著者:KarenZ、Foresight News
もしある日、量子コンピュータの性能が十分に向上した場合、ブロックチェーンが最初に直面するのは、より根底にある二つの安全仮定かもしれない:署名は「私は私である」と証明できるのか、そして今日暗号化されたデータは将来解読されることがあるのか。
Circleが最新で発表したポスト量子安全性のロードマップ論文『Circle’s Post-Quantum Security Roadmap』は、まさにこの問題を議論している。その核心的判断は非常に直接的だ:今日広く依存されている楕円曲線暗号(ECDSA、Ed25519、BLSを含む)は、十分に強力な量子コンピュータに遭遇すれば無効になる。さらに厄介なのは、EVMチェーン上では、アカウントが最初に取引をブロードキャストする際に公開鍵が露出することが多いことだ;ビットコインなどのチェーンでは、既に使用済み、再利用された、または特定のスクリプト形式で公開鍵が露出しているアドレスも、同様のリスクゾーンに入る。
論文の著者陣も示しているが、これは単なる一般向けの解説記事ではない。著者には、CircleのチーフソフトウェアエンジニアMira Belenkiy、研究エンジニアDuc V. Le、経済学者Gordon Liao、セキュリティエンジニアVipin Singh Sehrawat、研究エンジニアDragos Rotaru、そしてAxelarネットワークの最初の開発者であり、現在はCircleに属するSergey Gorbunovなど、多くのCircleのエンジニアが名を連ねている。また、スタンフォード大学の応用暗号学の代表的学者Dan Bonehも署名に参加している。
この論文の最も重要な点は、「量子計算が暗号通貨を破壊するかどうか」という恐怖的なナラティブではなく、問題を現実的なエンジニアリングの移行問題に分解していることだ。Circleは、ポスト量子への移行は一度のアップグレードボタンではなく、複数のウォレット、スマートコントラクト、ホスティング、クラウドサービス、バリデーター、規制ルールをまたぐ「長期的な引っ越し」だと考えている。
論文では、ブロックチェーンが量子攻撃に直面するいくつかのリスクを列挙している。
第一はアカウントの偽造リスクだ。アドレスの公開鍵が既に露出している場合、将来の量子攻撃者は秘密鍵を復元し、直接取引を偽造できる。論文は、Project ElevenのBitcoin RisQ Metricsを引用し、既に数百万の残高を持つアドレスが量子リスクにさらされているとし、その中には約1400万のビットコインアドレスも含まれると推定している。
第二は「先に収集し、後で解読」リスクだ。攻撃者は今日暗号化されたデータを保存し、将来の量子コンピュータの成熟を待って解読する。
第三はコンセンサス層のリスクだ。検証者の署名鍵が復元されると、二重署名や検閲、さらには履歴の書き換えにつながる可能性がある。第四はネットワーク層のリスクだ。P2P通信やTLS上のRPCなど、従来の鍵交換に依存する部分もアップグレードが必要だ。
Circleが示すロードマップは、単に署名アルゴリズムを別のものに置き換えるだけではなく、「今準備段階」「ハイブリッド移行」「最終切り替え」の三段階に分かれている。各段階のリスク優先順位は異なる:プライバシーデータは最優先で保護し、アカウントとスマートコントラクトは段階的に移行し、コンセンサスとインフラはエコシステムやハードウェア、標準の成熟に合わせて最終的に切り替える。
攻撃タイプとArcロードマップの対応フェーズ、出典:Circle後量子安全性ロードマップ論文
第一段階は「今準備段階」だ。この段階の目的は、ECDSAを即座に廃止することではなく、開発者とユーザーに移行のための道筋を残すことだ。ArcはメインネットでSLH-DSA-SHA2-128s後量子署名検証をサポートし、スマートアカウントがチェーン上で後量子署名を検証できるようにする。わかりやすく言えば、Arcはスマートコントラクトに新しいロックを認識できる門限システムを装備させるが、短期的にはネイティブな取引署名はECDSAのまま残す。なぜなら、後量子署名はサイズが大きく、検証も遅いため、スループットやユーザー体験に影響を与えるからだ。
同時に、ArcはX-Wing HPKEを用いた暗号化取引メモをサポートし、プライバシー実行環境を通じて取引内容、コントラクト状態、実行の痕跡を保護する。この部分を先に進めるのは、「今日記録され、未来に解読される」プライバシーリスクは不可逆だからだ。署名は後からアップグレードできるが、既に漏洩したデータは秘密に戻せない。
アカウント層では、Circleは複数の移行ツールも提案している。例えば、EIP-4337のアカウント抽象化により、スマートアカウントの検証後に後量子署名を行う、ハッシュ・アンド・ローテーション方式でチェーン上に公開鍵ハッシュだけを保存し、公開鍵の露出期間を短縮する、または後量子公開鍵登録表を作成し、事前にアドレスと後量子公開鍵をバインドしておく、といったものだ。これらの設計の共通目的は、ユーザーが基盤となるプロトコルの完全な改修を待たずに、アカウントの移行準備を進められるようにすることだ。
第二段階は「ハイブリッド移行フェーズ」だ。最も現実的でありながら最も複雑な段階だ。USDCのスマートコントラクトは一定期間、従来の署名と後量子署名の両方をサポートし、エコシステムの準備が整ったら、事前に予約された仕組みで従来の署名を停止する。Circleはまた、コールドストレージの資金をマルチシグのスマートコントラクトに移行し、異なるチェーンや異なる後量子署名アルゴリズムに対応できるように計画している。USDCのスマートコントラクトは30以上のチェーンに展開されているため、単一チェーンのアップグレード問題だけでなく、多チェーンエコシステム各々がアルゴリズムを選択し、スケジュールを設定することで生じる断片化の問題もある。
論文は特にecrecoverの難しさを強調している。多くのEVMコントラクトはecrecoverを用いてECDSA署名を検証しているが、これらのコントラクトの多くは既にアップグレードできなくなっている。ecrecoverを単純に無効化すると、多くの既存アプリケーションに支障をきたす。一方、継続して動作させると、量子による偽造リスクが残る。Circleは、将来的に有望な方案として、ハードフォークを通じてプロトコル層でecrecoverの挙動を変更し、旧ABIを維持しつつ後量子署名をサポートすることを提案している。この方案は、単に新しいコントラクトだけを対象とするのではなく、すでに展開済みで修正が難しい古いコントラクトに対しても移行の道筋を残す意味が大きい。
移行段階には、より低レベルのインフラ更新も含まれる。Circleは内部の暗号学スタックを棚卸し、クラウドサービス、HSM、KMS、TEE、libp2p、TLSなどの依存関係が後量子対応できるか評価し、適切な順序で鍵のローテーションを行う必要がある。特に、鍵Aが鍵Bを保護し、鍵Bが鍵Cを保護している場合、Aを先にローテーションし、次にB、最後にCを行わなければならない。順序を誤ると、過去に傍受された暗号資料が将来露出するリスクがある。
第三段階は「最終切り替え」だ。エコシステム、規制、ハードウェアウォレット、クラウドサービス、ブロックチェーンインフラが整った段階で、Circleは本格的なハードカットを実行する。ArcやUSDCのスマートコントラクトはECDSA署名を拒否し、検証者署名も後量子方式に移行する可能性が高い。もしUSDCを扱う一部のチェーンが長期的に十分な後量子安全性を確保できない場合、Circleは一部コントラクトの機能停止やサポート撤回も検討し、ユーザー資産を量子偽造リスクから守る。
しかし、最終的な切り替えは最も厄介な問題をもたらす。未移行のアカウントの資産はどうなるのか。Circleの立場は、セキュリティ上の理由から不安全なアカウントを凍結するのは盗難防止のためであり、自動的に資産を没収することではない。言い換えれば、「旧署名の制御権停止」と「資産の所有者の経済的権利否認」は分けて扱う必要がある。したがって、論文ではアカウントの復旧を非常に重要な課題として位置付けている。具体的には、Arcへの移行、助記詞やゼロ知識証明による復旧、TEEを用いた証明、または限定的な状況下でのチェーン外の法的文書、托管者の証明、取引所の証明、遺産の証明を通じた復旧などだ。
これに伴い、論文では非常に重要な政策問題も浮上する。量子時代に突入した後、従来の署名だけでは所有権を証明できなくなるため、KYCも匿名アドレスの所有者を証明できなくなる可能性がある。Circleは、規制当局に対して事前に明確な指針を求めている。移行期限前にどのように通知し、どの証拠が資産の帰属を証明できるのか、資産の凍結期間はどれくらいか、遺産や制裁、マネーロンダリング対策、裁判所命令などのルールはどう適用されるのか。論文は、業界にはこれらのルールを策定するための5年から10年の猶予があると見ている。
この論文にはもう一つ、冷静な判断も含まれている。それは、あまりに早く移行しすぎると、かえってリスクを高める可能性があるということだ。例えば、企業がHSMで秘密鍵を保護している場合、後量子署名に追いつくために急いで秘密鍵を一般的なCPUにエクスポートし、署名させると、従来のハッカー攻撃に対してより脆弱になる。Circleの立場は、後量子への移行は早めに準備すべきだが、「安全に見せかける」ために現在の安全性を犠牲にしてはいけないということだ。
平易に言えば、Circleは「量子コンピュータが明日ブロックチェーンを破る」とは言っていない。むしろ、「金融インフラは、ドアロックが効かなくなる前に鍵を交換し始める必要がある」と述べている。特にUSDCのように30以上のチェーンで運用されるステーブルコインにとって、真の難しさは新しいアルゴリズムを選ぶことだけではなく、ウォレット、コントラクト、ホスティング、検証者、クラウドサービス、規制、ユーザーが一緒になって移行を完了させることにある。
量子攻撃はまだ本格的に実現していないが、その移行コストはすでに目の前にある。
1.2M 人気度
1.51M 人気度
51.23K 人気度
173.58K 人気度
9.4M 人気度
Circle後量子ロードマップ:どうやって「量子突破」に備えてロックを事前に交換するか?
著者:KarenZ、Foresight News
もしある日、量子コンピュータの性能が十分に向上した場合、ブロックチェーンが最初に直面するのは、より根底にある二つの安全仮定かもしれない:署名は「私は私である」と証明できるのか、そして今日暗号化されたデータは将来解読されることがあるのか。
Circleが最新で発表したポスト量子安全性のロードマップ論文『Circle’s Post-Quantum Security Roadmap』は、まさにこの問題を議論している。その核心的判断は非常に直接的だ:今日広く依存されている楕円曲線暗号(ECDSA、Ed25519、BLSを含む)は、十分に強力な量子コンピュータに遭遇すれば無効になる。さらに厄介なのは、EVMチェーン上では、アカウントが最初に取引をブロードキャストする際に公開鍵が露出することが多いことだ;ビットコインなどのチェーンでは、既に使用済み、再利用された、または特定のスクリプト形式で公開鍵が露出しているアドレスも、同様のリスクゾーンに入る。
論文の著者陣も示しているが、これは単なる一般向けの解説記事ではない。著者には、CircleのチーフソフトウェアエンジニアMira Belenkiy、研究エンジニアDuc V. Le、経済学者Gordon Liao、セキュリティエンジニアVipin Singh Sehrawat、研究エンジニアDragos Rotaru、そしてAxelarネットワークの最初の開発者であり、現在はCircleに属するSergey Gorbunovなど、多くのCircleのエンジニアが名を連ねている。また、スタンフォード大学の応用暗号学の代表的学者Dan Bonehも署名に参加している。
この論文の最も重要な点は、「量子計算が暗号通貨を破壊するかどうか」という恐怖的なナラティブではなく、問題を現実的なエンジニアリングの移行問題に分解していることだ。Circleは、ポスト量子への移行は一度のアップグレードボタンではなく、複数のウォレット、スマートコントラクト、ホスティング、クラウドサービス、バリデーター、規制ルールをまたぐ「長期的な引っ越し」だと考えている。
論文では、ブロックチェーンが量子攻撃に直面するいくつかのリスクを列挙している。
第一はアカウントの偽造リスクだ。アドレスの公開鍵が既に露出している場合、将来の量子攻撃者は秘密鍵を復元し、直接取引を偽造できる。論文は、Project ElevenのBitcoin RisQ Metricsを引用し、既に数百万の残高を持つアドレスが量子リスクにさらされているとし、その中には約1400万のビットコインアドレスも含まれると推定している。
第二は「先に収集し、後で解読」リスクだ。攻撃者は今日暗号化されたデータを保存し、将来の量子コンピュータの成熟を待って解読する。
第三はコンセンサス層のリスクだ。検証者の署名鍵が復元されると、二重署名や検閲、さらには履歴の書き換えにつながる可能性がある。第四はネットワーク層のリスクだ。P2P通信やTLS上のRPCなど、従来の鍵交換に依存する部分もアップグレードが必要だ。
Circleの三段階移行ロードマップ
Circleが示すロードマップは、単に署名アルゴリズムを別のものに置き換えるだけではなく、「今準備段階」「ハイブリッド移行」「最終切り替え」の三段階に分かれている。各段階のリスク優先順位は異なる:プライバシーデータは最優先で保護し、アカウントとスマートコントラクトは段階的に移行し、コンセンサスとインフラはエコシステムやハードウェア、標準の成熟に合わせて最終的に切り替える。
攻撃タイプとArcロードマップの対応フェーズ、出典:Circle後量子安全性ロードマップ論文
第一段階は「今準備段階」だ。この段階の目的は、ECDSAを即座に廃止することではなく、開発者とユーザーに移行のための道筋を残すことだ。ArcはメインネットでSLH-DSA-SHA2-128s後量子署名検証をサポートし、スマートアカウントがチェーン上で後量子署名を検証できるようにする。わかりやすく言えば、Arcはスマートコントラクトに新しいロックを認識できる門限システムを装備させるが、短期的にはネイティブな取引署名はECDSAのまま残す。なぜなら、後量子署名はサイズが大きく、検証も遅いため、スループットやユーザー体験に影響を与えるからだ。
同時に、ArcはX-Wing HPKEを用いた暗号化取引メモをサポートし、プライバシー実行環境を通じて取引内容、コントラクト状態、実行の痕跡を保護する。この部分を先に進めるのは、「今日記録され、未来に解読される」プライバシーリスクは不可逆だからだ。署名は後からアップグレードできるが、既に漏洩したデータは秘密に戻せない。
アカウント層では、Circleは複数の移行ツールも提案している。例えば、EIP-4337のアカウント抽象化により、スマートアカウントの検証後に後量子署名を行う、ハッシュ・アンド・ローテーション方式でチェーン上に公開鍵ハッシュだけを保存し、公開鍵の露出期間を短縮する、または後量子公開鍵登録表を作成し、事前にアドレスと後量子公開鍵をバインドしておく、といったものだ。これらの設計の共通目的は、ユーザーが基盤となるプロトコルの完全な改修を待たずに、アカウントの移行準備を進められるようにすることだ。
第二段階は「ハイブリッド移行フェーズ」だ。最も現実的でありながら最も複雑な段階だ。USDCのスマートコントラクトは一定期間、従来の署名と後量子署名の両方をサポートし、エコシステムの準備が整ったら、事前に予約された仕組みで従来の署名を停止する。Circleはまた、コールドストレージの資金をマルチシグのスマートコントラクトに移行し、異なるチェーンや異なる後量子署名アルゴリズムに対応できるように計画している。USDCのスマートコントラクトは30以上のチェーンに展開されているため、単一チェーンのアップグレード問題だけでなく、多チェーンエコシステム各々がアルゴリズムを選択し、スケジュールを設定することで生じる断片化の問題もある。
論文は特にecrecoverの難しさを強調している。多くのEVMコントラクトはecrecoverを用いてECDSA署名を検証しているが、これらのコントラクトの多くは既にアップグレードできなくなっている。ecrecoverを単純に無効化すると、多くの既存アプリケーションに支障をきたす。一方、継続して動作させると、量子による偽造リスクが残る。Circleは、将来的に有望な方案として、ハードフォークを通じてプロトコル層でecrecoverの挙動を変更し、旧ABIを維持しつつ後量子署名をサポートすることを提案している。この方案は、単に新しいコントラクトだけを対象とするのではなく、すでに展開済みで修正が難しい古いコントラクトに対しても移行の道筋を残す意味が大きい。
移行段階には、より低レベルのインフラ更新も含まれる。Circleは内部の暗号学スタックを棚卸し、クラウドサービス、HSM、KMS、TEE、libp2p、TLSなどの依存関係が後量子対応できるか評価し、適切な順序で鍵のローテーションを行う必要がある。特に、鍵Aが鍵Bを保護し、鍵Bが鍵Cを保護している場合、Aを先にローテーションし、次にB、最後にCを行わなければならない。順序を誤ると、過去に傍受された暗号資料が将来露出するリスクがある。
第三段階は「最終切り替え」だ。エコシステム、規制、ハードウェアウォレット、クラウドサービス、ブロックチェーンインフラが整った段階で、Circleは本格的なハードカットを実行する。ArcやUSDCのスマートコントラクトはECDSA署名を拒否し、検証者署名も後量子方式に移行する可能性が高い。もしUSDCを扱う一部のチェーンが長期的に十分な後量子安全性を確保できない場合、Circleは一部コントラクトの機能停止やサポート撤回も検討し、ユーザー資産を量子偽造リスクから守る。
旧アカウントはどうなるか、これが最も難しい問題だ
しかし、最終的な切り替えは最も厄介な問題をもたらす。未移行のアカウントの資産はどうなるのか。Circleの立場は、セキュリティ上の理由から不安全なアカウントを凍結するのは盗難防止のためであり、自動的に資産を没収することではない。言い換えれば、「旧署名の制御権停止」と「資産の所有者の経済的権利否認」は分けて扱う必要がある。したがって、論文ではアカウントの復旧を非常に重要な課題として位置付けている。具体的には、Arcへの移行、助記詞やゼロ知識証明による復旧、TEEを用いた証明、または限定的な状況下でのチェーン外の法的文書、托管者の証明、取引所の証明、遺産の証明を通じた復旧などだ。
これに伴い、論文では非常に重要な政策問題も浮上する。量子時代に突入した後、従来の署名だけでは所有権を証明できなくなるため、KYCも匿名アドレスの所有者を証明できなくなる可能性がある。Circleは、規制当局に対して事前に明確な指針を求めている。移行期限前にどのように通知し、どの証拠が資産の帰属を証明できるのか、資産の凍結期間はどれくらいか、遺産や制裁、マネーロンダリング対策、裁判所命令などのルールはどう適用されるのか。論文は、業界にはこれらのルールを策定するための5年から10年の猶予があると見ている。
この論文にはもう一つ、冷静な判断も含まれている。それは、あまりに早く移行しすぎると、かえってリスクを高める可能性があるということだ。例えば、企業がHSMで秘密鍵を保護している場合、後量子署名に追いつくために急いで秘密鍵を一般的なCPUにエクスポートし、署名させると、従来のハッカー攻撃に対してより脆弱になる。Circleの立場は、後量子への移行は早めに準備すべきだが、「安全に見せかける」ために現在の安全性を犠牲にしてはいけないということだ。
平易に言えば、Circleは「量子コンピュータが明日ブロックチェーンを破る」とは言っていない。むしろ、「金融インフラは、ドアロックが効かなくなる前に鍵を交換し始める必要がある」と述べている。特にUSDCのように30以上のチェーンで運用されるステーブルコインにとって、真の難しさは新しいアルゴリズムを選ぶことだけではなく、ウォレット、コントラクト、ホスティング、検証者、クラウドサービス、規制、ユーザーが一緒になって移行を完了させることにある。
量子攻撃はまだ本格的に実現していないが、その移行コストはすでに目の前にある。