格子暗号の仮定が崩れる日｜BTC二段階移行リスクの正体

量子耐性暗号への移行が完了した。その時点で、あなたのBTCは安全だと思えるだろうか。

実は移行が終わった瞬間に、別の構造的リスクが顔を出す可能性がある。この問題は、格子暗号という技術の根底に埋め込まれた「仮定」に起因している。

2024年のNIST標準化が示した2つの方向性

2024年8月、米国国立標準技術研究所（NIST）は量子時代に対応する新しい暗号標準を正式承認した。この中には格子問題の計算困難性に依拠するML-DSAと、ハッシュ関数の一方向性だけに依拠するSLH-DSAという、性質の異なる2種類の署名方式が含まれている。

ビットコインのECDSAは量子コンピュータの発展によって長期的には脆弱になると考えられており、いずれかへの移行が議論されている。問題はここからだ。

格子暗号は、「格子問題（最短ベクトル問題など）は現実的な計算資源では解けない」という数学的仮定の上に成り立っている。この仮定が正しい間は暗号として機能するが、その「正しさ」は証明されたものではなく、現時点で有効な攻撃手法が知られていないという事実に基づいている。

ECDSAが楕円曲線離散対数問題の困難性に依存し、それが量子計算によって脅かされるように、格子暗号もまた数学の進展や未知のアルゴリズム発見によって将来的に崩れる可能性がある。これは杞憂ではなく、暗号理論の専門家たちが実際に懸念している問題だ。

この仮定が将来崩れた場合、シナリオはこうなる。

SLH-DSAはハッシュ関数の一方向性のみを安全性の根拠とする。ハッシュ関数は量子コンピュータに対してもかなりの耐性を持ち、より保守的な安全性が期待できる。格子暗号が「高速だが仮定依存」であるのに対し、ハッシュ署名は「低速だが仮定依存が最小」という設計思想の違いがある。

格子暗号を中間ステップとして選んだ場合、移行は一度では終わらない可能性がある。

秘密鍵を自分で管理していれば、第1移行でも第2移行でも、自分のUTXOを新しい署名方式のアドレスへ動かすタイミングを自分で判断できる。移行の方式に関するコミュニティ議論にも、フルノードを通じて間接的に参加できる立場になる。

一方、取引所に預けているBTCはそうならない。第1移行の対応タイミングも、どの署名方式を採用するかも、第2移行が必要になった際の優先順位も、すべて取引所の経営判断と技術対応能力に委ねられる。ユーザーには確認手段も、急がせる手段もない。

量子の脅威が段階的に進化するなかで、格子暗号という中間地点を経て最終的にハッシュ署名に辿り着くまでの間、自分のBTCが「どの署名方式に対応しているか」すら把握できないまま時間が過ぎていく。

暗号標準が崩れるシナリオは低確率かもしれないが、ゼロではない。そしてその影響が顕在化するのは、格子暗号への移行がすでに完了し、多くの人が「安全になった」と安心した後になる。リスクが見えにくい時期に判断を外部に委ねているのが、取引所に預けている状態の本質だ。

2度の移行を自分で管理できる条件は一つしかない。秘密鍵を自分の手元に置いておくことだ。

今すぐ、あなたのBTCの保管状況を見直してほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。