量子コンピュータとブロックチェーン：緊急性と現実的な脅威のバランス

執筆：Justin Thaler

翻訳・編集：白話ブロックチェーン

暗号関連の量子コンピュータのタイムラインはしばしば誇張され、その結果、緊急かつ全面的なポスト量子暗号（Post-Quantum Cryptography, PQC）への移行が叫ばれています。

しかし、こうした呼びかけは、早すぎる移行のコストやリスクを無視し、異なる暗号プリミティブ間のリスクプロファイルの違いを見落としがちです。

ポスト量子暗号（PQC）はコストがかかるにもかかわらず、即時導入が求められています。「ハーベスト・ナウ・ディクリプト・レイター（Harvest-Now-Decrypt-Later, HNDL）」攻撃が既に進行中であり、今日暗号化された機密データは、量子コンピュータが登場する時点でも価値を持ち続けるためです。たとえそれが数十年後であってもです。PQCのパフォーマンスオーバーヘッドや実装リスクは現実ですが、HNDL攻撃の存在により、長期的な秘匿性が必要なデータには他に選択肢がありません。

ポスト量子署名は異なる考慮事項に直面しています。署名はHNDL攻撃に晒されにくく、そのコストやリスク（大きなサイズ、パフォーマンスオーバーヘッド、実装の未成熟さやバグ）は、即時移行ではなく慎重な検討を必要とします。

これらの違いは極めて重要です。誤解はコストベネフィット分析を歪め、チームがより顕著なセキュリティリスク、例えばバグなどを見逃す原因になります。

PQCへの移行を成功させる本当の課題は、「緊急性」と「実際の脅威」を正しく結びつけることにあります。以下、暗号への量子的脅威についてのよくある誤解を解説し——暗号、署名、ゼロ知識証明をカバーし——とりわけブロックチェーンへの影響に焦点を当てます。

タイムラインはどのように進行しているか？

注目を集める発言があるものの、2020年代に暗号関連の量子コンピュータ（CRQC）が現れる可能性は極めて低いです。

ここで「暗号関連の量子コンピュータ」とは、フォールトトレラントでエラー訂正機能を持ち、Shorアルゴリズムを十分な規模で実行でき、例えば1カ月以内の計算で{secp}256{k}1や{RSA-2048}など楕円曲線暗号やRSAを現実的に破る能力があるものを指します。

公開されているマイルストーンやリソース見積もりに基づく合理的な解釈のいずれをとっても、私たちはCRQCからはまだ非常に遠い位置にいます。企業が2030年以前や2035年以前にCRQCが登場すると主張することもありますが、公開情報がその主張を裏付けてはいません。

背景として、現在の全てのアーキテクチャ——イオントラップ、超伝導量子ビット、中性原子系——において、現在の量子計算プラットフォームは、Shorアルゴリズムを使って{RSA-2048}や{secp}256{k}1を攻撃するのに必要な数十万〜数百万の物理量子ビット（エラー率やエラー訂正方式による）には全く到達していません。

制約要因は量子ビット数だけでなく、ゲート忠実度、量子ビットの接続性、ディープな量子アルゴリズムを実行するために必要なエラー訂正回路の深さなども含みます。いくつかのシステムは現在1,000個を超える物理量子ビットを持っていますが、物理量子ビットの数自体は誤解を招きます：これらのシステムには暗号関連計算に必要な接続性やゲート忠実度がありません。

最近のシステムは量子エラー訂正が機能し始める物理エラー率に近づいていますが、持続的なエラー訂正回路深度を持つロジック量子ビットが少数以上で実証された例はありません…ましてや、Shorアルゴリズムを本当に動かすために必要な数千の高忠実度・ディープ回路・フォールトトレラントなロジック量子ビットはなおさらです。量子エラー訂正が原理的に可能であることと、暗号解読に必要な規模で実現することの間には巨大なギャップがあります。

要するに：量子ビット数と忠実度の両方が数桁向上しない限り、暗号関連の量子コンピュータは遥か彼方の存在です。

しかし、企業のプレスリリースやメディア報道は誤解を生みやすいものです。よくある誤解や混乱の原因には次のようなものがあります：

「量子超越性」を主張するデモは、人工的に設計されたタスク向けのものです。これらのタスクは実用性で選ばれたのではなく、現行ハードウェアで動作し、かつ大幅な量子的スピードアップがあるように見せやすいため選ばれています——この事実は発表ではしばしば曖昧にされます。

企業が数千の物理量子ビットを実現したと主張する場合、これは量子アニーリングマシン（Shorアルゴリズムによる公開鍵暗号攻撃に必要なゲートモデル機械ではない）のことを指しています。

企業が「ロジック量子ビット」という用語を自由に用いることがあります。物理量子ビットはノイズが多く、量子アルゴリズムにはロジック量子ビットが必要です。Shorアルゴリズムには数千個が必要です。量子エラー訂正を使うと、1つのロジック量子ビットに数百〜数千の物理量子ビットが必要です（エラー率による）。しかし一部企業はこの用語を大きく拡大解釈しています。例えば、距離2の符号で物理量子ビット2個のみでロジック量子ビット1個を実現したと主張する例がありますが、距離2符号はエラー検出はできても訂正はできません。暗号解読に使える真のフォールトトレラントなロジック量子ビットは1個あたり数百〜数千の物理量子ビットが必要であり、2個ではありません。

より一般的には、多くの量子計算ロードマップが「ロジック量子ビット」という用語をClifford演算しかサポートしない量子ビットを指すために使っています。Clifford演算は古典的に効率よくシミュレートできるので、Shorアルゴリズムのようなものは実行できませんが、Shorアルゴリズムには数千個の訂正済Tゲート（または一般に非Cliffordゲート）が必要です。

仮にロードマップの目標が「X年に数千のロジック量子ビットを実現」でも、それはX年にShorアルゴリズムで古典暗号を破るという意味ではありません。

こうした手法は、暗号関連の量子コンピュータまでどれだけ近いかについての世間の認識を大きく歪めており、熟練した観察者の間でさえ誤解を生んでいます。

とはいえ、一部の専門家は進歩に興奮しています。たとえばScott Aaronsonは最近、「現在の驚異的なハードウェア進歩速度を考えると、次の米大統領選挙までにShorアルゴリズムを実行するフォールトトレラントな量子コンピュータが現れる現実的な可能性がある」と述べました。

しかしAaronsonは後に、彼の発言は「暗号関連」の量子コンピュータではないと明言しました。彼は「完全なフォールトトレラントなShorアルゴリズムによる15=3×5の素因数分解」も実現に含めており、これは紙と鉛筆の方が速い計算です。標準はあくまで小規模なShorアルゴリズム実行であり、暗号関連規模ではありません。以前に量子コンピュータでの15の素因数分解実験も、簡易回路を使ったもので、完全なフォールトトレラントなShorアルゴリズムではありませんでした。そして常に15が選ばれるのは、mod 15の算術が容易で、21のような少し大きい数字でも分解が難しくなるからです。そのため、21の分解を主張する量子実験では追加のヒントや近道が使われることが多いです。

まとめると、今後5年以内に{RSA-2048}や{secp}256{k}1を破る暗号関連量子コンピュータが現れるという期待——これは実際の暗号にとって極めて重要——を裏付ける公開情報はありません。

10年でさえ野心的でしょう。CRQCがどれほど遠いかを考えると、進展に興奮するのは10年以上のタイムラインと十分両立します。

では、米国政府が2035年までに政府システムの全面PQC移行を最終期限と定めたのはどうでしょうか？これはこれほど大規模な移行を完了するための合理的なスケジュールと考えますが、「2035年にCRQCが登場する」という予測ではありません。

HNDL攻撃はどんな場合に適用（または適用されない）か？

「ハーベスト・ナウ・ディクリプト・レイター（HNDL）」攻撃とは、現時点で暗号化通信を保存し、CRQCが登場した時点でそれを復号するというものです。国家レベルの敵対者は、既に米国政府の暗号化通信を大規模にアーカイブしており、将来CRQCが実現した際に解読しようとしています。

このため、暗号は即時移行が必須です。少なくとも10〜50年以上の秘匿性が求められる場合はそうです。

しかしデジタル署名——すべてのブロックチェーンが依存するもの——は暗号とは異なります：秘匿性には遡及攻撃がありません。

つまり、CRQCが現れたときに署名の偽造は可能になりますが、過去の署名は暗号化メッセージのように「秘密が隠されている」わけではありません。署名がCRQC登場以前に生成されたことが分かれば、それは偽造できません。

そのため、ポスト量子デジタル署名への移行は、暗号のPQC移行ほど緊急性が高くありません。

主要プラットフォームはこれに対応しています：ChromeやCloudflareはウェブのTLS暗号にハイブリッド{X}25519+{ML-KEM}を導入しています。

本稿では便宜上「暗号」と記していますが、厳密にはTLSのような安全通信プロトコルは公開鍵暗号ではなく鍵交換や鍵カプセル化機構を利用しています。

ここでの「ハイブリッド」とは、ポスト量子安全なML-KEMと既存の({X}25519)を同時に使い、両者のセキュリティ保証を組み合わせることを意味します。これにより、ML-KEMでHNDL攻撃を防ぎつつ、ML-KEMが現行計算機でも安全でないと判明した場合には{X}25519で古典的安全性を維持できます。

AppleのiMessageもPQ3プロトコルでこうしたハイブリッドPQCを導入しており、SignalもPQXDHやSPQRプロトコルで導入しています。

一方で、ポスト量子デジタル署名の導入は、CRQCが本当に差し迫ってからに先送りされています。現行のPQC署名はパフォーマンスに大きな影響があるためです（詳細は後述）。

zkSNARKs——ゼロ知識簡潔非対話型証明は、ブロックチェーンの長期的なスケーラビリティとプライバシーの鍵ですが、署名と同様の位置づけです。なぜなら、非ポスト量子安全な{zkSNARKs}（現行の楕円曲線暗号が使われているもの）でも、ゼロ知識性は量子相手にも安全だからです。

ゼロ知識性は、証明から秘密の証人に関する情報が一切漏洩しないことを保証します——量子攻撃者に対しても——よって、「先取りして」後で解読できる秘密情報が存在しません。

そのため、{zkSNARKs}もHNDL攻撃には晒されません。現在生成される非ポスト量子署名が安全であるのと同様、CRQC登場以前に作成された{zkSNARK}の証明も信用できます（証明された主張が確かに真実である）——たとえ{zkSNARK}が楕円曲線暗号を使っていてもです。CRQCが現れてから初めて、虚偽の主張の証明が可能になります。

ブロックチェーンへの意味

ほとんどのブロックチェーンはHNDL攻撃に晒されません：

大半の非プライバシーチェーン（現行のビットコインやイーサリアム）は、暗号化ではなく署名（取引認可）に非ポスト量子暗号を使っています。

同様に、これらの署名はHNDLリスクではありません。「先取りして後で解読」攻撃は暗号化データに対して成立します。たとえばビットコインのブロックチェーンは公開されており、量子的脅威は署名偽造（秘密鍵を導出して資金を盗む）であり、既に公開されている取引データの解読ではありません。これにより、HNDL攻撃による暗号化移行の緊急性は排除されます。

残念ながら、FRBのような信頼性の高い情報源でさえ、ビットコインがHNDL攻撃に脆弱であると誤って主張していますが、これはPQC移行の緊急性を過大評価する誤りです。

とはいえ、緊急性が低いからといってビットコインが安泰とは限りません：プロトコル変更に必要な膨大な社会的調整という別のタイムライン圧力に直面しています。

現時点での例外はプライバシーチェーンで、多くが受取人や金額を暗号化または隠匿しています。量子コンピュータが楕円曲線暗号を破れるようになると、こうした秘匿性は今すぐにでも「先取り」され、過去の取引が遡及的に匿名性を失います。

この種のプライバシーチェーンに対する攻撃の深刻性は、チェーン設計によって異なります。例えばMoneroのカーブベースのリング署名やキーイメージ（各アウトプットのリンク可能性ラベル）は、公開台帳だけで支出グラフを遡及的に再構築できます。しかし他のチェーンでは損害はより限定的です——詳細はZcashの暗号エンジニア・研究者Sean Boweの議論をご覧ください。

ユーザーの取引がCRQCによって公開されないことが重要であれば、プライバシーチェーンは可能な限り早期にポスト量子プリミティブ（またはハイブリッド方式）へ移行するべきです。あるいは、解読可能な秘密がオンチェーンに置かれない構造を採用するべきです。

ビットコイン特有の難題：ガバナンス＋捨てられたコイン

特にビットコインにとって、PQC署名への移行を急ぐ緊急性をもたらす現実的な要因が2つあります。どちらも量子技術自体とは関係ありません。

ひとつはガバナンスの遅さ：ビットコインの変化は非常に遅いのです。コミュニティが適切な解決策で合意できない場合、議論を呼ぶ問題は破壊的なハードフォークを引き起こしかねません。

もうひとつは、ビットコインのPQC署名移行は受動的にはできないこと。すべてのオーナーが自発的にコインを移行しなければなりません。つまり、放置された量子脆弱コインは保護不能です。推定によれば、量子脆弱かつ放棄されたBTCは数百万コインにのぼり、2025年12月時点の価格で数百億ドルに相当します。

しかしビットコインへの量子的脅威は、突然一夜にして全てが失われる破滅ではなく、選択的かつ漸進的な標的化プロセスになります。量子コンピュータは全ての暗号を一度に破るわけではありません——Shorアルゴリズムは一つの公開鍵ごとに実行する必要があります。初期の量子攻撃は極めて高価で遅いでしょう。そのため、量子コンピュータが単一のビットコイン署名鍵を破れるようになった場合、攻撃者は高価値ウォレットを選択的に狙うでしょう。

また、アドレス再利用を避け、Taprootアドレス（それ自体がチェーン上で公開鍵を晒す）を使わないユーザーは、プロトコル変更なしでもかなり保護されます：コインが消費されるまで公開鍵はハッシュ関数の背後に隠されています。消費取引が放送されると公開鍵が可視となり、正当なユーザーによる取引承認と、量子装備攻撃者による秘密鍵発見・奪取のリアルタイム短期競争になります。従って、真に脆弱なコインは公開鍵が既に晒されているコイン：古いP2PK出力、アドレス再利用、Taproot保有分です。

放棄された脆弱コインへの簡単な解決策はありません。選択肢としては：

ビットコインコミュニティが「カットオフ日」を設け、それ以降に移行しなかったコインをバーン（消滅）とみなす。

放棄された量子脆弱コインを、CRQCを持つ誰でも取得できるようにする。

後者は重大な法的・安全上の問題を引き起こします。量子コンピュータで秘密鍵なしにコインを取得することは、正当な所有権や善意を主張しても、多くの法域で窃盗やコンピュータ詐欺法違反となる可能性があります。

また、「放棄」は非アクティブであると推定されるだけです。実際には誰もこれらのコインが本当に秘密鍵保有者のいないものかは分かりません。かつて所有していた証拠だけで、暗号保護を解除して回収する法的権限とみなされることは稀です。この法的曖昧さが、放棄された量子脆弱コインが法規制を無視する悪意ある者の手に渡る可能性を高めます。

ビットコイン特有の最後の問題は、低い取引スループットです。仮に移行計画が決まっても、全ての脆弱資金をPQC安全アドレスへ移すには、ビットコインの現在の取引速度では数カ月かかります。

これらの課題により、ビットコインが今すぐPQC移行計画を立てることが極めて重要になります——CRQCが2030年までに登場するという理由ではなく、数十億ドルもの価値の移行に必要なガバナンス・調整・技術的ロジスティクスに数年かかるためです。

ビットコインへの量子的脅威は現実的ですが、タイムライン圧力は量子コンピュータの差し迫った登場からではなく、ビットコイン自身の制約から来ています。他のブロックチェーンにもそれぞれ量子脆弱資金のチャレンジがありますが、ビットコインは独特の脆弱性を持っています：最初期の取引がP2PK出力を使い、公開鍵がチェーン上に直接晒され、かなりの量のBTCが特にCRQCに脆弱です。この技術的差異——ビットコインの長寿・価値集中・低スループット・ガバナンス停滞と相まって——問題を一層深刻にしています。

なお、上記の脆弱性はビットコインのデジタル署名の暗号安全性に関するものであり、ビットコインブロックチェーンの経済的安全性には該当しません。ビットコインの経済的安全性はプルーフ・オブ・ワーク（PoW）コンセンサスに由来し、これは以下3点の理由で量子コンピュータの攻撃には強いです：

PoWはハッシュに依存するため、Grover探索による二次的な量子的スピードアップしか受けません（Shorアルゴリズムの指数的加速は受けない）。

Grover探索の現実的なコストにより、量子コンピュータがビットコインのPoWで実用的な加速を実現することは極めて困難です。

仮に大きな加速が実現しても、それは大規模量子マイナーに対する小規模マイナーの優位性をもたらすだけで、ビットコインの経済安全モデル自体を根本的に崩しません。

ポスト量子署名のコストとリスク

ブロックチェーンがPQC署名を急いで導入すべきでない理由を理解するには、パフォーマンスコストとPQC安全性への信頼の変遷を理解する必要があります。

ほとんどのPQCプリミティブは以下5つのアプローチのいずれかに基づいています：

ハッシュ (hashing) 符号 (codes) 格子 (lattices) 多変数二次系 (multivariate quadratic systems, MQ) 同種写像 (isogenies)

なぜ5つもアプローチがあるのか？PQCプリミティブの安全性は、量子コンピュータが特定の数学問題を効率的に解けないという仮定に依存します。その問題が「構造化」されているほど、高効率な暗号プロトコルを構築できます。

しかしこれは諸刃の剣です：追加の構造は攻撃アルゴリズムにも利用の余地を与えます。これは根本的なトレードオフ——強い仮定ほど良いパフォーマンスを生むが、安全性が損なわれる（仮定が誤りである確率が高まる）——を生みます。

一般に、ハッシュベース方式が安全性では最も保守的です。量子コンピュータがこれらのプロトコルを効率的に攻撃できないという自信が最も強いからです。しかしパフォーマンスは最悪です。例えばNIST標準化されたハッシュベース署名は、最小パラメータでも7〜8KBのサイズがあります。対して現行の楕円曲線署名は64バイトです。約100倍のサイズ差です。

格子方式は現行で最も主流です。NISTが標準化した暗号方式と署名方式3つのうち2つが格子ベースです。一つの格子方式（ML-DSA、旧Dilithium）は、署名サイズが2.4KB（128ビット安全性）〜4.6KB（256ビット安全性）で、現行の署名の約40〜70倍です。もう一つの格子方式Falconはやや小さく（Falcon-512は666バイト、Falcon-1024は1.3KB）、しかし複雑な浮動小数点演算があり、NIST自身が実装の特殊課題と指摘しています。Falconの開発者Thomas Porninは「自分が実装した中で最も複雑な暗号アルゴリズム」と評しています。

格子ベース署名の実装安全性も楕円曲線署名より難しいです：ML-DSAは多くのセンシティブな中間値や非自明なリジェクトサンプリングロジックがあり、サイドチャネルやフォールト耐性が必要です。Falconは定数時間の浮動小数点計算問題を加えます。実際、Falcon実装に対する複数のサイドチャネル攻撃で秘密鍵が回収されています。

これらは即時リスクであり、CRQCの遠い脅威とは異なります。

より高パフォーマンスなPQC方式を導入する際は慎重が求められます。歴史的にRainbow（MQベース署名）やSIKE/SIDH（同種写像ベース暗号）のような有力候補が、量子ではなく現行計算機で破られた例があります。

これはNIST標準化プロセスのかなり後期に発生しました。これは健全な科学の証ですが、早すぎる標準化や導入が裏目に出ることを示しています。

先述の通り、インターネット基盤は署名移行に慎重なアプローチを取っています。インターネットの暗号移行には一度始まると非常に時間がかかることを考えると、これは特に重要です。MD5やSHA-1ハッシュ関数からの移行——技術的には数年前に破棄されたもの——でさえ、インフラで実際に導入されるまで何年もかかり、現在も一部で進行中です。しかもこれらは完全に破られた場合であり、「将来技術で破られる可能性がある」というだけのものではありません。

ブロックチェーンとインターネット基盤の固有の課題

幸い、イーサリアムやSolanaのような、アクティブなOSSコミュニティが保守するブロックチェーンは、従来のネットワーク基盤よりも素早くアップグレードできます。一方、従来ネットワークは頻繁な鍵ローテーションの恩恵を受け、攻撃面が量子マシンの標的化速度より速く動きます——これはコインと鍵が無期限に晒され得るブロックチェーンにはない贅沢です。

とはいえ、ブロックチェーンもネットワークの慎重な署名移行アプローチを踏襲すべきです。両者とも署名はHNDL攻撃に晒されず、鍵の寿命に関わらず、未成熟なPQC方式への早すぎる移行のコスト・リスクは大きいままです。

さらに、ブロックチェーン固有の課題が早すぎる移行を特に危険かつ複雑にします。たとえば、ブロックチェーンは署名方式に、特に多数の署名の高速集約能力など固有の要件があります。現行では高速集約が可能なためBLS署名が多用されていますが、これはPQC安全ではありません。研究者はSNARKベースのPQC署名集約を模索中ですが、これは有望なものの、まだ初期段階です。

SNARKsについては、ハッシュベース構造が現時点の主要PQCオプションですが、格子ベースの選択肢が今後数ヶ月・数年で有力な代替案となると私は考えています。これらは、ハッシュベース{SNARKs}よりも短い証明など、あらゆる面で優れたパフォーマンスを持つでしょう。これは格子ベース署名がハッシュベース署名より短いのと類似です。

より大きな問題：実装安全性

今後数年間で、実装の脆弱性はCRQCよりも大きなセキュリティリスクとなるでしょう。{SNARKs}にとって主な懸念はバグです。

バグは現行のデジタル署名や暗号方式でも課題ですが、{SNARKs}は遥かに複雑です。実際、デジタル署名方式は「私はこの公開鍵に対応する秘密鍵を知っており、このメッセージを承認する」という主張の非常にシンプルな{zkSNARK}ともみなせます。

PQC署名については、即時リスクとしてサイドチャネルやフォールトインジェクション攻撃など実装攻撃も含まれます。これらの攻撃は実際に配備されたシステムから秘密鍵を抽出できることが知られています。これは遠い量子コンピュータより緊急な脅威です。

コミュニティは今後数年、{SNARKs}のバグの特定と修正、PQC署名実装のサイドチャネル・フォールト耐性強化に取り組む必要があります。PQC{SNARKs}や署名集約方式の標準化が定まっていない現状、早すぎる移行は非最適方式へのロックインや、実装脆弱性が発覚した際の再移行リスクを孕みます。

私たちはどうするべきか？7つの提言

上記の現実を踏まえ、さまざまな関係者——開発者から政策立案者まで——への提言をまとめます。最重要原則：量子的脅威を真剣に受け止めつつ、「2030年以前にCRQCが登場する」前提では行動しないこと。現時点の進捗ではその仮定は裏付けられていません。それでも、今すぐできる、すべきことはあります：

ハイブリッド暗号を即時導入すべきです。

少なくとも長期的秘匿性が重要でコストが許容できる場合には。

多くのブラウザー、CDN、メッセージアプリ（iMessageやSignalなど）は既にハイブリッド方式を導入済みです。ハイブリッド方式——PQC+従来方式——はHNDL攻撃を防ぐと同時に、PQC方式の潜在的弱点に備えられます。

サイズが許容できるならハッシュベース署名を即時採用。

ソフトウェア／ファームウェア更新など低頻度・サイズ非感応な用途には、ハイブリッドハッシュベース署名を即時適用すべきです（ハイブリッドは新方式の実装バグリスクに備えるためであり、ハッシュベース仮定自体は堅いからです）。

これは保守的で、万が一CRQCが予想外に早期登場した場合、社会全体に明確な「ライフボート」を提供します。前もってPQC署名のソフトウェア更新がなければ、CRQC登場後にはセキュアなPQCパッチ配布自体ができなくなります。

ブロックチェーンはPQC署名導入を急ぐ必要はない——だが計画は今すぐ始めるべき。

開発者はネットワークPKIコミュニティに倣い、PQC署名導入には慎重なアプローチを取りましょう。これにより、PQC署名方式はパフォーマンスも安全性理解も成熟でき、開発者はシステムをより大きな署名に対応させたり、集約技術を開発する時間も得られます。

ビットコインや他のL1については：コミュニティで移行経路と放棄された量子脆弱資金に関する方針を定める必要があります。受動的な移行は不可能なので、計画が不可欠です。またビットコインは特に非技術的障壁——ガバナンスの遅さ・高額で大量の潜在的放棄コイン——があるため、今すぐ計画スタートが重要です。

同時に、PQC{SNARKs}や集約署名の研究が成熟するのを待つ必要があります（数年かかる可能性