StarkWare 製品責任者の Avihu Levy は、4 月 9 日に量子耐性ビットコインの取引ソリューション「Quantum Safe Bitcoin (QSB)」を公開発表し、協議(プロトコル)を変更することなく、量子耐性演算による取引保護を実現した。これは、現在判明している最初の、ビットコイン既存の Legacy Script 規則だけに基づいて、Shor 演算アルゴリズム攻撃に対抗できる実現可能な案である。
量子の脅威は差し迫っているが、ビットコイン・コミュニティのコンセンサスは不明
量子計算がビットコインに与える脅威については、Google Quantum AI が先週発表した論文の中でも再び注目を集めた。研究によると、ビットコインの楕円曲線暗号 (ECDSA) を解読するコストは予想より 90% 低くなっており、同時に最速 9 分で、すでに公開されている公開鍵から秘密鍵を復元できるという。Google 自身も、2029 年に自社サービスの量子移行を完了するという目標を掲げている。
(Google の量子研究が警告:ビットコイン暗号の解読ハードルが大幅に低下、Taproot とアドレスの使い回しで 690 万枚の BTC が量子リスクにさらされる)
ビットコインの現在の主要な署名方式は ECDSA であり、その安全性は楕円曲線の数学的難題に基づいている。十分な計算能力を持つ量子コンピュータが登場すれば、攻撃者は Shor 演算アルゴリズムによって秘密鍵を逆算し、偽の署名を作成することで資産を盗むことが可能になる。P2PK 出力から Taproot そして従来のアドレスまで、公開鍵が露出してしまえば、秘密鍵が解読されるリスクに直面する。
しかし、主流の対処策はすべてビットコインの基盤となるプロトコルを変更する必要がある。ソフトフォークを要する BIP-360 の耐量子アドレス提案であれ、SPHINCS+ などのハッシュに基づく署名方式であれ、ビットコイン・コミュニティで名高い長く、かつ高度に分裂したガバナンス手順を経なければならない。
そして今回、QSB の登場がこの関門をうまく回避した。
QSB とは何か?プロトコルを動かさずにどうやって耐量子を実現するのか?
BIP-360 の共同著者として、Avihu Levy が最近公開した QSB は、合意(コンセンサス)を変更する必要なく、ビットコイン上で量子攻撃に耐える解決策を実現できると主張している。
QSB は BitVM の創設者 Robin Linus が開発した Binohash 取引技術の上に構築されており、その中の 2 つの量子安全上の脆弱性を修正している。1 つ目は Shor 演算アルゴリズムによって解読され得る楕円曲線の小さい r 値の署名難題。2 つ目は攻撃者が利用し得る sighash フラグの脆弱性。
安全性モデルにおいて、QSB は楕円曲線の数学的難題への依存という従来の仮定を捨て、RIPEMD-160 のハッシュ関数に基づく形へと置き換えた。量子コンピュータがハッシュ関数を攻撃する場合、Shor 演算アルゴリズムのように ECDSA を完全に破るのではなく、Grover 演算アルゴリズムによる二次加速によってのみ可能になるため、QSB に対して現時点では脅威にならない。
具体的には、取引を開始する者が計算コストの高いハッシュの謎(パズル)を解き、取引を一組の特定パラメータに結び付ける必要がある。誰かが取引内容を改ざんしようとすれば、答えはただちに無効になるため、最初から再計算しなければならない。
この仕組みは、ビットコインの既存の Legacy Script 制約内で完全に動作する。201 個のオペコード上限および 10,000 バイトのスクリプトサイズ制限を含み、いかなるプロトコル変更も不要。さらに、この方案は約 118 ビットの耐量子安全性 ( 現在で 0) を達成できる。
実際の使用コストと操作制限:運用コストは 75 ドルまで低く
QSB は現時点ではゼロコストの方案ではない。1 回の取引ごとに約 75 から 150 ドルのクラウド GPU 演算費用が必要であり、現在のクラウド算力の市場相場に基づくと、計算プロセスは数時間で完了し、かつ複数の GPU にまたがって同期実行できる。
しかし、QSB にも現実的な制約がある。取引がビットコインのデフォルトの中継ポリシー制限を超えるため、Marathon が提供する Slipstream サービスのように、非標準取引を受け付けるマイニングプールへ直接送信する必要があり、同時に方案は現時点では閃電網路にも対応していない。
Levy 本人も QSB を「最後の手段」と位置づけており、一般的なビットコイン取引の代替策ではない。
既存の耐量子案を振り返ると、すべてビットコインの元のプロトコルを変更する必要がある
既存の耐量子ビットコイン案のほぼすべては、プロトコル層の変更を要する。BIP-360 は新しい量子耐性アドレス形式の導入を提案しているが、ソフトフォークを通過する必要があり、かつビットコイン・コミュニティの広範な共通認識を得る必要がある。SPHINCS+ などのハッシュベースの署名案も同様に、プロトコルのアップグレードが必要であり、効率性とスクリプトサイズの点でさらに大きな課題に直面する。
QSB は現在、既存のビットコイン規則の枠組みの中で完全に動作し、いかなる共通認識の変更も不要で耐量子保護を実現できる最初の方案として、対応する GPU 演算コストを負担できるユーザーであれば、今日から利用でき、コミュニティが共通認識に達するのを待つ必要はない。
耐量子方案が浮上し、ビットコイン保有者は朗報を待つ
現時点では、いかなる量子コンピュータもビットコイン暗号を実際に解読できる能力を持っていない。外部の予想では、真の脅威は 3 から 10 年後だとされている。しかし、すでに使用されており公開鍵が露出しているビットコインアドレスに関しては、量子コンピュータが攻撃の閾値に到達した時点で、最初の標的になり得る。初期見積もりでは、約 690 万枚ほどとなる見込みだ。
QSB は現時点ではいかなるコンシューマ向けウォレットにも統合されていないため、一般ユーザーは既存ソフトウェアを通じて量子安全設定を直接有効化できない。だが Levy のこの取り組みは、この方案が今日のビットコイン上で実際に存在し、かつ実行可能であることを示している。あとは工学的な実装、ウォレット統合、そして時間だけだ。
ビットコインを保有するユーザーにとって、現在いちばん実務的な助言は次のとおりだ。アドレスの使い回しを避け、ウォレット開発者の耐量子対応の進捗に密に注目し、主流ソフトが量子安全な移行オプションを提供し始めたら、できるだけ早く資産を保護されたアドレスへ移転すること。
この記事 ビットコイン・コミュニティの福音!最初のソフトフォーク不要の耐量子ビットコイン取引方案 QSB の登場 は最初に 鏈新聞 ABMedia に掲載された。
