グーグルは、ビットコインと暗号資産業界に対し、量子コンピュータの影響に備えるための「猶予」がこれまで考えられていたよりも短いことを明らかにした。
米国時間3月31日に公表したホワイトペーパーで、Google Quantum AIの研究者たちは、ビットコインやether、そのほか主要な暗号資産を守る楕円曲線暗号を破るには、超伝導型量子コンピュータで50万未満の物理量子ビットで足りる可能性があると示した。これは、必要数を数百万とみていた従来推計の約20分の1だ。
この論文は、執筆陣と協力先の顔ぶれから見ても重みがある。共著者にはイーサリアム財団のジャスティン・ドレイク、スタンフォード大学のダン・ボネー、そしてライアン・バブーシュとハルトムート・ネーベンが率いるGoogle Quantum AIの研究者6人が名を連ねる。グーグルによれば、公表前に米国政府と協議を行っており、協力先としてCoinbase、Stanford Institute for Blockchain Research(スタンフォードブロックチェーン研究所)、イーサリアム財団を挙げている。
重要なのは、現時点でこの攻撃を実行できる量子コンピュータは存在しないという点だ。グーグルの最先端チップ「Willow(ウィロー)」は105量子ビットにとどまる。ただし、現在のハードウェアと、ビットコインの暗号を破れるマシンとの距離は、これまでの予想より速いペースで縮まっている。
後から共著者に加わったドレイクは、Xに「2032年までにQ-dayが来るという確信が大幅に高まりました」と投稿している。彼は、その年までに量子コンピュータが公開鍵から秘密鍵を復元する確率は少なくとも10%あると見積もっている。
なぜ量子コンピュータは暗号資産を脅かすのか
ビットコインの安全性は、一つの数学的前提に依存している。公開鍵から秘密鍵を導き出すことは、既存のどの計算機でも現実には不可能だという前提である。その具体的な問題が、楕円曲線離散対数問題である。ビットコインを送るたび、公開鍵は明らかになる。古典的なコンピューターでは、そこから秘密鍵を逆算するのに宇宙の年齢より長い時間がかかる。
だが、量子コンピュータはこの前提を崩す。1994年に数学者ピーター・ショアが公表したアルゴリズムは、楕円曲線離散対数問題を、どの古典的手法よりも指数関数的に速く解く。十分な数の、安定して誤り訂正された量子ビットを備えた量子コンピュータがショアのアルゴリズムを動かせば、秘密鍵を導き出し、デジタル署名を偽造し、ウォレットの資産を抜き取れる。
量子コンピュータの影響は、ハッシュ関数「SHA-256」を使うビットコインのプルーフ・オブ・ワーク(PoW)によるマイニング(採掘)には及ばない。ドレイクはこの点を明確にしている。「グローバーのアルゴリズム(量子コンピュータを使った探索の高速化手法)を使っても、ビットコインのマイニングを商業的に実用化できるようになるのは、当分先の話です。数十年先、場合によっては数世紀先になるでしょう」。現時点での脆弱性の対象は、デジタル署名方式のECDSAとSchnorr(シュノア)であり、いずれもsecp256k1楕円曲線を土台にしている。
グーグルのホワイトペーパーは、この種の暗号に依存するシステムの中でも、暗号資産は特に脆弱だと指摘する。ブロックチェーンが使う楕円曲線鍵は、同程度の安全性を持つRSA鍵よりほぼ1桁小さいため、より小さな量子コンピュータでも破れる可能性がある。しかも、複数の安全策を重ねる従来の金融と違い、ブロックチェーンには不正取引に対する救済手段がない。署名が一度偽造されるだけで、取り返しのつかない盗難につながりうる。
