長年にわたり、業界は恐ろしい響きのフレーズを繰り返してきました:「量子コンピュータはビットコインを破るだろう」。しかし、この物語には根本的な用語の誤りがあります。真実はもっと微妙でありながらも、見た目ほど扱いにくいものではありません。## 大きな誤解:ビットコインは暗号化を使わない、デジタル署名を使うここで重要なのは、多くの人が忘れているポイントです:ビットコインは情報を暗号化によって隠しているわけではありません。ブロックチェーンは完全に公開された会計帳簿です。誰でも各取引、各金額、各アドレスを見ることができます。何も暗号化されていません。ビットコインが保護しているのは、「コインを使う能力」であり、それは主にデジタル署名(ECDSAやSchnorr)、ハッシュに基づくコミットメントによって実現されています。公開鍵がブロックチェーン上に露出した場合、十分に強力な量子コンピュータはShorのアルゴリズムを使って対応する秘密鍵を導き出すことが可能です。真のセキュリティのボトルネックは暗号化ではなく、公開鍵の露出です。## 実際のリスクが存在する場所:可視の公開鍵使用するアドレスの形式によって、公開鍵が露出するタイミングは異なります。- **ハッシュを用いたアドレス (P2PKH、P2WPKH)**:公開鍵はハッシュの背後に隠されており、資金を使うまで露出しません。露出の窓は小さいです。- **Pay-to-pubkeyやTaproot (P2TR)**:公開鍵をスクリプトに直接含めています。特にアドレスを再利用する場合、露出の窓は大きくなります。- **アドレスの再利用**:一時的な露出を、仮想的な攻撃者にとって永続的なターゲットに変えてしまいます。Project Elevenは、この脆弱性をマッピングするオープンソースのプロジェクトであり、約**6.7百万BTC**が量子露出の基準を満たしていると推定しています。これは、公開鍵がすでにブロックチェーン上で見えるUTXOを意味します。## 量子コストの計算:論理量子ビットから物理量子ビットへシステムを実際に破るには、次の条件が必要です。**2,330論理量子ビット**が、Roettelerら(による256ビット楕円曲線の離散対数計算の上限です。しかし、それを実用的なフォールトトレラントなマシンに変換するには、大規模な誤り訂正が必要です。- **10分シナリオ**:約6.9百万の物理量子ビット )Litinski, 2023(- **1日シナリオ**:約13百万の物理量子ビット- **1時間シナリオ**:約317百万の物理量子ビットこれらの数字は理論的なものではなく、現実的な量子アーキテクチャに基づく推定です。IBMは最近の企業ロードマップで、2029年頃にフォールトトレラントシステムの実現を目指していると述べています。ロイターも、量子誤り訂正の進展に関する声明を報じています。## リスクは今日測定可能だが、差し迫っていない重要なのは、Shorを実行できる能力を持つ量子コンピュータは現時点では存在しませんが、Project Elevenは**毎週自動スキャンを行い**、どのUTXOが脆弱かを追跡しています。これらのデータは公開され、アクセス可能です。つまり、リスクは推測の域を出ません。今すぐに定量化できます。- どの割合の供給が公開鍵を露出しているか- それらの具体的なアドレスは何か- それらの資金は最後にいつ動かされたかTaproot )BIP 341(は、公開鍵を直接出力に含めることで露出パターンを変更しました。これは新たな脆弱性を生むものではありませんが、鍵の回復が可能になった場合に何が露出するかを示しています。## 理論的露出から実用的移行へ今後の道筋は、突発的な技術戦争ではなく、**署名の移行とユーザーの行動変化**の問題です。NISTはすでにポスト量子暗号の標準化を進めており)ML-KEM、FIPS 203(、広範なインフラ向けの規格を策定しています。ビットコイン内では、BIP 360が「Pay to Quantum Resistant Hash」タイプの出力を提案しています。また、古い署名方式の廃止や、耐量子フォーマットへの移行を促す圧力もあります。実践的なアプローチは次の通りです:- ウォレット設計)アドレスの再利用を避ける(- 帯域幅と手数料)ポスト量子署名は数キロバイトになるため(- コミュニティの協調による新しい支出ルートの採用## 重要な結論「量子コンピュータはビットコインの暗号を破る」これは用語とメカニズムの両面で誤りです。開発者が注視すべきは、どれだけのUTXOが公開鍵を露出しているか、その露出に対してウォレットがどう対応しているか、そしてネットワークがどれだけ迅速に耐量子ルートに移行できるかです。これらは検討可能な時間軸と、今日計算できるレバレッジを持つ課題です。
量子の脅威はビットコインにとって署名のボトルネックにあり、存在しない暗号化にはありません
長年にわたり、業界は恐ろしい響きのフレーズを繰り返してきました:「量子コンピュータはビットコインを破るだろう」。しかし、この物語には根本的な用語の誤りがあります。真実はもっと微妙でありながらも、見た目ほど扱いにくいものではありません。
大きな誤解:ビットコインは暗号化を使わない、デジタル署名を使う
ここで重要なのは、多くの人が忘れているポイントです:ビットコインは情報を暗号化によって隠しているわけではありません。ブロックチェーンは完全に公開された会計帳簿です。誰でも各取引、各金額、各アドレスを見ることができます。何も暗号化されていません。
ビットコインが保護しているのは、「コインを使う能力」であり、それは主にデジタル署名(ECDSAやSchnorr)、ハッシュに基づくコミットメントによって実現されています。公開鍵がブロックチェーン上に露出した場合、十分に強力な量子コンピュータはShorのアルゴリズムを使って対応する秘密鍵を導き出すことが可能です。
真のセキュリティのボトルネックは暗号化ではなく、公開鍵の露出です。
実際のリスクが存在する場所:可視の公開鍵
使用するアドレスの形式によって、公開鍵が露出するタイミングは異なります。
Project Elevenは、この脆弱性をマッピングするオープンソースのプロジェクトであり、約6.7百万BTCが量子露出の基準を満たしていると推定しています。これは、公開鍵がすでにブロックチェーン上で見えるUTXOを意味します。
量子コストの計算:論理量子ビットから物理量子ビットへ
システムを実際に破るには、次の条件が必要です。
2,330論理量子ビットが、Roettelerら(による256ビット楕円曲線の離散対数計算の上限です。
しかし、それを実用的なフォールトトレラントなマシンに変換するには、大規模な誤り訂正が必要です。
これらの数字は理論的なものではなく、現実的な量子アーキテクチャに基づく推定です。IBMは最近の企業ロードマップで、2029年頃にフォールトトレラントシステムの実現を目指していると述べています。ロイターも、量子誤り訂正の進展に関する声明を報じています。
リスクは今日測定可能だが、差し迫っていない
重要なのは、Shorを実行できる能力を持つ量子コンピュータは現時点では存在しませんが、Project Elevenは毎週自動スキャンを行い、どのUTXOが脆弱かを追跡しています。これらのデータは公開され、アクセス可能です。
つまり、リスクは推測の域を出ません。今すぐに定量化できます。
Taproot )BIP 341(は、公開鍵を直接出力に含めることで露出パターンを変更しました。これは新たな脆弱性を生むものではありませんが、鍵の回復が可能になった場合に何が露出するかを示しています。
理論的露出から実用的移行へ
今後の道筋は、突発的な技術戦争ではなく、署名の移行とユーザーの行動変化の問題です。
NISTはすでにポスト量子暗号の標準化を進めており)ML-KEM、FIPS 203(、広範なインフラ向けの規格を策定しています。ビットコイン内では、BIP 360が「Pay to Quantum Resistant Hash」タイプの出力を提案しています。また、古い署名方式の廃止や、耐量子フォーマットへの移行を促す圧力もあります。
実践的なアプローチは次の通りです:
重要な結論
「量子コンピュータはビットコインの暗号を破る」これは用語とメカニズムの両面で誤りです。開発者が注視すべきは、どれだけのUTXOが公開鍵を露出しているか、その露出に対してウォレットがどう対応しているか、そしてネットワークがどれだけ迅速に耐量子ルートに移行できるかです。これらは検討可能な時間軸と、今日計算できるレバレッジを持つ課題です。