今回の発表で注目されるのは、グーグルが回路そのものを公表しなかった点だ。代わりに研究チームは、攻撃の詳細を明かさずに主張を検証できるゼロ知識証明を使った。SP1 zero-knowledge virtual machine(SP1ゼロ知識仮想マシン)で生成したこの証明により、研究チームが、主張した規模の回路を実際に持ち、それが9000件のランダムなテスト入力に対して楕円曲線上の点の加算を正しく計算することを、回路を見せずに誰でも確認できる。
ゼロ知識証明を使って新しい量子暗号解析の成果を公表したのは、今回が初めてだ。グーグルは、公表前に米国政府と協議を行ったとしており、他の研究チームにも同じやり方を採用するよう促している。
イーサリアムとビットコインの対応
イーサリアムは、この局面に備えて8年がかりで準備してきた。イーサリアム財団は、耐量子安全性の専用ハブとしてpq.ethereum.orgを立ち上げ、毎週テストネットを運用し、今後4回のハードフォークにわたる工程表を整理している。目標は2029年までの全面移行だ。
ビットコインも2月に最初の一歩を踏み出した。BIP-360がBitcoin Improvement Proposal(ビットコイン改善提案)の公式リポジトリに取り込まれたのである。この提案は、公開鍵を隠し、将来の耐量子署名にも対応できる新しい出力形式Pay-to-Merkle-Root(ペイ・トゥ・マークル・ルート)を設けるものだ。ただし、ECDSAやSchnorrを量子耐性のある代替方式に置き換えるものではない。そのためには、さらに多くの提案と合意形成が必要になる。
グーグルは、自社の認証サービスを量子耐性のある方式へ移行する社内期限を2029年に設定している。米国家安全保障局(NSA)のCNSA 2.0フレームワークは、2030年までに量子安全なシステムへ移行するよう求めている。だが、ビットコインには期限を決める中央権限がない。調整役となるエンジニアリングチームもない。緊急性を唱える声を簡単には受け入れないガバナンス文化もある。前回の大きな暗号学的アップグレードであるTaproot(タップルート)も、有効化までに何年もの議論を要した。
今、ビットコイン利用者ができること
過去に送金を行ったことのあるアドレスにビットコインを保有している場合、その公開鍵はすでに露出している。資金を一度も使用したことのない新しいアドレスに移動すれば、保管時攻撃の標的から外れることができる。量子耐性が得られるわけではないが、猶予時間をリセットすることにはなる。
アドレスの再利用をやめることも重要だ。公開鍵がブロックチェーン上に現れるたびに、それは潜在的な攻撃対象となる。
ウォレット、取引所、カストディ(資産管理)事業者のポスト量子対応にも注目すべきだ。早期に対応した利用者が優位に立てる可能性がある。
過度な危機感に流される必要はないが、動き出すべき時期が来ていることは確かだ。
