistance into Bitcoin's long-term technical roadmap for the first time. Although some media reports tend to portray it as a major overhaul, the reality is more cautious and incremental.

This article will delve into how BIP-360, by introducing Pay to Merkelized Abstract Syntax Tree (P2MR) scripts and removing Taproot's key path spending feature, reduces Bitcoin's quantum risk exposure. The aim of this article is to elucidate the improvements brought by this proposal, the introduced trade-offs, and why it has not yet enabled Bitcoin to achieve full post-quantum security.

Threat of Quantum Computing to Bitcoin

Bitcoin's security is built on cryptographic foundations, primarily including the Elliptic Curve Digital Signature Algorithm (ECDSA) and the Schnorr signature introduced through the Taproot upgrade. Traditional computers cannot feasibly derive private keys from public keys in a practical timeframe. However, a sufficiently powerful quantum computer running Shor's algorithm could potentially break the elliptic curve discrete logarithm problem, thereby compromising private key security.

主要な違いは次の通りです：

· 量子攻撃は主に公開鍵暗号システムを脅かし、ハッシュ関数ではありません。ビットコインは SHA-256 アルゴリズムを採用しており、量子コンピューティングに対して比較的強固です。グローバーのアルゴリズムは、指数関数的な加速ではなく、二乗の加速しか提供できません。

· 実際のリスクは、公開鍵がブロックチェーン上で公開されたタイミングにあります。

このため、コミュニティでは一般的に、公開鍵の露出を量子リスクの主要ソースと見なしています。

2026年のビットコインの潜在的な弱点

ビットコインネットワーク内のさまざまなアドレスタイプは、将来の量子脅威に異なる程度の脆弱性を抱えています：

· 再利用されるアドレス：そのアドレスから資金が支出されると、その公開鍵がチェーン上で公開されます。将来、暗号関連の量子コンピュータ（CRQC）が出現すると、その公開鍵は危険にさらされます。

· 遺留 P2PK 出力：初期のビットコイン取引では、公開鍵が取引出力に直接書き込まれていました。

· Taproot キーパス支出：Taproot アップグレード（2021年）は、2つの支出パスを提供しました。1つは簡潔なキーパスです（支出時に調整された公開鍵が公開されます）、もう1つはスクリプトパスです（Merkle proof を介して特定のスクリプトが公開されます）。このうち、キーパスは量子攻撃において最も主要な理論上の脆弱性点です。

BIP-360 は、直接キーパス暴露問題に対処するために設計されました。

BIP-360 の中心内容：P2MR の導入

BIP-360 提案は、P2MR（Merkle Root へ支払い）という新しい出力タイプを追加しました。このタイプは Taproot を参考にしており、しかし、重要な変更が加えられています：キーパス支出オプションが完全に削除されています。

Taproot が内部公開鍵を公約するのに対し、P2MR はスクリプトツリーの Merkle Root を公約します。P2MR 出力の支出プロセスは次のとおりです：

スクリプトツリー内の葉スクリプトを公開します。

承諾された Merkle Root にその葉スクリプトが含まれることを証明するための Merkle 証明を提供します。

全体にわたり、公開鍵に基づく支出パスは存在しません。

公開鍵パスの支出に伴う直接的な影響の削除により、次のものが含まれます：

· 直接的な署名検証による公開鍵の露出を回避します。

· すべての支出パスは、より強力な量子耐性を持つハッシュベースのコミットメントに依存しています。

· チェーン上に長期間存在する楕円曲線公開鍵の数は著しく減少します。

· 楕円曲線仮定に依存する代替案に比べて、ハッシュベースの方法は量子攻撃に対して著しい利点を持つため、潜在的な攻撃面が大幅に削減されます。

BIP-360 で保持される機能

よくある誤解は、公開鍵パスの支出を放棄することで、ビットコインのスクリプト機能やスマートコントラクト機能が弱体化するというものです。実際、P2MR は完全に次の機能をサポートしています：

· マルチシグ構成

· タイムロック

· 条件付き支払い

· アセット継承スキーム

· 上級カストディアンアレンジメント

BIP-360 は Tapscript Merkle Tree を使用して上記のすべての機能を実現しています。このアプローチは、便宜的ながら潜在リスクを伴う直接的な署名パスを捨てることで、完全なスクリプト機能を維持しています。

バックグラウンド：サトシ・ナカモトは初期のフォーラムで量子コンピューティングについて簡単に触れ、量子コンピューティングが実現すれば、ビットコインはより強力な署名方式に移行できると考えていました。これは、将来のアップグレードの柔軟性を確保することが、初期の設計思想の一部であることを示唆しています。

BIP-360 の実用的影響

BIP-360 は純粋な技術改善のように見えますが、その影響はウォレット、取引プラットフォーム、カストディアンサービスなど、さまざまなレベルに広く影響します。提案が採用されると、新しいビットコインのアウトプットの作成、支出、および保管方法が段階的に再構築され、特に長期的な量子耐性を重視するユーザーに深い影響を与えます。

· ウォレットのサポート：ウォレットアプリは、ユーザーが新しいコインを受け取ったり、長期保有資産を保存するための「量子強化」として、オプションの P2MR アドレス（おそらく「bc1z」で始まる）を提供する可能性があります。

· トランザクション手数料：スクリプトパスの採用により、P2MR トランザクションはTaproot の鍵パスの支出よりもわずかに大きくなり、やや高いトランザクション手数料を引き起こす可能性があります。これは、セキュリティとトランザクションのコンパクト性の間でのバランス取りを反映しています。

· エコシステムの連携: P2MR の全面展開には、ウォレット、取引プラットフォーム、カストディ機関、ハードウェアウォレットなど、関係者がそれぞれ更新作業を行う必要があります。関連する計画と調整作業は数年前から開始される必要があります。

バックグラウンド: 各国の政府は、「データをまず収集し、その後複合化する」というリスクに関心を寄せ始めています。つまり、現在大量の暗号化データを収集し、将来量子コンピュータが登場した際にそれを解読しようとする戦略です。この戦略は、ビットコインが公開鍵を既に露出しているという懸念と同様です。

BIP-360 の明確な限界

BIP-360 はビットコインを未来の量子脅威に対して強化しますが、これは一度きりの暗号体系の再構築ではありません。その制限を理解することも同様に重要です:

· 既存の資産は自動でアップグレードされません: 古い未使用取引出力（UTXO）は、ユーザーが資金を P2MR 出力に自発的に移動させるまで、その脆弱性が依然として存在します。したがって、移行プロセスは完全に個々のユーザーの行動に依存します。

· 新しい後量子署名は導入されていません: BIP-360 は、既存の ECDSA や Schnorr 署名を代替する格子ベースの署名スキーム（Dilithium や ML-DSA のような）やハッシュベースの署名スキーム（SPHINCS+ のような）を採用していません。それは単に Taproot のキーパスがもたらす公開鍵露出パターンを削除しました。基本層で後量子署名に完全に移行するには、はるかに大規模なプロトコル変更が必要です。

· 絶対的な量子耐性は提供できません: 将来的に実行可能な CRQC が突然現れたとしても、その影響に対抗するには、マイナー、ノード、取引プラットフォーム、カストディ機関が大規模で高度な連携を取らなければなりません。長期間動かなかった「スリーピングコイン」は複雑なガバナンス問題を引き起こす可能性があり、ネットワークに大きな圧力をかけるでしょう。

開発者の将来展望レイアウトの動機

量子コンピューティングの技術開発パスは不確実性に満ちています。一部の見解では、その実用化には数十年かかると考えていますが、IBM の容認量子コンピュータの目標、Google の量子チップのブレークスルー、Microsoft のトポロジカル量子コンピューティングへの研究、および米国政府の2030-2035年の暗号システム移行期限は、関連する進展が加速していることを示唆しています。

重要なインフラの移行には長期の時間枠が必要です。ビットコインの開発者たちは、BIP の設計からソフトウェアの実装、インフラの適応、ユーザーの採用まで、システム全体の計画を行う必要があると強調しています。量子脅威が迫るまで待ってから行動すれば、時間が足りなくなり、受動的な状態に陥る可能性があります。

コミュニティが広範な合意に達した場合、BIP-360 は段階的なソフトフォークを通じて進められる可能性があります：

· P2MR 新しい出力タイプの有効化。

· ウォレット、取引プラットフォーム、およびカストディ企業が徐々にそのサポートを拡大。

· ユーザーが数年かけて徐々に資産を新しいアドレスに移行。

このプロセスは、かつてセグウィット（SegWit）とTaproot アップグレードが選択肢から広範な適用へと進んだ経路と似ています。

BIP-360 を巡る広範な議論

BIP-360 の実装の緊急性および潜在的なコストに関して、コミュニティ内では継続的な議論が続いています。主要な考慮事項には以下が含まれます：

· 長期保有者によるわずかな手数料の増加は許容できるか？

· 機関ユーザーは資産移行を先導し、モデルケースを示すべきか？

· 決して移動されない「スリーピング」ビットコインにはどのように適切に対処すべきか？

· ウォレットアプリは、ユーザーに「量子セキュリティ」の概念を正確に伝える上で、不必要なパニックを引き起こすことなく効果的な情報を提供すべきか？

これらの議論はまだ続いています。BIP-360 の提案は関連する問題の探究を大きく促進しましたが、まだすべての問題に幕引きが下されたわけではありません。

バックグラウンド：量子コンピューターは、現在の暗号理論を崩す可能性があり、これは数学者ピーター・ショーがショアのアルゴリズムを提案した1994年の出来事にさかのぼります。これはビットコインが登場するよりも遥かに昔のことです。したがって、ビットコインの未来への量子脅威への対応は、30年以上前にさかのぼる理論的な突破への反応です。

ユーザーが現在取るべき対策

現時点では、量子脅威はまだ迫り来るものではなく、ユーザーは過剰に心配する必要はありません。ただし、いくつかの慎重な措置を取ることは役立ちます：

· アドレスの再使用を避ける。

· 常に最新バージョンのウォレットソフトウェアを使用する。

· ビットコインプロトコルアップグレードに関する動向に注意する。

· ウォレットアプリが P2MR アドレスタイプをサポートするようになるタイミングに注意してください。

· 大量の Bitcoin を保有しているユーザーは、静かに自身のリスク露出を評価し、適切なコンティンジェンシープランの策定を検討すべきです。

BIP-360: 量子耐性時代への第一歩

BIP-360 は、Bitcoin がプロトコルレベルで量子リスク露出を軽減するための具体的な最初のステップを踏みました。これは、新しい出力の作成方法を再定義し、公開鍵の意図しない漏洩を最小限に抑え、将来の長期的な移行計画を策定する基盤を築きました。

これは既存の Bitcoin を自動的にアップグレードするわけではなく、現在の署名システムを維持しつつ、真の量子耐性を実現するには、慎重な調整とエコシステム全体をカバーする持続的な取り組みが必要であることを明らかにしました。これは、長期にわたるエンジニアリング実践と段階的なコミュニティの採用に依存します。単一の BIP 提案だけでは実現できません。

原文リンク

BlockBeats の公式コミュニティに参加しよう：

Telegram 公式チャンネル：https://t.me/theblockbeats

Telegram 交流グループ：https://t.me/BlockBeats_App

Twitter 公式アカウント：https://twitter.com/BlockBeatsAsia