GoogleのQuantum AIチームは今週初めに、将来の量子コンピュータなら、公開鍵からビットコインの秘密鍵を約9分で導き出せる可能性があると述べていました。その数値はSNSを通じて飛び回り、市場を不安にさせました。
しかし、実際にはそれはどういう意味でしょうか?
まず、ビットコインの取引がどう動くのかから始めましょう。ビットコインを送るとき、ウォレットは秘密鍵という秘密の番号で取引に署名します。これは自分がそのコインを所有していることを証明するものです。
その署名は、公開鍵も明らかにします。これは共有可能なアドレスで、ネットワークにブロードキャストされ、マイナーがブロックに取り込むまで待機エリアと呼ばれるmempoolに置かれます。平均すると、その確認には約10分かかります。
秘密鍵と公開鍵は、楕円曲線離散対数問題と呼ばれる数学の問題で結び付けられています。従来のコンピュータでは有用な時間枠でそれを逆算できませんが、Shorのアルゴリズムと呼ばれる手法を動かす十分に強力な将来の量子コンピュータなら可能になります。
ここで「9分」の部分が効いてきます。Googleの論文では、量子コンピュータは特定の公開鍵に依存しない攻撃の部分を前もって計算して「事前に仕込む」ことができることが分かりました。
公開鍵がmempoolに現れたら、機械は仕事を仕上げてあなたの秘密鍵を導き出すのに必要なのは約9分だけです。ビットコインの平均的な確認時間は10分です。これにより、攻撃者は、元の取引が確認される前にあなたの鍵を導き出して資金を振り替えるチャンスが約41%生まれます。
それは、泥棒が何時間もかけて汎用の金庫破りマシンを作り上げる(事前計算)ようなものです。そのマシンはどんな金庫にも使えますが、毎回新しい金庫が出てきたときには、最後の仕上げとして必要な調整はほんの少しで済みます。そして、その最後の一歩が約9分かかるのです。
これがmempool攻撃です。警戒すべき内容ですが、まだ存在しない量子コンピュータが必要です。Googleの論文の推定では、そのような機械には500,000未満の物理量子ビットが必要になります。今日の最大級の量子プロセッサは、だいたい1,000です。
さらに、より大きく、すぐに差し迫っている懸念は、すでに公開鍵が恒久的に露出しているウォレットにある、約690万ビットコイン(総供給の約1/3)です。
これには、ネットワークの最初の数年に使われていた pay-to-public-key と呼ばれる形式の初期のビットコインアドレスが含まれます。この形式では、公開鍵はデフォルトでブロックチェーン上に表示されます。さらに、アドレスを再利用しているウォレットも含まれます。なぜなら、あるアドレスからの支払いは、残っているすべての資金について公開鍵を明らかにするからです。
これらのコインには、9分の競争は不要です。十分に強力な量子コンピュータを持つ攻撃者なら、露出した鍵を1つずつ時間的なプレッシャーなしに順に解読しながら、落ち着いて作業して破ることができます。
ビットコインの2021年のTaprootアップグレードは、この状況をより悪くしました。CoinDeskが火曜の早い段階で報じたとおりです。Taprootはアドレスの仕組みを変更し、公開鍵がデフォルトでオンチェーンに可視化されるようになったため、将来の量子攻撃で脆弱になり得るウォレットの数が、意図せず拡大しました。
ビットコインのネットワークそのものは動き続けます。マイニングはSHA-256と呼ばれる別のアルゴリズムを使っており、量子コンピュータは現在のアプローチでは実質的にスピードアップできません。ブロックは引き続き生成されます。
台帳はまだ存在し続けます。しかし、公開鍵から秘密鍵を導き出せてしまうなら、ビットコインの価値を支えていた所有権の保証が崩れます。鍵が露出している人は誰でも窃盗のリスクにさらされ、ネットワークのセキュリティモデルに対する機関投資家の信頼が崩壊します。
その対策がポスト量子暗号です。これは脆弱な数学を、量子コンピュータでは解読できないアルゴリズムに置き換えます。イーサリアムは、この移行に向けて8年を費やしてきました。ビットコインは、まだ始まっていません。
関連記事
