StarkWareの研究者アビフ・モルデチャイ・レヴィ(Avihu Mordechai Levy)による提案によれば、ビットコインのコアとなるプロトコルを変更せずに、将来の量子攻撃に対してトランザクションを耐性化できる可能性があります。 最近の論文でレヴィは、「Quantum-Safe Bitcoin(量子セーフ・ビットコイン)」と呼ぶトランザクション方式について、今日使われている楕円曲線暗号が量子コンピュータによって破られても安全性を維持するよう設計されたものだと説明しています。この手法は、ビットコインの既存のスクリプトルールの範囲で機能し、ソフトフォークやその他のネットワーク更新は不要です。 「私たちは、ビットコインのプロトコルに変更を必要とせず、ショアのアルゴリズムが存在しても安全であり続ける、量子セーフ・ビットコインのトランザクション方式QSBを提示します」とレヴィは書いています。
この提案は、楕円曲線署名をハッシュベースの暗号とラモート署名に置き換えます。ラモート署名は、量子攻撃に耐性があると考えられている初期の署名方式です。 「ラモート署名はポスト量子の安全性を備えており、かつ取引の暗号学的に強固な識別子に署名します。そのため、攻撃者が量子計算能力を持っていても偽造できない新しいラモート署名を生成しない限り、取引を改変することは不可能です」とレヴィは書いています。 この設計の中心にあるのは、トランザクションがブロードキャストされる前に解かなければならない暗号パズルです。論文では、有効な解を見つけるには約70兆回の試行が必要になると見積もっています。
ビットコインのマイニングとは異なり、この計算はトランザクションがネットワークに到達する前に行われます。ユーザーはオフチェーンで作業を実行し、パズルが解かれたことを示す証明をすでに含んだトランザクションを提出します。 レヴィは、このパズルはGPUなどの汎用的なハードウェアで、取引1件あたり数百ドルのコストで解ける可能性があると見積もっています。 この方式は、ビットコインのスクリプト上の制限である201のオペコードと10,000バイトの範囲で動作するよう設計されています。論文では、これらの制限は非常に厳しいと述べています。未使用のスクリプト分岐に現れていても、すべてのオペコードが合計にカウントされるためです。 こうした制限に収めるため、システムはラモート署名とハッシュベースのパズルを、階層化されたトランザクション構造の中で組み合わせます。また、取引を改変しようとする誰もがパズルを再度解くことを要求する「トランザクションのピン留め(transaction pinning)」も導入します。 レヴィは、この仕組みを「スケーラブルな解決策」ではなく「最後の手段」として説明しています。論文によれば、オフチェーンの計算コストとオンチェーンのトランザクションサイズの両方が、ビットコインの目標スループットや大多数のユーザーのニーズに対してはスケールしないとのことです。 トランザクションの作成も標準的なビットコインの利用より複雑で、現在のリレー・ポリシーの下では非標準と見なされる可能性があります。つまり、公的なメンプールを通じてブロードキャストするのではなく、マイニングプールに直接提出する必要があり、伝播に問題が生じ得るということです。 この提案には、セキュリティ上のトレードオフもあります。楕円曲線署名を脅かすショアのアルゴリズムに基づく攻撃は回避できますが、グローバーのアルゴリズムは量子攻撃者に対して二次的なスピードアップを提供し得ます。 「量子の脅威が現実のものだと信じられる限り、ビットコインのために最良の解決策—最大限効率的で、ユーザーフレンドリーで、プロトコルレベルの変更を通じてビットコインのニーズに応えるもの—を研究し実装し続ける取り組みは、なお必要です」とレヴィは書いています。
レヴィの論文は、量子耐性のある暗号へビットコインが移行できるようにする方法をめぐって出てきたいくつかの提案のうちの一つです。これには、量子セーフ署名をサポートすることを目的としたPay-to-Merkle-Rootアドレス形式を導入するBIP-360が含まれます。 ビットコインへの量子の脅威はなお理論上にとどまる一方で、GoogleやCloudflareなどの企業はすでにそれに備えており、ポスト量子への移行に向けた2029年の期限を設定しています。
関連記事
