量子リスクは「予見可能で管理可能」
暗号資産(仮想通貨)運用大手のコインシェアーズ(CoinShares)が、量子コンピュータが将来的にビットコインの暗号基盤へ与える影響について分析したレポートを2月6日に公開した。レポートでは、量子技術が理論上もたらすリスクを認めつつも、「実用的な脅威は依然として遠く、工学的な課題として十分に対処可能」との見解を示している。
ビットコインは、取引の正当性を保証するために楕円曲線暗号(ECDSA/Schnorr)と、SHA-256などのハッシュ関数を基盤としている。量子計算の分野では、「ショアのアルゴリズム」が楕円曲線暗号を破る可能性、「グローバーのアルゴリズム」がハッシュ関数の安全性を理論上低下させる可能性が指摘されてきた。
しかし今回のレポートでコインシェアーズは、「量子コンピュータが暗号技術全体を破壊する」という見方は誤解だと指摘。SHA-256は量子計算下でも実質的に安全性が保たれ、ビットコインの2100万枚の発行上限やプルーフ・オブ・ワーク(PoW)の仕組みが量子計算によって無効化されることはないとしている。
量子計算による影響が現実的に及ぶ可能性があるのは、公開鍵が直接ブロックチェーン上に露出しているレガシー方式の公開鍵宛払いである「P2PK(Pay-to-Public-Key)」形式のアドレスに限られるとコインシェアーズは指摘。これらは全供給量の約8%にあたる約160万BTCを保有しているが、市場に影響を与え得る規模で短期間に流出する可能性があるのは約1万200BTC程度にすぎないという。
残りのBTCは、約3万2,607のUTXO(未使用のトランザクションアウトプット:残高を管理する仕組み)に分散しており、たとえ量子技術が大きく進展したとしても、奪取には数千年規模を要すると分析している。
一方、現在主流のP2PKHやP2SHといったアドレス形式では、公開鍵は支払い時までハッシュで隠蔽されており、量子計算に対しても十分な耐性を維持しているとした。市場で語られる「ビットコインの25%が量子脆弱性を抱える」といった主張についても、一時的かつ運用上で回避可能なリスクを過大評価しているとして、否定的な見解を示している。
レポートでは、量子コンピュータが現実的な脅威となるまでの時間軸についても言及された。現在の技術水準では、ビットコインの暗号鍵を1年未満の実用的な時間内に破るためには、現在の量子コンピュータと比べて10〜10万倍規模の論理量子ビットが必要とされる。また1時間以内に解読するには、現状比で約300万倍の性能が求められるという。
専門家の試算では、公開鍵を1日以内に解読するには約1,300万個の物理量子ビットが必要とされる。一例として、グーグル(Google)の量子コンピュータ「ウィロウ(Willow)」は105量子ビット規模にとどまっており、現実との差は依然として大きい。
コインシェアーズは、暗号的に意味のある量子コンピュータが登場するのは2030年代以降、あるいは10〜20年以上先になる可能性が高いとしている。
量子リスクへの対応策としては、量子耐性暗号への移行を目的としたソフトフォークなどが議論されているが、コインシェアーズは時期尚早な強硬策には懸念を示している。未検証の暗号方式を導入することで、深刻なバグやビットコインの中立性、不可逆性、分散性を損なう恐れがあると指摘した。
特に、量子脆弱とされる古いコインをバーン(焼却)するようなハードフォーク案については、「所有権の侵害や信頼の毀損につながりかねない」として否定的な立場を取っている。
一方で、将来的な対応自体は十分に可能だとし、「ビットコインはポスト量子署名を導入できる柔軟性を持つ」と説明。既存のアップグレードやBIP(ビットコイン改善提案)を通じて、利用者が自主的に安全なアドレスへ移行する余地があるとした。
コインシェアーズは、機関投資家にとって重要なのは「量子脅威が管理可能で、時間的猶予が十分にある」という点だと結論付けた。量子コンピュータはビットコインにとって即時の危機ではなく、予見可能な技術課題にすぎないとし、誇張されたリスク論ではなく、ビットコインの基礎的な設計と進化可能性に基づいて評価すべきだとしている。
参考:発表
画像:PIXTA