ML-DSAとSLH-DSA｜取引所BTCに署名方式の選択権はない

取引所に預けているBTCが、将来どの量子耐性署名方式に移行されるか——あなたは関与できると思っていますか？

2024年8月、アメリカ国立標準技術研究所（NIST）はポスト量子署名の標準として2種類のアルゴリズムを正式承認した。格子暗号ベースのML-DSA（旧称CRYSTALS-Dilithium）と、ハッシュベース署名のSLH-DSA（旧称SPHINCS+）だ。現在ビットコインが使用するECDSAに代わる次世代署名の候補として、暗号学の世界で注目を集めている。

だが、ビットコイン保有者が理解すべきことは、この2つが「同じポスト量子署名」ではないという点だ。安全性の根拠が、根本から異なる。

2つの署名が依拠する、異なる数学的前提

ML-DSAは「格子問題（Lattice Problem）」の計算困難性を安全性の根拠にしている。格子問題は現時点では量子コンピュータでも解けないと考えられており、NISTが推奨する理由もここにある。しかし、それはあくまで「今のところ解けない」という数学的仮定だ。ECDSAが楕円曲線離散対数問題に依存するのと構造は同じで、仮定が将来も崩れないとは断言できない。

SLH-DSAの設計は根本的に異なる。依存するのはSHA-256ハッシュ関数の一方向性のみだ。ビットコインはすでにSHA-256を中核技術として採用しており、PoWのマイニングからトランザクションIDの生成まで、SHA-256の信頼性の上に成立している。SLH-DSAの信頼モデルはビットコインの信頼モデルと完全に一致する。

格子問題とSHA-256——これは「どちらも安全」という話ではなく、「何を信頼しているか」が根本から違うという話だ。ビットコインの設計思想との整合性という観点では、SLH-DSAはML-DSAより一段階シンプルな前提に立っている。

取引所に預けたBTCに、この選択は届かない

ビットコインの量子耐性移行（QRAMP）が実施される際、どの署名方式が採用されるかは、ビットコインのコミュニティが議論し決定する。そのプロセス自体は分散型プロトコルとして正しい。

問題は、取引所に預けているBTCだ。移行する署名方式を「ML-DSAにするか、SLH-DSAにするか」を決めるのも、移行のタイミングを決めるのも、取引所のシステム部門の判断次第だ。あなたには何も決定権がない。

移行完了まで出金が制限される可能性もある。取引所のシステム改修が遅れれば、あなたのBTCはその間、動かせない状態になる。稟議を通し、監査を受け、セキュリティ基準を満たした上でのシステム変更——それには想像以上の時間がかかることが多い。取引所が「どちらの署名方式を選ぶか」を正しく判断してくれるという保証もない。

セルフカストディなら、選択権は自分にある

自分で秘密鍵を管理していれば、話は変わる。ビットコインの量子耐性フォークが承認された時点で、移行タイミングを自分で判断できる。

「SLH-DSAが先行して対応された段階で移行する」「コミュニティの議論を確認してから判断する」——こうした選択が自分の手に残る。ビットコインのアップデートに対して、傍観者ではなく当事者として動くことができる。

取引所に預けたBTCには、そのような選択肢は存在しない。署名方式を選ぶのは常に取引所であり、あなたではない。SHA-256の信頼モデルとの整合性を重視するかどうか——その判断すら、自分の手から離れている。

脅威が遠いうちに、選択権を確保する

現時点では、暗号学的に意味のある量子コンピュータは存在しない。ビットコインのECDSAを破るには理論上1300万量子ビット以上が必要とされており、2024年時点の最先端マシンとの間には巨大な技術的ギャップがある。

だからこそ、今が準備のタイミングだ。量子脅威が現実になってから動こうとしても、取引所のシステムが間に合わない可能性がある。セルフカストディに移行している人間は、量子移行の選択権を今すでに持っている。

署名アルゴリズムを誰が選ぶか——その差は、量子時代のビットコイン保有において想像以上に大きな意味を持つことになる。まず一部からでも、セルフカストディへの移行を検討してほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。