古典PCが破った量子耐性暗号｜NISTの二重保険とBTC移行の選択権

2022年、量子コンピュータではなくノートパソコン1台が、量子耐性暗号を1時間で破った。

あなたのビットコインの署名方式は、この先どうなるのか。その答えを探すには、まずこの出来事から始める必要がある。

量子耐性が古典PCに崩れた日

崩れたのは「SIKE」という暗号候補アルゴリズムだ。NISTが次世代の量子耐性暗号標準として選考を進めていた候補の一つで、量子攻撃に対する耐性を持つと評価されていた。2022年、ベルギーの研究者らが発表した論文が、通常のPCで動作するアルゴリズムを用いてSIKEの安全性の根拠を完全に崩した。量子コンピュータは使われていない。既存のハードウェアと数学的洞察だけで、「量子耐性」と評価されたアルゴリズムが1時間で終わった。

この事実が示すのは、「量子耐性を持つ」という評価が永続的な保証ではないということだ。数学的な弱点は、設計者が想定しない角度から発見される。SIKEはその実例として記録された。

NISTが1種類ではなく2種類を標準化した理由

NISTはこの経緯を踏まえ、2024年に量子耐性署名の標準として2種類のアルゴリズムを確定させた。なぜ1種類ではないのか。

答えは「保険」の設計思想だ。数学的な基盤が異なる2種類を並立させておけば、一方が崩れても片方が機能する。SIKEが証明したように、どんなに精緻に設計された暗号でも、後から発見される弱点が存在しうる。NISTはその不確実性を制度設計に組み込んだ。

格子ベースとハッシュベース、2つの違い

2種類の中身を整理しておこう。

ML-DSAは格子ベースの署名方式だ。署名サイズは約2.4KB、処理が高速で実装上の利点が多い。ただし安全性の前提は「格子問題が計算困難であること」という数学的仮定に依存している。

SLH-DSAはハッシュベースの署名方式だ。署名サイズは約8KBと重く、処理速度も遅い。しかし依存しているのはSHA-256をはじめとするハッシュ関数の一方向性だ。ここが重要な点で、SHA-256はビットコインのProof of Workが17年間使い続けてきた数学的基盤と同じだ。SLH-DSAの安全性の根拠は、ビットコインのブロックチェーンそのものを支えている数学と共通している。

格子ベースは効率的だが歴史が浅い。ハッシュベースは重いが、その数学的前提の実績は格段に長い。NISTが両方を残したのは、どちらか一方の仮定が崩れた場合に備えた冗長設計だ。

ビットコインはどちらも未採用

現時点で、ビットコインはML-DSAもSLH-DSAも採用していない。現在の署名方式はECDSAとSchnorrだ。十分な規模の量子コンピュータが現実化した場合、これらへの移行が必要になる。そのタイミングや方法については議論が続いているが、「いつ移行するか」の問いは消えない。

移行のタイミングを自分で決められる条件

移行が始まるその日、最初に動けるのは誰か。

取引所にビットコインを預けている場合、移行の判断権は取引所にある。内部の稟議、システム改修、規制当局への対応が完了するまで、利用者側に選択肢はない。その間も、旧来の署名方式が持つリスクはそのまま続く。取引所が動くまで待つ以外に、できることはない。

セルフカストディであれば話は変わる。ビットコインのプロトコルが新しい署名方式を採用した時点から、自分のタイミングで移行を実行できる。誰かの承認を待つ必要はなく、格子ベースとハッシュベースのどちらを選ぶかという判断にも、直接関与できる立場に立てる。

SIKEが示したように、次の標準も崩れうる。NISTは2種類を並立させることでその不確実性に備えた。個人として備えられるのは、移行の実行権限を自分の手に置いておくことだ。

秘密鍵を自分で管理する体制を整えることが、量子時代の移行リスクに備える最初の一歩だ。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。