量子攻撃の3類型
論文は、暗号資産に対する量子攻撃を、攻撃者に必要な速さに応じて3種類に分けている。「送金時攻撃(on-spend attacks)」「保管時攻撃(at-rest attacks)」「設定時攻撃(on-setup attacks)」である。
「送金時攻撃」は、送信途中の取引を狙う。誰かがビットコイン取引をブロードキャストすると、その公開鍵がmempool(メンプール)で見えるようになる。攻撃者はそれを傍受し、秘密鍵を導き出し、元の取引が承認される前に不正な差し替え取引を流す。ビットコインの平均ブロック生成時間は10分間だ。グーグルの論文によれば、超伝導型量子コンピュータは、アルゴリズムの半分を事前計算し、標的が現れるまで「準備済み」の状態で待機する手法により、約9分間で解読を終えられる可能性がある。こうした準備済みのマシンを11台並列で動かせば、速度は6.5倍になり、所要時間はブロック生成時間を十分下回る。CoinDeskによれば、単独のマシンでも、攻撃者が元の取引より先に承認を得る確率は約41%となる。
Ethereum(イーサリアム)のブロック時間は12秒、Solana(ソラナ)は400ミリ秒であり、これらのチェーンでは送金時攻撃はより難しい。ただし、より高速なハードウェアがあれば不可能ではない。
「保管時攻撃」は、すでにブロックチェーン上で公開鍵が露出しているものを狙う。長期間動いていないウォレット、再利用されたアドレス、古いスクリプト形式で保護されたコインなどである。攻撃者には数日から数週間、あるいはそれ以上の時間的余裕があるため、より遅い量子アーキテクチャでも足りる。
「設定時攻撃」は最も特殊だ。固定されたプロトコルのパラメーターを狙い、その後は通常のコンピューターでも使える再利用可能なバックドアを作る攻撃である。ビットコインはこの種の攻撃を受けない。だが論文は、イーサリアムのData Availability Sampling(データ可用性サンプリング)の仕組みや、Tornado Cash(トルネード・キャッシュ)のようなプライバシー保護プロトコルは攻撃耐性を持たないと警告している。
数字と秘匿
研究チームは、secp256k1曲線向けにショアのアルゴリズムを実装する量子回路を2種類作成した。1つは1200未満の論理量子ビットと9000万個のToffoli(トフォリ)ゲートを使う。もう1つは1450未満の論理量子ビットと7000万個のToffoliゲートを使う。
標準的な前提に基づく超伝導型アーキテクチャでは、これらの回路は50万未満の物理量子ビットに換算される。従来の最先端推計は、2023年にLitinskiが発表した論文で示されたもので、1回の攻撃にフォトニック型アーキテクチャで約900万物理量子ビットが必要だった。
論文によれば、より踏み込んだハードウェア前提を置けば、この数は10万未満まで下がる可能性もある。ただし、その設計には実機でまだ実証されていない接続方式が必要になるため、研究チームはグーグルの既存プロセッサーに沿う保守的な推計にとどめた。
