世界最大のブロックチェーンの量子耐性化を目指す主要な取り組み

ビットコインブロックチェーンを破壊できる量子コンピュータは現在存在していません。しかし、開発者たちはすでに潜在的な脅威に対する防御を構築するための一連のアップグレードを検討しており、それは正しい判断です。なぜなら、この脅威はもはや仮説ではないからです。

今週、Googleは十分に強力な量子コンピュータがビットコインのコア暗号化を9分未満で破る可能性があるという研究を発表しました。これはビットコインの平均ブロック決済時間より1分速いです。一部のアナリストは、このような脅威が2029年までに現実になる可能性があると考えています。

リスクは高いです:約650万ビットコインのトークンが、数千億ドル相当で、量子コンピュータが直接標的にできるアドレスに保管されています。これらのコインの一部は、ビットコインの匿名の創設者であるサトシ・ナカモトのものです。さらに、潜在的な侵害はビットコインの核心的な信条である「コードを信頼する」と「健全なお金」を損なう可能性があります。

以下は、この脅威の概要と、それを軽減するために検討されている提案です。

量子マシンがビットコインを攻撃する2つの方法

提案について議論する前に、まず脆弱性を理解しましょう。

ビットコインのセキュリティは一方向の数学的関係に基づいて構築されています。ウォレットを作成すると、秘密鍵とシークレット番号が生成され、そこから公開鍵が導出されます。

ビットコイントークンを使用するには、秘密鍵の所有権を証明する必要がありますが、それを明らかにするのではなく、ネットワークが検証できる暗号署名を生成するために使用します。

このシステムは完璧です。なぜなら、現代のコンピュータが楕円曲線暗号化、特に楕円曲線デジタル署名アルゴリズム(ECDSA)を破って公開鍵から秘密鍵をリバースエンジニアリングするには数十億年かかるからです。したがって、ブロックチェーンは計算上侵害が不可能であると言われています。

しかし、将来の量子コンピュータは、公開鍵から秘密鍵を導出し、コインを流出させることで、この一方通行を双方向に変えることができます。

公開鍵は2つの方法で露出されます:オンチェーンで待機しているコイン(長期露出攻撃)、または動いているコインやメモリプールで待機している取引(短期露出攻撃)です。

Pay-to-public key(P2PK)アドレス(サトシと初期マイナーが使用)およびTaproot(P2TR)、2021年に有効化された現在のアドレス形式は、長期露出攻撃に対して脆弱です。これらのアドレスのコインは、公開鍵を明らかにするために移動する必要はありません。露出はすでに起こっており、将来の量子攻撃者を含む地球上の誰もが読み取ることができます。約170万BTCが古いP2PKアドレスに保管されています。サトシのコインを含みます。

短期露出はメモリプール、つまり未確認取引の待合室に関連しています。取引がブロックに含まれるのを待っている間、あなたの公開鍵と署名はネットワーク全体に表示されます。

量子コンピュータはそのデータにアクセスできますが、取引が確認され追加のブロックの下に埋もれる前に、対応する秘密鍵を導出して行動を起こすための短い時間しかありません。

イニシアチブ

BIP 360:公開鍵の削除

前述のように、今日Taprootを使用して作成されたすべての新しいビットコインアドレスは、公開鍵をオンチェーンに永続的に露出させ、将来の量子コンピュータに決して消えない標的を与えます。

ビットコイン改善提案(BIP)360は、Pay-to-Merkle-Root(P2MR)と呼ばれる新しい出力タイプを導入することで、オンチェーンに永続的に埋め込まれ、誰もが見ることができる公開鍵を削除します。

量子コンピュータが公開鍵を研究し、秘密鍵の正確な形状をリバースエンジニアリングし、動作するコピーを偽造することを思い出してください。公開鍵を削除すれば、攻撃は作業する材料がなくなります。一方、ライトニングネットワーク決済、マルチシグネチャ設定、その他のビットコイン機能を含むすべてのものは変わりません。

ただし、実装された場合、この提案は今後の新しいコインのみを保護します。すでに古い露出されたアドレスに保管されている170万BTCは別の問題であり、以下の他の提案で対処されます。

SPHINCS+ / SLH-DSA:ハッシュベースのポスト量子署名

SPHINCS+は、ハッシュ関数に基づいて構築されたポスト量子署名スキームであり、ビットコインが使用する楕円曲線暗号化が直面する量子リスクを回避します。ShorのアルゴリズムがECDSAを脅かす一方で、SPHINCS+のようなハッシュベースの設計は同様に脆弱とは見なされていません。

このスキームは、数年にわたる公開レビューの後、2024年8月に米国国立標準技術研究所(NIST)によってFIPS 205(SLH-DSA)として標準化されました。

セキュリティのトレードオフはサイズです。現在のビットコイン署名は64バイトですが、SLH-DSAは8キロバイト(KB)以上のサイズです。したがって、SLH-DSAを採用すると、ブロックスペースの需要が急激に増加し、取引手数料が上昇します。

その結果、ポスト量子セキュリティを犠牲にすることなく署名サイズを縮小するために、SHRIMPS(別のハッシュベースのポスト量子署名スキーム) やSHRINCSなどの提案がすでに導入されています。両方ともSHPINCS+に基づいて構築されており、ブロックチェーン使用に適したより実用的でスペース効率の良い形式でそのセキュリティ保証を保持することを目指しています。

Tadge DryjaのCommit/Revealスキーム:メモリプールの緊急ブレーキ

この提案は、ライトニングネットワークの共同創設者Tadge Dryjaが提案したソフトフォークで、将来の量子攻撃者からメモリプール内の取引を保護することを目的としています。取引実行を2つのフェーズに分離することで実現します:CommitとRevealです。

相手方にメールを送ることを通知してから、実際にメールを送信することを想像してください。前者がcommitフェーズで、後者がrevealです。

ブロックチェーン上では、まずあなたの意図の封印された指紋、つまりハッシュを公開します。これは取引について何も明らかにしません。ブロックチェーンはその指紋を永続的にタイムスタンプします。後で実際の取引をブロードキャストすると、あなたの公開鍵が表示されます。そして、ネットワークを監視している量子コンピュータがそこからあなたの秘密鍵を導出し、あなたの資金を盗むために競合する取引を偽造する可能性があります。

しかし、その偽造された取引はすぐに拒否されます。ネットワークはチェックします:この支出には事前にオンチェーンに登録されたコミットメントがありますか?あなたのものにはあります。攻撃者のものにはありません。彼らはそれをたった今作成したのです。あなたの事前登録された指紋があなたのアリバイです。

ただし、問題は、取引が2つのフェーズに分割されることによるコストの増加です。したがって、コミュニティが量子防御の構築に取り組んでいる間に展開するのに実用的な暫定的な橋渡しとして説明されています。

Hourglass V2:古いコインの支出を遅らせる

開発者Hunter Beastによって提案されたHourglass V2は、古い、すでに露出されたアドレスに保管されている約170万BTCに関連する量子脆弱性を標的としています。

この提案は、これらのコインが将来の量子攻撃で盗まれる可能性があることを受け入れ、市場を崩壊させる可能性のある壊滅的な一晩での大量清算を回避するために、ブロックあたり1ビットコインに販売を制限することで出血を遅らせようとしています。

類推は銀行の取り付け騒ぎです:人々が出金するのを止めることはできませんが、システムが一晩で崩壊するのを防ぐために出金のペースを制限することができます。この提案は論争を呼んでいます。なぜなら、この限定的な制限でさえ、ビットコインコミュニティの一部の人々には、外部の当事者があなたのコインを使う権利に干渉することは決してできないという原則の違反と見なされているからです。

結論

これらの提案はまだ有効化されておらず、開発者、マイナー、ノードオペレーターにまたがるビットコインの分散型ガバナンスは、アップグレードが実現するのに時間がかかる可能性が高いことを意味します。

それでも、今週のGoogleレポートに先立つ提案の着実な流れは、この問題が長い間開発者のレーダーにあったことを示唆しており、市場の懸念を和らげるのに役立つかもしれません。