多くの人が量子コンピュータがBitcoinに与える脅威について語るとき、同じフレーズを繰り返している——「量子コンピュータはBitcoinの暗号を解読するだろう」。しかし、この見解は根本的に誤っている。実際のところ、Bitcoinには「解読」される必要のある暗号化されたデータは存在しない。## なぜBitcoinの暗号化は本当の問題ではないのかBitcoinの所有権保護は暗号化されたテキストによって実現されているわけではない。むしろ、それはデジタル署名(ECDSAやSchnorr)とハッシュコミットメントに依存して安全性を確保している。ブロックチェーンは完全に公開された台帳であり——各取引、各金額、各アドレスは誰でも閲覧可能だ。何も隠されていない。言い換えれば、量子コンピュータがBitcoinを解読できないのは、ブロックチェーン上に秘密の暗号化された情報が存在しないからだ。Bitcoinの早期開発者でありHashcashの発明者であるAdam Backは、Xプラットフォーム上で次のように明言している:「Bitcoinは暗号を使用していない。基礎知識を学べ。さもなければ、あなたの無知が露呈する。」真のリスクは何か?それは、もしShorアルゴリズムを実行できる量子コンピュータが登場した場合だ。これにより、ブロックチェーン上の公開鍵から秘密鍵を逆算し、衝突取引に有効な署名を作成できる可能性がある。これは「暗号の解読」ではなく、**認証権限の窃取**にあたる。## 公開鍵の露出:Bitcoinの安全性の真のボトルネックBitcoinの署名システムは、ユーザーが鍵ペアの制御を証明するために署名を作成する必要がある——これが取引の有効性の理由だ。したがって、**公開鍵がいつ、どのように露出するか**が量子脅威の核心となる。多くのアドレス形式は公開鍵のハッシュ値を使用しており、これは取引が行われるまで公開鍵自体が露出しないことを意味している。この狭い時間ウィンドウは、攻撃者が秘密鍵を計算し、衝突取引を公開する機会を制限している。しかし、すべての出力形式がそうであるわけではない。特定のスクリプトタイプはより早く公開鍵を露出させることがあり、アドレスの再利用は一度だけの露出を継続的なターゲットに変える。Project Elevenのオープンソースツール「Bitcoin Risq List」は、これらのシナリオをマッピングし、Shorアルゴリズムを持つ攻撃者に対して既に露出している可能性のあるビットコインを示している。彼らの追跡によると、約**670万BTC**がリスクのあるアドレスに存在している。## Taprootが露出の予測を変えたTaproot(P2TRアドレス)は、デフォルトの露出方法を変えた。BIP 341規格に基づき、Taproot出力はスクリプト内に32バイトの修正公開鍵を含むが、これは公開鍵のハッシュ値ではない。これは今日の段階では新たな脆弱性をもたらさないが、鍵が回復可能になったときに何が露出するかを変える。これは重要だ。なぜなら、露出は測定可能だからだ——私たちは量子脅威のタイムラインを推測する必要なく、潜在的な脆弱なビットコインプールを追跡できる。Project Elevenは毎週自動スキャンを行い、「Bitcoin Risq List」を更新し、量子攻撃のリスクにさらされているアドレスとその残高を公開している。## 量子脅威にはどれだけの計算能力が必要か?計算の観点からは、**論理量子ビット**と**物理量子ビット**の間のギャップが重要だ。Roettelerらの研究によると、256ビット楕円曲線上の離散対数を計算するには、最大2,330個の論理量子ビットが必要だ(式は9n + 2⌈log₂(n)⌉ + 10、n=256)。しかし、これを深い計算を実行でき、誤り率の低い誤り訂正機械に変換すると、物理量子ビットのコストが最大のボトルネックとなる。2023年のLitinskiの推定によると、256ビット楕円曲線の秘密鍵を計算するには約5000万のToffoliゲートが必要だ。モジュール化された方法では、これを10分以内に完了でき、約690万の物理量子ビットを使用する。Schneier on Securityの分析は、1日以内に解読可能な**1300万物理量子ビット**と、1時間以内に解読可能な**3.17億物理量子ビット**の推定値に焦点を当てている(時間と誤り率の仮定による)。## なぜ時間枠がこれほど重要なのか実行時間は攻撃の実現可能性を決定づける。もし量子コンピュータが10分かかって公開鍵から秘密鍵を回復し、Bitcoinのブロックの平均時間が10分であれば、攻撃者は露出した出力の支配権を争うことになる。彼はコンセンサスの歴史を書き換える必要はない。ハッシュの問題もこの背景でよく言及されるが、ここでの量子のレバレッジはGroverアルゴリズムだ。これは総当たり探索に平方根の加速をもたらすものであり、Shorの離散対数攻撃とは異なる。NISTのGrover攻撃の実コストに関する研究は、誤り訂正を含めてシステム全体のコストが2^128操作に達することを示している。これはECCの離散対数を解読するのに比べて微々たるものだ。## なぜ適応は移行の課題であり、差し迫った危険ではないのかBitcoin以外では、NISTはポスト量子暗号の標準化を進めており、ML-KEM(FIPS 203)などの原始暗号も広範な移行計画の一部として採用されている。Bitcoin内部では、BIP 360が「Pay to Quantum Resistant Hash」という新しい出力タイプを提案している。同時に、qbip.orgは古い署名の廃止を提唱し、移行と長期的な公開鍵の削除を促進している。最近の企業のロードマップは、これがインフラの課題であり、緊急の問題ではない理由を示している。Reutersの報道によると、IBMは誤り訂正コンポーネントの進展について議論し、耐障害性システムへの道筋は2029年頃に見えている。このように、「量子コンピュータがBitcoinの暗号を解読する」というのは、用語上の誤解であり、メカニズムの誤判断でもある。真に測定可能な指標は、UTXO集合のうちどれだけの部分が公開鍵を露出しているか、そのウォレットの行動はこの露出にどう対応しているか、そしてネットワークがどれだけ早く耐量子支出の仕組みを展開できるか、かつ検証と手数料の市場制約を維持できるかだ。量子コンピュータとBitcoinの未来について語るときは、危機ではなく適応性に焦点を当てるべきだ。
Bitcoin面臨的真實量子威脅不在"破譯",而在簽名偽造:為什麼我們現在就能測量這個風險
多くの人が量子コンピュータがBitcoinに与える脅威について語るとき、同じフレーズを繰り返している——「量子コンピュータはBitcoinの暗号を解読するだろう」。しかし、この見解は根本的に誤っている。実際のところ、Bitcoinには「解読」される必要のある暗号化されたデータは存在しない。
なぜBitcoinの暗号化は本当の問題ではないのか
Bitcoinの所有権保護は暗号化されたテキストによって実現されているわけではない。むしろ、それはデジタル署名(ECDSAやSchnorr)とハッシュコミットメントに依存して安全性を確保している。ブロックチェーンは完全に公開された台帳であり——各取引、各金額、各アドレスは誰でも閲覧可能だ。何も隠されていない。
言い換えれば、量子コンピュータがBitcoinを解読できないのは、ブロックチェーン上に秘密の暗号化された情報が存在しないからだ。Bitcoinの早期開発者でありHashcashの発明者であるAdam Backは、Xプラットフォーム上で次のように明言している:「Bitcoinは暗号を使用していない。基礎知識を学べ。さもなければ、あなたの無知が露呈する。」
真のリスクは何か?それは、もしShorアルゴリズムを実行できる量子コンピュータが登場した場合だ。これにより、ブロックチェーン上の公開鍵から秘密鍵を逆算し、衝突取引に有効な署名を作成できる可能性がある。これは「暗号の解読」ではなく、認証権限の窃取にあたる。
公開鍵の露出:Bitcoinの安全性の真のボトルネック
Bitcoinの署名システムは、ユーザーが鍵ペアの制御を証明するために署名を作成する必要がある——これが取引の有効性の理由だ。したがって、公開鍵がいつ、どのように露出するかが量子脅威の核心となる。
多くのアドレス形式は公開鍵のハッシュ値を使用しており、これは取引が行われるまで公開鍵自体が露出しないことを意味している。この狭い時間ウィンドウは、攻撃者が秘密鍵を計算し、衝突取引を公開する機会を制限している。
しかし、すべての出力形式がそうであるわけではない。特定のスクリプトタイプはより早く公開鍵を露出させることがあり、アドレスの再利用は一度だけの露出を継続的なターゲットに変える。
Project Elevenのオープンソースツール「Bitcoin Risq List」は、これらのシナリオをマッピングし、Shorアルゴリズムを持つ攻撃者に対して既に露出している可能性のあるビットコインを示している。彼らの追跡によると、約670万BTCがリスクのあるアドレスに存在している。
Taprootが露出の予測を変えた
Taproot(P2TRアドレス)は、デフォルトの露出方法を変えた。BIP 341規格に基づき、Taproot出力はスクリプト内に32バイトの修正公開鍵を含むが、これは公開鍵のハッシュ値ではない。
これは今日の段階では新たな脆弱性をもたらさないが、鍵が回復可能になったときに何が露出するかを変える。これは重要だ。なぜなら、露出は測定可能だからだ——私たちは量子脅威のタイムラインを推測する必要なく、潜在的な脆弱なビットコインプールを追跡できる。
Project Elevenは毎週自動スキャンを行い、「Bitcoin Risq List」を更新し、量子攻撃のリスクにさらされているアドレスとその残高を公開している。
量子脅威にはどれだけの計算能力が必要か?
計算の観点からは、論理量子ビットと物理量子ビットの間のギャップが重要だ。
Roettelerらの研究によると、256ビット楕円曲線上の離散対数を計算するには、最大2,330個の論理量子ビットが必要だ(式は9n + 2⌈log₂(n)⌉ + 10、n=256)。
しかし、これを深い計算を実行でき、誤り率の低い誤り訂正機械に変換すると、物理量子ビットのコストが最大のボトルネックとなる。2023年のLitinskiの推定によると、256ビット楕円曲線の秘密鍵を計算するには約5000万のToffoliゲートが必要だ。モジュール化された方法では、これを10分以内に完了でき、約690万の物理量子ビットを使用する。
Schneier on Securityの分析は、1日以内に解読可能な1300万物理量子ビットと、1時間以内に解読可能な3.17億物理量子ビットの推定値に焦点を当てている(時間と誤り率の仮定による)。
なぜ時間枠がこれほど重要なのか
実行時間は攻撃の実現可能性を決定づける。もし量子コンピュータが10分かかって公開鍵から秘密鍵を回復し、Bitcoinのブロックの平均時間が10分であれば、攻撃者は露出した出力の支配権を争うことになる。彼はコンセンサスの歴史を書き換える必要はない。
ハッシュの問題もこの背景でよく言及されるが、ここでの量子のレバレッジはGroverアルゴリズムだ。これは総当たり探索に平方根の加速をもたらすものであり、Shorの離散対数攻撃とは異なる。NISTのGrover攻撃の実コストに関する研究は、誤り訂正を含めてシステム全体のコストが2^128操作に達することを示している。これはECCの離散対数を解読するのに比べて微々たるものだ。
なぜ適応は移行の課題であり、差し迫った危険ではないのか
Bitcoin以外では、NISTはポスト量子暗号の標準化を進めており、ML-KEM(FIPS 203)などの原始暗号も広範な移行計画の一部として採用されている。Bitcoin内部では、BIP 360が「Pay to Quantum Resistant Hash」という新しい出力タイプを提案している。同時に、qbip.orgは古い署名の廃止を提唱し、移行と長期的な公開鍵の削除を促進している。
最近の企業のロードマップは、これがインフラの課題であり、緊急の問題ではない理由を示している。Reutersの報道によると、IBMは誤り訂正コンポーネントの進展について議論し、耐障害性システムへの道筋は2029年頃に見えている。
このように、「量子コンピュータがBitcoinの暗号を解読する」というのは、用語上の誤解であり、メカニズムの誤判断でもある。
真に測定可能な指標は、UTXO集合のうちどれだけの部分が公開鍵を露出しているか、そのウォレットの行動はこの露出にどう対応しているか、そしてネットワークがどれだけ早く耐量子支出の仕組みを展開できるか、かつ検証と手数料の市場制約を維持できるかだ。
量子コンピュータとBitcoinの未来について語るときは、危機ではなく適応性に焦点を当てるべきだ。