著者 | Christopher Bendiksen, CoinShares翻訳 | GaryMa 吴说区块链原文リンク:未来の実用的な量子コンピュータはゼロの確率ではない可能性であり、ビットコインの暗号セキュリティへの潜在的影響について広範な議論を引き起こしています。これは確かに健全であり、数兆ドルの価値保存システムにとって必要な予防策です。しかし、この技術が理論的に挑戦をもたらす一方で、その現実のリスクは依然として遠く、直接的な手段によって対処可能です。機関投資家にとって、この問題を理解するには、推測(そして不幸にも、自利的な炒作や利益追求の行為の多く)を証拠に基づく分析と区別する必要があります。ビットコインの量子脆弱性は差し迫った危機ではなく、予見可能なエンジニアリングの考慮事項であり、適応のための十分な時間があります。重要なポイントの要約量子脆弱性の概要:Shorアルゴリズムは理論的にECDSA/Schnorrの鍵を暴露する可能性があり、GroverアルゴリズムはSHA-256を弱める;脅威は依然として遠く、約170万BTCのP2PKアドレスに限られ(総供給量の8%)、市場に衝撃を与える可能性は極めて低い(以下の最後のポイントを参照)セキュリティフレームワーク:権限付与に楕円曲線を依存し、保護にハッシュ関数を依存;量子コンピュータは2100万の供給上限を変更できず、プルーフ・オブ・ワークを回避することもできない。現代のP2PKH/P2SHは支出前に公開鍵を隠す;いわゆる25%の脆弱性の主張は、緩和可能な一時的リスクを誇張しているタイムラインと実現可能性:実行可能な時間内に(<1年)secp256k1を破るには、現在の論理量子ビットの数の10から10万倍必要;関連する量子技術は少なくとも10年は必要。長期的な攻撃は数年内に行われる可能性があり — — 10年以内に実現可能になるかもしれない;短期的な攻撃(メモリプール攻撃)は<10分の計算時間を必要とする — — 極端に長期(数十年)を除く、どの時間スケールでも実行不可能である過激な介入の利点(例えば、量子耐性フォーマットに対するソフト/ハードフォークやコインの破壊):ネットワークを事前に強化し、予期しない技術的突破に対する防御を提供し、移行パスを提供し、適応能力の信号を伝え、投資家の信頼を高める過激な介入の欠点:十分に検証されていない暗号技術が脆弱性を引き起こす可能性がある;未証明または非効率的なソリューションに貴重な開発リソースを浪費させる可能性があり、さらなる変更を引き起こす;休眠コインが失われたと仮定すると、強制的または盗難となる;中立性への脅威;所有権、分散化、不変性、信頼の侵食市場への影響:現実には約10,000BTCに限られ、これらのコインは秘密鍵が攻撃されることにより突然市場に入る可能性がある;最終的には通常の取引のように見えるだろう;保有者は自発的に移行できる;残りのコインは34,000のアドレスに分布しており、各アドレスは約50BTCであり、最も楽観的な技術的突破のシナリオでも、盗まれるまでには数十年かかるこの問題を正しく分析するには、深い理解が求められるビットコインのセキュリティフレームワークは、取引権限付与に使用される楕円曲線デジタル署名アルゴリズム(ECDSAまたはsecp256k1に基づくSchnorr)と、マイニングおよびアドレス保護に使用されるSHA-256などのハッシュ関数の2つのコア暗号要素に依存しています。ECDSAは非対称鍵ペアを生成し、古典的な計算システム上で公開鍵から秘密鍵を導出することは計算上不可能です。SHA-256は単方向ハッシュを提供し、その逆も計算上不可能です。量子アルゴリズムは特定の懸念をもたらします。一般的な誤解は、量子計算が全体的に暗号システムを破ると考えられていますが、実際にはそうではありません。以下に、実用的な量子コンピュータが一般的な暗号関数に与える影響をまとめます。既存の暗号タイプ — — 量子前と量子後:現在直面している主な問題は、ビットコイン取引の権限付与に使用される256ビットECDSA(現在はSchnorrですが、同様の問題に直面しています)署名アルゴリズムです。Shorアルゴリズムは、楕円曲線を支える離散対数問題を理論的に解決する可能性があり、一度公開鍵が暴露されると、秘密鍵が導出される可能性があります。Groverアルゴリズムは、SHA-256などの対称ハッシュの有効な安全性を256ビットから128ビットに低下させますが、計算要求が非常に大きいため、総当たり攻撃は依然として現実的ではなく、したがってハッシュによって保護されたアドレスは依然として安全です。マイニングについては、量子コンピュータは理論的にかなり高速なマイニングデバイスになる可能性がありますが、ASICと比較して経済性がどうかは全く不明です(また、ビットコインに組み込まれた自動難易度調整メカニズムを考慮すると、それは重要ではありません)。重要なのは、量子計算がビットコインの固定された2100万の供給上限を変更できず、ブロック検証に必要なプルーフ・オブ・ワークを回避することもできないということです。リスクエクスポージャーは公開鍵が視認できるアドレスに限られ、主に従来のPay-to-Public-Key(P2PK)出力であり、これらのアドレスは約160万BTCを保持している(総供給量の約8%)。しかし、そのうちの10,200BTCだけがUTXOにあり、量子コンピュータによって盗まれた場合にのみ市場に重要な動揺を引き起こす可能性があります。残りの約160万BTCは32,607の独立した、約50BTCのUTXOに分布しており、量子計算技術の進歩に極端に楽観的な仮定をしても、数千年かかると考えられます。量子脆弱コインの分布と数量より現代的なアドレス形式、例えばPay-to-Public-Key-Hash(P2PKH)やPay-to-Script-Hash(P2SH)は、ハッシュを使用して公開鍵を隠し、資金が支出される前に安全を保っています。25%の脆弱性の主張は、通常、一時的なリスクを含んでおり、例えば取引所がアドレスを再利用することなどで、これらの問題はベストプラクティスによって簡単に緩和できます;そして、技術が本当に危険になる前には、数年間の警告期間があり、簡単な行動の調整を行うための十分な時間があるでしょう。我々は危険区域からまだかなり遠い2026年初頭までに、量子の脅威は迫っていません。secp256k1を攻破するには、数百万の論理量子ビットを持つ量子システムが必要です — — これは現在の能力範囲を大きく超えています。研究者によると、1日で公開鍵を逆推定するには、攻撃者はフォールトトレランスと誤差制御能力を備えた量子コンピュータを必要とし、そのような性能は現在実現されておらず、1300万の物理量子ビットが必要です — — 現在の最大量子コンピュータの規模の約10万倍です。1時間以内に破解を完了するには、その性能は現在の量子コンピュータより300万倍高くなる必要があります。ネットワークセキュリティ会社LedgerのCTOであるCharles GuillemetはCoinSharesに対して次のように述べています:「現在の非対称暗号を破るには、数百万の量子ビットが必要です。Googleの現在のWillowコンピュータはわずか105量子ビットです。そして量子ビットが1つ増えるごとに、コヒーレントシステムを維持する難しさは指数関数的に上昇します。」ここでは、上述の内容をさらに詳しく分析しています。Googleを含む最近のデモは進展を示しましたが、ビットコインに対して現実世界の攻撃を行うために必要なスケールにはまだ遠く及びません。いくつかの推定によれば、暗号に関連する(しかし実際に危険を構成するわけではない)量子コンピュータは2030年代またはそれ以降に出現すると考えられており、一部の分析では10–20年が必要と予測しています。長期的なリスクエクスポージャー(例えばP2PKアドレス)は、その時点で数年の計算時間を必要とする攻撃に直面する可能性があり;短期的なリスクエクスポージャー(例えば取引中にメモリプールに見える公開鍵)は、10分未満で計算を完了する必要があります。過激な介入は利点と欠点を持つこの問題に対処するための過激な介入の提案、例えば十分に検証されていないまたは技術的に成熟していない状況での量子耐性アドレスフォーマットに対するソフトフォーク、またはさらに悪いことに、ハードフォークによって脆弱コインを破壊することは極めて慎重に行う必要があります。このような行為は、意図せずに重要な脆弱性を導入することによって技術的な災害を引き起こす可能性があるだけでなく、ビットコインの所有権と分散化に関する核心的原則を弱体化させ、必要のない信頼を侵食する可能性があります。そのセキュリティを支える暗号学が十分に理解され、検証される前に新しいアドレスフォーマットを導入することは極めて危険であり、推奨されるべきではありません。我々は、実用的な量子コンピュータが登場する前に、量子耐性暗号が証明可能な意味で有効であるかどうかを確認できないことを認識する必要があります。さらに、過早に量子耐性アドレスソリューションを選択すると、最終的には非効率的で迅速に時代遅れになり、完全に欠陥のあるソリューションに貴重な開発リソースを投入してしまう可能性があります。根本的に、これらの脆弱コインが休眠状態にあるのか失われたのかを確定することはできません。時折、長期間不活発なアドレスが移転されることが示されているように、保有者には自発的に資金を移行する十分な機会があります。そして、量子能力が徐々に向上する中で、未請求の資産も自然に移行を完了することができます。予見可能な未来において、市場レベルの影響は限られたものに見えます。脆弱なBTCのうちのほんの一部、約10,200枚が特定のP2PKカテゴリーにあり、迅速かつ突然に攻撃される場合にのみ流動性に影響を与える可能性があります。このような事象は、システム的動乱を引き起こすのではなく、むしろ通常の大規模取引に似た形になる可能性が高いです。もっと注目すべきは、ビットコインの不変性と中立性を維持することであり、これらの特性は早期のプロトコル変更によって脅かされる可能性があります。ビットコインを量子リスクから保護することは技術的に可能であり、破壊的ではありません。「ビットコインは後量子署名を採用することができる。Schnorr署名(以前のアップグレードの技術的実装の1つ)はさらなるアップグレードの道を開くものであり、ビットコインは防御的な進化を続けることができる」と暗号学者のAdam Back博士はCoinSharesに述べました。ソフトフォークを通じて量子耐性署名を導入することで、新しい暗号標準のシームレスな統合が実現できます。現在のいくつかの提案、例えばビットコイン改善提案(BIP)は、この進化の道筋を描いています。ユーザーは自己の判断に基づいて資金を安全なアドレスに移行でき、量子技術の進展を引き続き注視することができます — — さらには、暴露された従来のアドレスを技術進展の「指標」として使用することさえできます。機関投資家にとっての重要な洞察は、量子リスクは制御可能であり、解決のための十分な時間のウィンドウがあるということです。ビットコインのアーキテクチャ自体には内生的な弾力性があり、先見的な適応をサポートできます。デジタル時代の健全な通貨として、ビットコインは誇張された技術的脅威に基づくのではなく、その基本的な面を基に評価されるべきです。
ビットコインにおける量子脆弱性:制御可能なリスク
著者 | Christopher Bendiksen, CoinShares
翻訳 | GaryMa 吴说区块链
原文リンク:
未来の実用的な量子コンピュータはゼロの確率ではない可能性であり、ビットコインの暗号セキュリティへの潜在的影響について広範な議論を引き起こしています。これは確かに健全であり、数兆ドルの価値保存システムにとって必要な予防策です。しかし、この技術が理論的に挑戦をもたらす一方で、その現実のリスクは依然として遠く、直接的な手段によって対処可能です。
機関投資家にとって、この問題を理解するには、推測(そして不幸にも、自利的な炒作や利益追求の行為の多く)を証拠に基づく分析と区別する必要があります。ビットコインの量子脆弱性は差し迫った危機ではなく、予見可能なエンジニアリングの考慮事項であり、適応のための十分な時間があります。
重要なポイントの要約
量子脆弱性の概要:Shorアルゴリズムは理論的にECDSA/Schnorrの鍵を暴露する可能性があり、GroverアルゴリズムはSHA-256を弱める;脅威は依然として遠く、約170万BTCのP2PKアドレスに限られ(総供給量の8%)、市場に衝撃を与える可能性は極めて低い(以下の最後のポイントを参照)
セキュリティフレームワーク:権限付与に楕円曲線を依存し、保護にハッシュ関数を依存;量子コンピュータは2100万の供給上限を変更できず、プルーフ・オブ・ワークを回避することもできない。現代のP2PKH/P2SHは支出前に公開鍵を隠す;いわゆる25%の脆弱性の主張は、緩和可能な一時的リスクを誇張している
タイムラインと実現可能性:実行可能な時間内に(<1年)secp256k1を破るには、現在の論理量子ビットの数の10から10万倍必要;関連する量子技術は少なくとも10年は必要。長期的な攻撃は数年内に行われる可能性があり — — 10年以内に実現可能になるかもしれない;短期的な攻撃(メモリプール攻撃)は<10分の計算時間を必要とする — — 極端に長期(数十年)を除く、どの時間スケールでも実行不可能である
過激な介入の利点(例えば、量子耐性フォーマットに対するソフト/ハードフォークやコインの破壊):ネットワークを事前に強化し、予期しない技術的突破に対する防御を提供し、移行パスを提供し、適応能力の信号を伝え、投資家の信頼を高める
過激な介入の欠点:十分に検証されていない暗号技術が脆弱性を引き起こす可能性がある;未証明または非効率的なソリューションに貴重な開発リソースを浪費させる可能性があり、さらなる変更を引き起こす;休眠コインが失われたと仮定すると、強制的または盗難となる;中立性への脅威;所有権、分散化、不変性、信頼の侵食
市場への影響:現実には約10,000BTCに限られ、これらのコインは秘密鍵が攻撃されることにより突然市場に入る可能性がある;最終的には通常の取引のように見えるだろう;保有者は自発的に移行できる;残りのコインは34,000のアドレスに分布しており、各アドレスは約50BTCであり、最も楽観的な技術的突破のシナリオでも、盗まれるまでには数十年かかる
この問題を正しく分析するには、深い理解が求められる
ビットコインのセキュリティフレームワークは、取引権限付与に使用される楕円曲線デジタル署名アルゴリズム(ECDSAまたはsecp256k1に基づくSchnorr)と、マイニングおよびアドレス保護に使用されるSHA-256などのハッシュ関数の2つのコア暗号要素に依存しています。ECDSAは非対称鍵ペアを生成し、古典的な計算システム上で公開鍵から秘密鍵を導出することは計算上不可能です。SHA-256は単方向ハッシュを提供し、その逆も計算上不可能です。量子アルゴリズムは特定の懸念をもたらします。一般的な誤解は、量子計算が全体的に暗号システムを破ると考えられていますが、実際にはそうではありません。以下に、実用的な量子コンピュータが一般的な暗号関数に与える影響をまとめます。
既存の暗号タイプ — — 量子前と量子後:
現在直面している主な問題は、ビットコイン取引の権限付与に使用される256ビットECDSA(現在はSchnorrですが、同様の問題に直面しています)署名アルゴリズムです。Shorアルゴリズムは、楕円曲線を支える離散対数問題を理論的に解決する可能性があり、一度公開鍵が暴露されると、秘密鍵が導出される可能性があります。
Groverアルゴリズムは、SHA-256などの対称ハッシュの有効な安全性を256ビットから128ビットに低下させますが、計算要求が非常に大きいため、総当たり攻撃は依然として現実的ではなく、したがってハッシュによって保護されたアドレスは依然として安全です。マイニングについては、量子コンピュータは理論的にかなり高速なマイニングデバイスになる可能性がありますが、ASICと比較して経済性がどうかは全く不明です(また、ビットコインに組み込まれた自動難易度調整メカニズムを考慮すると、それは重要ではありません)。重要なのは、量子計算がビットコインの固定された2100万の供給上限を変更できず、ブロック検証に必要なプルーフ・オブ・ワークを回避することもできないということです。
リスクエクスポージャーは公開鍵が視認できるアドレスに限られ、主に従来のPay-to-Public-Key(P2PK)出力であり、これらのアドレスは約160万BTCを保持している(総供給量の約8%)。しかし、そのうちの10,200BTCだけがUTXOにあり、量子コンピュータによって盗まれた場合にのみ市場に重要な動揺を引き起こす可能性があります。残りの約160万BTCは32,607の独立した、約50BTCのUTXOに分布しており、量子計算技術の進歩に極端に楽観的な仮定をしても、数千年かかると考えられます。
量子脆弱コインの分布と数量
より現代的なアドレス形式、例えばPay-to-Public-Key-Hash(P2PKH)やPay-to-Script-Hash(P2SH)は、ハッシュを使用して公開鍵を隠し、資金が支出される前に安全を保っています。25%の脆弱性の主張は、通常、一時的なリスクを含んでおり、例えば取引所がアドレスを再利用することなどで、これらの問題はベストプラクティスによって簡単に緩和できます;そして、技術が本当に危険になる前には、数年間の警告期間があり、簡単な行動の調整を行うための十分な時間があるでしょう。
我々は危険区域からまだかなり遠い
2026年初頭までに、量子の脅威は迫っていません。secp256k1を攻破するには、数百万の論理量子ビットを持つ量子システムが必要です — — これは現在の能力範囲を大きく超えています。研究者によると、1日で公開鍵を逆推定するには、攻撃者はフォールトトレランスと誤差制御能力を備えた量子コンピュータを必要とし、そのような性能は現在実現されておらず、1300万の物理量子ビットが必要です — — 現在の最大量子コンピュータの規模の約10万倍です。1時間以内に破解を完了するには、その性能は現在の量子コンピュータより300万倍高くなる必要があります。ネットワークセキュリティ会社LedgerのCTOであるCharles GuillemetはCoinSharesに対して次のように述べています:「現在の非対称暗号を破るには、数百万の量子ビットが必要です。Googleの現在のWillowコンピュータはわずか105量子ビットです。そして量子ビットが1つ増えるごとに、コヒーレントシステムを維持する難しさは指数関数的に上昇します。」ここでは、上述の内容をさらに詳しく分析しています。
Googleを含む最近のデモは進展を示しましたが、ビットコインに対して現実世界の攻撃を行うために必要なスケールにはまだ遠く及びません。
いくつかの推定によれば、暗号に関連する(しかし実際に危険を構成するわけではない)量子コンピュータは2030年代またはそれ以降に出現すると考えられており、一部の分析では10–20年が必要と予測しています。
長期的なリスクエクスポージャー(例えばP2PKアドレス)は、その時点で数年の計算時間を必要とする攻撃に直面する可能性があり;短期的なリスクエクスポージャー(例えば取引中にメモリプールに見える公開鍵)は、10分未満で計算を完了する必要があります。
過激な介入は利点と欠点を持つ
この問題に対処するための過激な介入の提案、例えば十分に検証されていないまたは技術的に成熟していない状況での量子耐性アドレスフォーマットに対するソフトフォーク、またはさらに悪いことに、ハードフォークによって脆弱コインを破壊することは極めて慎重に行う必要があります。このような行為は、意図せずに重要な脆弱性を導入することによって技術的な災害を引き起こす可能性があるだけでなく、ビットコインの所有権と分散化に関する核心的原則を弱体化させ、必要のない信頼を侵食する可能性があります。
そのセキュリティを支える暗号学が十分に理解され、検証される前に新しいアドレスフォーマットを導入することは極めて危険であり、推奨されるべきではありません。我々は、実用的な量子コンピュータが登場する前に、量子耐性暗号が証明可能な意味で有効であるかどうかを確認できないことを認識する必要があります。さらに、過早に量子耐性アドレスソリューションを選択すると、最終的には非効率的で迅速に時代遅れになり、完全に欠陥のあるソリューションに貴重な開発リソースを投入してしまう可能性があります。
根本的に、これらの脆弱コインが休眠状態にあるのか失われたのかを確定することはできません。時折、長期間不活発なアドレスが移転されることが示されているように、保有者には自発的に資金を移行する十分な機会があります。そして、量子能力が徐々に向上する中で、未請求の資産も自然に移行を完了することができます。
予見可能な未来において、市場レベルの影響は限られたものに見えます。脆弱なBTCのうちのほんの一部、約10,200枚が特定のP2PKカテゴリーにあり、迅速かつ突然に攻撃される場合にのみ流動性に影響を与える可能性があります。このような事象は、システム的動乱を引き起こすのではなく、むしろ通常の大規模取引に似た形になる可能性が高いです。もっと注目すべきは、ビットコインの不変性と中立性を維持することであり、これらの特性は早期のプロトコル変更によって脅かされる可能性があります。
ビットコインを量子リスクから保護することは技術的に可能であり、破壊的ではありません。「ビットコインは後量子署名を採用することができる。Schnorr署名(以前のアップグレードの技術的実装の1つ)はさらなるアップグレードの道を開くものであり、ビットコインは防御的な進化を続けることができる」と暗号学者のAdam Back博士はCoinSharesに述べました。ソフトフォークを通じて量子耐性署名を導入することで、新しい暗号標準のシームレスな統合が実現できます。現在のいくつかの提案、例えばビットコイン改善提案(BIP)は、この進化の道筋を描いています。ユーザーは自己の判断に基づいて資金を安全なアドレスに移行でき、量子技術の進展を引き続き注視することができます — — さらには、暴露された従来のアドレスを技術進展の「指標」として使用することさえできます。
機関投資家にとっての重要な洞察は、量子リスクは制御可能であり、解決のための十分な時間のウィンドウがあるということです。ビットコインのアーキテクチャ自体には内生的な弾力性があり、先見的な適応をサポートできます。デジタル時代の健全な通貨として、ビットコインは誇張された技術的脅威に基づくのではなく、その基本的な面を基に評価されるべきです。