量子計算はいつ暗号を解読できるのか?この問いの答えは、しばしば企業の宣伝やメディアの誇張によって歪められている。技術企業のマイルストーンデモから政府の政策計画に至るまで、量子脅威のタイムラインは度々誇張され、「直ちに全面的なポスト量子暗号への移行を急ぐべきだ」という緊急の声が生まれている。しかし、これらの声はしばしば重要な現実を見落としている。異なる暗号技術が直面する量子脅威の本質は全く異なり、早期に行動を起こすことのコストは、遅らせるリスクよりもはるかに大きい可能性がある。
a16zの研究パートナー、ジャスティン・セイラーの深い分析によれば、我々はこの「危険期のコンピュータ」議論を冷静に受け止める必要がある。すべての暗号技術が同じ緊急危険期にあるわけではない。
量子計算による暗号解読のタイムラインについて、市場には多くの矛盾した予測が存在する。2030年や2035年までに実現できると主張する企業もあるが、技術の詳細に深く踏み込むと、これらの約束と実際の進展との間には巨大なギャップがあることがわかる。
**いわゆる暗号解読可能な「量子コンピュータ」**は、いくつかの厳しい条件を満たす必要がある。まず、誤り訂正可能な耐故障性を持つ量子計算機でなければならない。次に、Shorアルゴリズム(現代暗号を解読する鍵となる)を動かせる必要がある。そして最後に、その規模は合理的な時間内(例えば1か月以内)に楕円曲線暗号やRSA-2048といった現代暗号標準を破るのに十分なものでなければならない。
公開された技術のマイルストーン評価によれば、そのような計算機はまだ遥か遠い未来の話だ。たとえ量子ビット数が1000を超えるシステムが登場しても、我々が目にしているのは数字の突破だけであり、実用的な能力の突破ではない。これらのシステムは一般に、暗号計算に必要な接続性や正確性に欠けている。
本質的なボトルネックは数ではなく質にある。現代暗号を解読するには、数十万から数百万の物理量子ビットが必要とされるが、これはあくまで推定値だ。より厳しい課題は、量子ビット間の接続性、ゲートの正確性、深い量子アルゴリズムを動かすための誤り訂正能力にある。現在の最先端システムでも、数個の論理量子ビットを安定して動かすことさえ困難であり、Shorアルゴリズムに必要な数千の高正確性・耐故障性論理量子ビットには、指数関数的なギャップがある。
合理的な判断としては、量子ビット数と正確性が少なくとも3~4桁向上するまでは、実用的に暗号を解読できる「危険期のコンピュータ」は登場しないと考えるべきだ。
しかし、企業のニュースリリースやメディアの報道は、しばしば次のような誤解を生む。
「量子優位」の幻想:多くのデモは、実用的な応用ではなく、あくまで設計された特定のタスクを高速に処理できることを示すものであり、現実の有用性は限定的だ。これが宣伝ではしばしば過小評価または隠蔽される。
物理量子ビット数の誤認:宣伝される「数千の物理量子ビット」は、Shorアルゴリズムを動かせるゲートモデルの量子計算機ではなく、量子アニーリングマシンを指すことが多い。両者は全く異なる。
「論理量子ビット」の乱用:一部企業は、特定の誤った方法で、1つの論理量子ビットあたり2つの物理量子ビットしか必要としないと主張しているが、これは技術的に意味がない。用いられる誤り訂正符号は、実際には誤り訂正ができていないため、検出だけに過ぎない。
ロードマップの誤導:多くのロードマップは、「論理量子ビット」が数千に達すると謳うが、これらはClifford演算のみをサポートし、Tゲートを多用するShorアルゴリズムの実行には適さない。したがって、ロードマップに記された年に実現しても、暗号解読の実用化にはつながらない。
これらの誤解は、一般の人々や一部の業界の専門家の量子計算の進展認識を歪めている。
量子脅威の緊急性を理解するには、暗号技術のリスクを二つに分けて考える必要がある:暗号化とデジタル署名。
「今盗み、未来解読」(HNDL)攻撃は、今日の暗号通信を記録し、将来の量子計算機の登場後に解読することを狙うものだ。国家レベルの敵は、すでに政府や企業の大量の暗号通信をアーカイブし、その時点の暗号を解読できる準備を進めている可能性が高い。
したがって、暗号化は直ちにアップグレードすべきだ。少なくとも10年以上、50年以上の秘密保持が必要なデータについては、今すぐ後量子暗号に切り替える必要がある。これは現実的な、避けられない危険期の課題だ。
一方、デジタル署名は全く異なる。署名の秘密性は追跡性を必要としない。将来の量子計算機が登場しても、それは署名の偽造を可能にするだけであり、過去の署名を解読することはできない。署名が量子計算機登場前に生成されたものであれば、永遠に偽造されることはない。
この違いは非常に重要であり、各ツールのアップグレードの緊急性を左右する。
実際のプラットフォームはこの論理に従って行動している。
ChromeやCloudflareは、TLS暗号に対してハイブリッドのX25519+ML-KEM方式を導入している。**「ハイブリッド」**がポイントであり、ポスト量子安全な方式と従来の方式を併用することで、HNDL攻撃を防ぎつつ、ポスト量子方式に問題が生じた場合も従来の安全性を維持できる。
AppleのiMessage(PQ3プロトコル)やSignal(PQXDH、SPQRプロトコル)も同様のハイブリッド後量子暗号を導入している。
一方、ポスト量子のデジタル署名は、重要インフラへの展開が遅れている。理由は、現行のポスト量子署名方式が性能低下や実装の複雑さを伴うためだ。
これは暗号通貨にとって良いニュースだ。ほとんどのブロックチェーンはHNDL攻撃に対して脆弱ではない。
ビットコインやイーサリアムのような非プライバシーチェーンは、主に取引承認にデジタル署名を用いているが、これらはポスト量子安全ではない署名方式を使っているだけであり、HNDLリスクはない。ビットコインのブロックチェーンは完全に公開されており、すべての取引は公開情報だ。量子脅威は、署名の偽造(資金盗用)に関係し、既に公開された取引データの解読には関係しない。
この重要な事実は、多くの権威ある機関によって誤解されてきた。例えば米連邦準備制度理事会(FRB)などは、ビットコインがHNDL攻撃に脆弱だと誤って主張しているが、これは移行の緊急性を過大評価している。
例外はプライバシー重視のチェーンだ。多くのプライバシーコインは、受取アドレスや金額を暗号化または隠している。これらの秘密情報は、今のうちに盗み出され、将来の量子計算機が楕円曲線暗号を解読できるようになったときに追跡・解明される可能性がある。モネロのリング署名や鍵イメージの仕組みは、取引の完全な追跡を可能にする恐れがある。
したがって、プライバシーコインのユーザーは、将来の量子計算機による解読リスクを考慮し、早急に後量子原語やハイブリッド方式に移行すべきだ。
ビットコインについては、現実的な理由から今すぐ後量子移行を計画すべきだが、その理由は量子技術そのものに由来しない。
第一の理由はガバナンスの遅さだ。ビットコインの改変は非常に遅く、意見の対立が破壊的なハードフォークを引き起こす可能性がある。社会的調整の困難さが根本的な問題だ。
第二の理由は、受動的な移行が不可能なことだ。所有者は自ら積極的に新しい署名方式に移行しなければならない。これにより、量子脆弱な未移行のコインは、プロトコルの保護を受けられなくなる。推定では、数百万枚の「眠った」量子脆弱コインが存在し、価値は数千億ドルにのぼる。
しかし、これは「一夜にして終わる事態」ではない。初期の量子攻撃は非常にコストが高く遅いため、攻撃者は高価値のウォレットを狙う合理的な選択をする。アドレスの再利用を避け、Taprootアドレスを使わないユーザーは、基本的に安全だ。なぜなら、公開鍵はハッシュ値の後ろに隠されており、取引の署名時にだけ公開されるからだ。取引を送信するまで公開鍵は見えず、その瞬間に短時間のリアルタイム競争が発生する。正直なユーザーは早く取引を確定させ、攻撃者はその前に秘密鍵を計算しようと試みる。
真に脆弱なのは、公開鍵がすでに露出しているコインだ。例えば、過去のP2PK出力やアドレスの再利用、Taprootアドレス(公開鍵が直接露出)を持つ資産だ。
放置された脆弱コインの解決策は難しい。コミュニティは「期限」を設けて、それまでに移行しなかったコインを破棄とみなすか、未来の量子コンピュータに奪われるのを黙認するかの選択を迫られる。後者は法的・安全上の問題を引き起こす。
また、ビットコインのもう一つの課題は、低い取引スループットだ。移行計画が決まっても、現状の速度ではすべての脆弱資産を移行するには数か月かかる。
結論:ビットコインは今すぐ後量子移行を計画すべきだが、その理由は、量子計算機が2030年前に出現する可能性が低いからではなく、数千億ドルの資産の移行には、ガバナンスや調整、技術的な準備に数年を要するからだ。量子脅威は確かに現実だが、その時間的圧力は、主にビットコインの内部的な制約に由来している。
後量子暗号は、主に五つの数学的難題に基づく:ハッシュ、符号、格子、多変数二次方程式、楕円曲線同源。多様な方案が存在するのは、構造が多いほど効率が良くなる一方、攻撃の突破口も増えるため、根本的なトレードオフがある。
ハッシュ系は最も保守的で安全性は高いが、性能は最も劣る。NIST標準のハッシュ署名は7~8KBと大きく、現行の楕円曲線署名の64バイトと比べて約百倍のサイズ差がある。
格子系は、今後の展開の焦点となる。NISTが選定した唯一の後量子暗号方式(ML-KEM)と、二つの署名方式(ML-DSA、Falcon)は格子に基づく。
ML-DSAの署名サイズは約2.4~4.6KBで、現行の署名の40~70倍に相当。
Falconは比較的小さく(0.7~1.3KB)だが、実装は非常に複雑で、一定時間の浮動小数点演算を伴い、サイドチャネル攻撃の成功例もある。創始者の一人は、「これまで実装した中で最も複雑な暗号アルゴリズム」と述べている。
安全性の確保はさらに難しい。格子系署名は、楕円曲線署名よりも多くの中間値や拒否サンプリングの複雑さを伴い、サイドチャネルや故障注入に対する防御も強化が必要だ。
歴史的教訓も忘れてはならない。NISTの標準化過程で候補だったRainbow(多変数符号に基づく署名)やSIKE/SIDH(同源暗号)は、いずれも古典的コンピュータによる攻撃で破られている。過早な標準化や導入のリスクを示している。
インターネットの基盤は、署名の移行に慎重な態度を取っている。これは、暗号の移行自体が長期にわたる作業だからだ。MD5やSHA-1の移行には何年もかかり、今なお完全には終わっていない。
以上の現実を踏まえ、次の原則を守るべきだ。**量子脅威を真剣に受け止めるが、2030年前に危険期のコンピュータが出現するとの前提は誤りであると考える。現状の技術進展はその可能性を支持しない。**しかし、いくつかの対策は今すぐにでも行うべきだ。
01. 混合暗号の即時導入 長期的な秘密保持が必要な場面では、すぐにポスト量子ハイブリッド暗号を導入すべきだ。多くのブラウザ、CDN、通信アプリ(iMessage、Signalなど)がすでに導入を始めている。ハイブリッド方式は、ポスト量子と従来方式を併用し、HNDL攻撃を防ぎつつ、ポスト量子方式の未成熟な部分を補完できる。
02. 容認範囲のハッシュ署名の採用 ソフトウェアやファームウェアの更新など、サイズや頻度に制約のある場面では、今すぐハッシュ署名のハイブリッドを採用できる。これは、量子計算機の登場を待たずに、最低限の安全策となる。
03. ブロックチェーンの早期計画 ブロックチェーンは急ぎでポスト量子署名に切り替える必要はないが、早期に計画を始めるべきだ。ネットワークPKIのコミュニティの慎重な姿勢を模範とし、成熟した方案を目指す。
04. 移行経路の明確化 ビットコインなどのパブリックチェーンは、明確な後量子移行計画を策定し、「眠った」脆弱資産の扱いも定める必要がある。特にビットコインは、今すぐにでも計画を始めるべきだ。理由は技術的な問題ではなく、ガバナンスと社会的調整の難しさにある。
05. 研究の成熟に時間を ポスト量子SNARKやアグリゲーション署名の研究には、数年の成熟期間を見込むべきだ。早すぎる決定は、次善の方案に固執するリスクを伴う。
06. アカウント設計の示唆 イーサリアムなどのプラットフォームでは、アップグレード可能なスマートコントラクトウォレットが、よりスムーズな移行を可能にする。アカウント抽象化(アカウントのアイデンティティと署名方式の分離)は、後量子移行だけでなく、資金のスポンサーやソーシャルリカバリーなど、多様な機能を支援できる。
07. プライバシーコインの優先移行 プライバシーコインは、秘密情報の暗号化や隠蔽により、HNDL攻撃のリスクにさらされている。これらは早急に後量子原語やハイブリッド方式に移行すべきだ。
08. 短期的優先順位:安全性の確保>量子脅威 今後数年は、脆弱性やサイドチャネル攻撃のリスクが、量子計算機の脅威よりも高い。監査、テスト、形式検証、深層防御に投資し、量子不安に惑わされず、より差し迫った安全リスクに対応すべきだ。
09. 研究開発への継続資金投入 国家安全保障の観点から、資金を投入し人材育成を続ける必要がある。主要な競合国が暗号関連の量子計算能力を先行獲得すれば、深刻なリスクとなる。
10. 理性的な情報評価 今後も多くのマイルストーンが報告されるだろうが、それらはむしろ我々が本当の脅威からどれだけ遠いかを示す証拠だと理解すべきだ。ニュースは鵜呑みにせず、批判的に評価し、焦る必要のない進展と捉える。
技術の進展は加速も遅延もあり得る。私たちは、五年以内に絶対に不可能だと断言しないが、その可能性は非常に低いと考えている。公開された技術進展のデータに基づけば、そう判断できる。
上記の原則に従えば、より直接的で現実的なリスク—脆弱性の悪用や急ぎの導入、暗号移行の失敗—を回避できる。これらの問題は遠い未来に起こるのではなく、危険期のコンピュータが我々を脅かす前の、今後数年間にすでに潜在的に危険をもたらす可能性がある。
203.73K 人気度
11.38K 人気度
44.41K 人気度
85.15K 人気度
849.15K 人気度
量子コンピュータの危険期:いつ本当に暗号の安全性を脅かすのか?
量子計算はいつ暗号を解読できるのか?この問いの答えは、しばしば企業の宣伝やメディアの誇張によって歪められている。技術企業のマイルストーンデモから政府の政策計画に至るまで、量子脅威のタイムラインは度々誇張され、「直ちに全面的なポスト量子暗号への移行を急ぐべきだ」という緊急の声が生まれている。しかし、これらの声はしばしば重要な現実を見落としている。異なる暗号技術が直面する量子脅威の本質は全く異なり、早期に行動を起こすことのコストは、遅らせるリスクよりもはるかに大きい可能性がある。
a16zの研究パートナー、ジャスティン・セイラーの深い分析によれば、我々はこの「危険期のコンピュータ」議論を冷静に受け止める必要がある。すべての暗号技術が同じ緊急危険期にあるわけではない。
量子計算機の真の脅威期:データの裏に潜む真実
量子計算による暗号解読のタイムラインについて、市場には多くの矛盾した予測が存在する。2030年や2035年までに実現できると主張する企業もあるが、技術の詳細に深く踏み込むと、これらの約束と実際の進展との間には巨大なギャップがあることがわかる。
**いわゆる暗号解読可能な「量子コンピュータ」**は、いくつかの厳しい条件を満たす必要がある。まず、誤り訂正可能な耐故障性を持つ量子計算機でなければならない。次に、Shorアルゴリズム(現代暗号を解読する鍵となる)を動かせる必要がある。そして最後に、その規模は合理的な時間内(例えば1か月以内)に楕円曲線暗号やRSA-2048といった現代暗号標準を破るのに十分なものでなければならない。
公開された技術のマイルストーン評価によれば、そのような計算機はまだ遥か遠い未来の話だ。たとえ量子ビット数が1000を超えるシステムが登場しても、我々が目にしているのは数字の突破だけであり、実用的な能力の突破ではない。これらのシステムは一般に、暗号計算に必要な接続性や正確性に欠けている。
本質的なボトルネックは数ではなく質にある。現代暗号を解読するには、数十万から数百万の物理量子ビットが必要とされるが、これはあくまで推定値だ。より厳しい課題は、量子ビット間の接続性、ゲートの正確性、深い量子アルゴリズムを動かすための誤り訂正能力にある。現在の最先端システムでも、数個の論理量子ビットを安定して動かすことさえ困難であり、Shorアルゴリズムに必要な数千の高正確性・耐故障性論理量子ビットには、指数関数的なギャップがある。
合理的な判断としては、量子ビット数と正確性が少なくとも3~4桁向上するまでは、実用的に暗号を解読できる「危険期のコンピュータ」は登場しないと考えるべきだ。
しかし、企業のニュースリリースやメディアの報道は、しばしば次のような誤解を生む。
「量子優位」の幻想:多くのデモは、実用的な応用ではなく、あくまで設計された特定のタスクを高速に処理できることを示すものであり、現実の有用性は限定的だ。これが宣伝ではしばしば過小評価または隠蔽される。
物理量子ビット数の誤認:宣伝される「数千の物理量子ビット」は、Shorアルゴリズムを動かせるゲートモデルの量子計算機ではなく、量子アニーリングマシンを指すことが多い。両者は全く異なる。
「論理量子ビット」の乱用:一部企業は、特定の誤った方法で、1つの論理量子ビットあたり2つの物理量子ビットしか必要としないと主張しているが、これは技術的に意味がない。用いられる誤り訂正符号は、実際には誤り訂正ができていないため、検出だけに過ぎない。
ロードマップの誤導:多くのロードマップは、「論理量子ビット」が数千に達すると謳うが、これらはClifford演算のみをサポートし、Tゲートを多用するShorアルゴリズムの実行には適さない。したがって、ロードマップに記された年に実現しても、暗号解読の実用化にはつながらない。
これらの誤解は、一般の人々や一部の業界の専門家の量子計算の進展認識を歪めている。
「今盗み、未来解読」:誰が本当に危険にさらされているのか?
量子脅威の緊急性を理解するには、暗号技術のリスクを二つに分けて考える必要がある:暗号化とデジタル署名。
「今盗み、未来解読」(HNDL)攻撃は、今日の暗号通信を記録し、将来の量子計算機の登場後に解読することを狙うものだ。国家レベルの敵は、すでに政府や企業の大量の暗号通信をアーカイブし、その時点の暗号を解読できる準備を進めている可能性が高い。
したがって、暗号化は直ちにアップグレードすべきだ。少なくとも10年以上、50年以上の秘密保持が必要なデータについては、今すぐ後量子暗号に切り替える必要がある。これは現実的な、避けられない危険期の課題だ。
一方、デジタル署名は全く異なる。署名の秘密性は追跡性を必要としない。将来の量子計算機が登場しても、それは署名の偽造を可能にするだけであり、過去の署名を解読することはできない。署名が量子計算機登場前に生成されたものであれば、永遠に偽造されることはない。
この違いは非常に重要であり、各ツールのアップグレードの緊急性を左右する。
実際のプラットフォームはこの論理に従って行動している。
ChromeやCloudflareは、TLS暗号に対してハイブリッドのX25519+ML-KEM方式を導入している。**「ハイブリッド」**がポイントであり、ポスト量子安全な方式と従来の方式を併用することで、HNDL攻撃を防ぎつつ、ポスト量子方式に問題が生じた場合も従来の安全性を維持できる。
AppleのiMessage(PQ3プロトコル)やSignal(PQXDH、SPQRプロトコル)も同様のハイブリッド後量子暗号を導入している。
一方、ポスト量子のデジタル署名は、重要インフラへの展開が遅れている。理由は、現行のポスト量子署名方式が性能低下や実装の複雑さを伴うためだ。
ブロックチェーンの量子危機:真の脅威か、それとも過剰な誇張か?
これは暗号通貨にとって良いニュースだ。ほとんどのブロックチェーンはHNDL攻撃に対して脆弱ではない。
ビットコインやイーサリアムのような非プライバシーチェーンは、主に取引承認にデジタル署名を用いているが、これらはポスト量子安全ではない署名方式を使っているだけであり、HNDLリスクはない。ビットコインのブロックチェーンは完全に公開されており、すべての取引は公開情報だ。量子脅威は、署名の偽造(資金盗用)に関係し、既に公開された取引データの解読には関係しない。
この重要な事実は、多くの権威ある機関によって誤解されてきた。例えば米連邦準備制度理事会(FRB)などは、ビットコインがHNDL攻撃に脆弱だと誤って主張しているが、これは移行の緊急性を過大評価している。
例外はプライバシー重視のチェーンだ。多くのプライバシーコインは、受取アドレスや金額を暗号化または隠している。これらの秘密情報は、今のうちに盗み出され、将来の量子計算機が楕円曲線暗号を解読できるようになったときに追跡・解明される可能性がある。モネロのリング署名や鍵イメージの仕組みは、取引の完全な追跡を可能にする恐れがある。
したがって、プライバシーコインのユーザーは、将来の量子計算機による解読リスクを考慮し、早急に後量子原語やハイブリッド方式に移行すべきだ。
ビットコインのジレンマ:なぜ待つだけでは不十分なのか
ビットコインについては、現実的な理由から今すぐ後量子移行を計画すべきだが、その理由は量子技術そのものに由来しない。
第一の理由はガバナンスの遅さだ。ビットコインの改変は非常に遅く、意見の対立が破壊的なハードフォークを引き起こす可能性がある。社会的調整の困難さが根本的な問題だ。
第二の理由は、受動的な移行が不可能なことだ。所有者は自ら積極的に新しい署名方式に移行しなければならない。これにより、量子脆弱な未移行のコインは、プロトコルの保護を受けられなくなる。推定では、数百万枚の「眠った」量子脆弱コインが存在し、価値は数千億ドルにのぼる。
しかし、これは「一夜にして終わる事態」ではない。初期の量子攻撃は非常にコストが高く遅いため、攻撃者は高価値のウォレットを狙う合理的な選択をする。アドレスの再利用を避け、Taprootアドレスを使わないユーザーは、基本的に安全だ。なぜなら、公開鍵はハッシュ値の後ろに隠されており、取引の署名時にだけ公開されるからだ。取引を送信するまで公開鍵は見えず、その瞬間に短時間のリアルタイム競争が発生する。正直なユーザーは早く取引を確定させ、攻撃者はその前に秘密鍵を計算しようと試みる。
真に脆弱なのは、公開鍵がすでに露出しているコインだ。例えば、過去のP2PK出力やアドレスの再利用、Taprootアドレス(公開鍵が直接露出)を持つ資産だ。
放置された脆弱コインの解決策は難しい。コミュニティは「期限」を設けて、それまでに移行しなかったコインを破棄とみなすか、未来の量子コンピュータに奪われるのを黙認するかの選択を迫られる。後者は法的・安全上の問題を引き起こす。
また、ビットコインのもう一つの課題は、低い取引スループットだ。移行計画が決まっても、現状の速度ではすべての脆弱資産を移行するには数か月かかる。
結論:ビットコインは今すぐ後量子移行を計画すべきだが、その理由は、量子計算機が2030年前に出現する可能性が低いからではなく、数千億ドルの資産の移行には、ガバナンスや調整、技術的な準備に数年を要するからだ。量子脅威は確かに現実だが、その時間的圧力は、主にビットコインの内部的な制約に由来している。
後量子移行のコストとリスク:なぜ安易に進められないのか
後量子暗号は、主に五つの数学的難題に基づく:ハッシュ、符号、格子、多変数二次方程式、楕円曲線同源。多様な方案が存在するのは、構造が多いほど効率が良くなる一方、攻撃の突破口も増えるため、根本的なトレードオフがある。
ハッシュ系は最も保守的で安全性は高いが、性能は最も劣る。NIST標準のハッシュ署名は7~8KBと大きく、現行の楕円曲線署名の64バイトと比べて約百倍のサイズ差がある。
格子系は、今後の展開の焦点となる。NISTが選定した唯一の後量子暗号方式(ML-KEM)と、二つの署名方式(ML-DSA、Falcon)は格子に基づく。
ML-DSAの署名サイズは約2.4~4.6KBで、現行の署名の40~70倍に相当。
Falconは比較的小さく(0.7~1.3KB)だが、実装は非常に複雑で、一定時間の浮動小数点演算を伴い、サイドチャネル攻撃の成功例もある。創始者の一人は、「これまで実装した中で最も複雑な暗号アルゴリズム」と述べている。
安全性の確保はさらに難しい。格子系署名は、楕円曲線署名よりも多くの中間値や拒否サンプリングの複雑さを伴い、サイドチャネルや故障注入に対する防御も強化が必要だ。
歴史的教訓も忘れてはならない。NISTの標準化過程で候補だったRainbow(多変数符号に基づく署名)やSIKE/SIDH(同源暗号)は、いずれも古典的コンピュータによる攻撃で破られている。過早な標準化や導入のリスクを示している。
インターネットの基盤は、署名の移行に慎重な態度を取っている。これは、暗号の移行自体が長期にわたる作業だからだ。MD5やSHA-1の移行には何年もかかり、今なお完全には終わっていない。
今すぐやるべき提言
以上の現実を踏まえ、次の原則を守るべきだ。**量子脅威を真剣に受け止めるが、2030年前に危険期のコンピュータが出現するとの前提は誤りであると考える。現状の技術進展はその可能性を支持しない。**しかし、いくつかの対策は今すぐにでも行うべきだ。
01. 混合暗号の即時導入
長期的な秘密保持が必要な場面では、すぐにポスト量子ハイブリッド暗号を導入すべきだ。多くのブラウザ、CDN、通信アプリ(iMessage、Signalなど)がすでに導入を始めている。ハイブリッド方式は、ポスト量子と従来方式を併用し、HNDL攻撃を防ぎつつ、ポスト量子方式の未成熟な部分を補完できる。
02. 容認範囲のハッシュ署名の採用
ソフトウェアやファームウェアの更新など、サイズや頻度に制約のある場面では、今すぐハッシュ署名のハイブリッドを採用できる。これは、量子計算機の登場を待たずに、最低限の安全策となる。
03. ブロックチェーンの早期計画
ブロックチェーンは急ぎでポスト量子署名に切り替える必要はないが、早期に計画を始めるべきだ。ネットワークPKIのコミュニティの慎重な姿勢を模範とし、成熟した方案を目指す。
04. 移行経路の明確化
ビットコインなどのパブリックチェーンは、明確な後量子移行計画を策定し、「眠った」脆弱資産の扱いも定める必要がある。特にビットコインは、今すぐにでも計画を始めるべきだ。理由は技術的な問題ではなく、ガバナンスと社会的調整の難しさにある。
05. 研究の成熟に時間を
ポスト量子SNARKやアグリゲーション署名の研究には、数年の成熟期間を見込むべきだ。早すぎる決定は、次善の方案に固執するリスクを伴う。
06. アカウント設計の示唆
イーサリアムなどのプラットフォームでは、アップグレード可能なスマートコントラクトウォレットが、よりスムーズな移行を可能にする。アカウント抽象化(アカウントのアイデンティティと署名方式の分離)は、後量子移行だけでなく、資金のスポンサーやソーシャルリカバリーなど、多様な機能を支援できる。
07. プライバシーコインの優先移行
プライバシーコインは、秘密情報の暗号化や隠蔽により、HNDL攻撃のリスクにさらされている。これらは早急に後量子原語やハイブリッド方式に移行すべきだ。
08. 短期的優先順位:安全性の確保>量子脅威
今後数年は、脆弱性やサイドチャネル攻撃のリスクが、量子計算機の脅威よりも高い。監査、テスト、形式検証、深層防御に投資し、量子不安に惑わされず、より差し迫った安全リスクに対応すべきだ。
09. 研究開発への継続資金投入
国家安全保障の観点から、資金を投入し人材育成を続ける必要がある。主要な競合国が暗号関連の量子計算能力を先行獲得すれば、深刻なリスクとなる。
10. 理性的な情報評価
今後も多くのマイルストーンが報告されるだろうが、それらはむしろ我々が本当の脅威からどれだけ遠いかを示す証拠だと理解すべきだ。ニュースは鵜呑みにせず、批判的に評価し、焦る必要のない進展と捉える。
終わりに:危険期到来前のバランスの取り方
技術の進展は加速も遅延もあり得る。私たちは、五年以内に絶対に不可能だと断言しないが、その可能性は非常に低いと考えている。公開された技術進展のデータに基づけば、そう判断できる。
上記の原則に従えば、より直接的で現実的なリスク—脆弱性の悪用や急ぎの導入、暗号移行の失敗—を回避できる。これらの問題は遠い未来に起こるのではなく、危険期のコンピュータが我々を脅かす前の、今後数年間にすでに潜在的に危険をもたらす可能性がある。