ソニックがポスト量子対応を公開
レイヤー1ブロックチェーン「ソニック(Sonic)」の研究部門であるソニックリサーチ(Sonic Research)が、ポスト量子耐性に関する設計方針を4月20日に公式ブログで公表した。
この発表は、将来的に量子コンピュータが楕円曲線暗号を破る可能性を前提に、ブロックチェーンのコンセンサス設計がポスト量子対応に与える影響を整理したものだ。
ソニックリサーチによると、現在のブロックチェーンで利用されている楕円曲線署名は、公開鍵から秘密鍵を逆算することが極めて困難であることを前提に安全性が保たれているという。一方で、量子コンピュータが実用化された場合、この前提が崩れ、公開鍵から秘密鍵が導出されることで署名の偽造が可能になるとされている。
こうした前提のもと、同社はハッシュベース署名(XMSS、SPHINCS+)や格子ベース署名(Dilithium、Falcon)といったポスト量子署名方式への移行が必要になると説明している。
同社は、ポスト量子対応においては、単に暗号方式を置き換えるだけではなく、既存のコンセンサス設計や通信構造を維持したまま移行できるかが課題になるとの認識を示している。特に、BLS署名の集約などを前提とした設計では、量子耐性を持つ署名方式への移行により、証明サイズや検証コスト、ネットワーク帯域が大幅に増加する可能性があり、単純な置き換えでは対応できない場合があると同社は指摘している。
一方で同社は、こうした要件を満たす移行は容易ではないと指摘している。
特に、ディエム(Diem)で採用されていたホットスタッフ(HotStuff)や、コスモス(Cosmos)で採用されているテンダーミント(Tendermint)などのBFTベースのリーダー型コンセンサスについて、同社はこれらのプロトコルを例に、一般に署名の集約やしきい値証明に依存する設計が採用される場合があると説明している。
また、スイ(Sui)で採用されるホットスタッフベースのナーワル(Narwhal)やブルシャーク(Bullshark)といった認証付きDAG型プロトコルについても、同社は同様に署名の集約や証明の圧縮が用いられる設計の例として挙げている。そのため量子耐性を持つ署名方式への移行においては、証明サイズの増大や検証コストの上昇といった課題が生じる可能性があるとのこと。
同社によると、これらの集約署名はポスト量子環境において同等の仕組みが確立されておらず、代替手段では証明サイズや検証コスト、通信帯域の負担が大幅に増加する可能性があるという。
同社はこの問題を「アグリゲーショントラップ(aggregation trap)」と表現。既存の設計を維持したままポスト量子対応へ移行することは困難であり、場合によってはプロトコル自体の再設計が必要になる可能性があると指摘している。
一方で同社は、自社のコンセンサスプロトコル「ソニックCS(SonicCS)」について、署名の集約やしきい値証明を前提としない設計であることから、ポスト量子環境への移行においては署名方式の置き換えなど比較的限定的な変更で対応可能となる設計上の特性があると説明している。
なおポスト量子対応を巡っては、既存のアドレスや資産状態を維持したまま移行する手法の検討も進められている。スイの主要開発会社ミステンラボ(Mysten Labs)の研究では、量子耐性を持つ新たな署名方式への移行を、ゼロ知識証明などを用いて段階的に行う手法が提案されている。
同研究者らによる論文「EdDSAチェーンにおける量子コンピュータへの対応(Post-Quantum Readiness in EdDSA Chains)」では、異なるアプローチが提案されている。同論文では、楕円曲線デジタル署名の中でも「EdDSA(エドワーズ曲線デジタル署名アルゴリズム)」が採用されているブロックチェーンは、ゼロ知識証明などを用いることで、新たな鍵が既存のアドレスの正当な所有者に紐づくことを証明し、資産移動や鍵の再生成を伴わない移行が可能だと説明されている。
この手法では、従来の署名方式を直接置き換えるのではなく、新たな署名方式による鍵と既存の鍵との対応関係を証明する形で移行を行う。そのため、既存のアドレスや資産状態を維持したまま段階的な移行が可能になるとされている。
また同論文では、長期間利用されていないアカウントなども含めて移行の対象となり得る可能性があることが示唆されているが、成立には秘密情報の保持が前提となる。
このように、ポスト量子対応を巡っては様々なアプローチが検討され研究が進んでいる。
Quantum computers will eventually break the elliptic-curve cryptography most blockchains rely on.
— Sonic (@SonicLabs) April 20, 2026
SonicCS avoids all of that: its minimal cryptographic design means going post-quantum is just a single signature swap. pic.twitter.com/XJpckN5b7g
参考:ソニック・論文「EdDSAチェーンにおける量子コンピュータへの対応」
画像:PIXTA