量子コンピューティングとブロックチェーン:緊急性と実際の脅威を一致させる
TechFlow厳選深潮セレクト
量子コンピューティングとブロックチェーン:緊急性と実際の脅威を一致させる
最近のバグリスクは量子攻撃よりもはるかに大きい。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Justin Thaler
翻訳:白話ブロックチェーン
暗号関連の量子コンピュータに関するタイムラインは頻繁に誇張されており、緊急かつ包括的な後量子暗号(PQ)への移行が求められている。
しかし、これらの呼びかけは、早期移行に伴うコストとリスクを無視しており、異なる暗号プリミティブ間のリスクプロファイルの明確な違いも見落としている:
後量子暗号はコストがあるものの、直ちに導入が必要である。「今盗聴し、後に復号」(Harvest-Now-Decrypt-Later, HNDL)攻撃はすでに進行中であり、今日暗号化された機密データは、数十年後であっても、量子コンピュータが実現した時点で依然価値を持つ。後量子暗号には性能オーバーヘッドや実装リスクが存在するが、HNDL攻撃により、長期的な機密性が求められるデータには選択肢がない。
一方、後量子署名は異なる評価が必要である。HNDL攻撃に対して脆弱ではなく、そのコストとリスク(サイズの増大、性能オーバーヘッド、未熟な実装およびエラー)は、即時移行ではなく慎重な検討を要する。
この違いは極めて重要である。誤解はコスト・ベネフィット分析を歪め、チームがより深刻なセキュリティリスク(例:バグ)を見過ごす原因となる。
後量子暗号への成功した移行の真の課題は、緊急性と実際の脅威との整合性にある。以下では、量子計算が暗号に与える脅威についての一般的な誤解を明らかにする——暗号、署名、ゼロ知識証明をカバーし、特にブロックチェーンへの影響に焦点を当てる。
私たちの進捗状況はどうか?
注目される主張にもかかわらず、2020年代に暗号関連の量子コンピュータ(CRQC)が登場する可能性は非常に低い。
ここで言う「暗号関連の量子コンピュータ」とは、フォールトトレラントで誤り訂正可能な量子コンピュータであり、Shorのアルゴリズムを十分な規模で実行でき、現実的な時間内(例えば、最大1か月の継続的計算で{secp}256{k}1または{RSA-2048}を破る)に楕円曲線暗号やRSAを攻撃できるものを指す。
公開されたマイルストーンやリソース推定に対する合理的な解釈によれば、我々は暗号関連の量子コンピュータからまだ非常に遠い。企業はCRQCが2030年以前、あるいは2035年頃までに出現する可能性があると主張することがあるが、公開されている進展はこれらを支持していない。
背景として、現在のすべてのアーキテクチャ——イオントラップ、超伝導量子ビット、中性原子系——において、今日の量子コンピューティングプラットフォームは、{RSA-2048}や{secp}256{k}1を攻撃するShorのアルゴリズムを実行するために必要な数十万から数百万の物理量子ビット(誤り率や誤り訂正方式に依存)に近づいていない。
制約は単に量子ビット数だけでなく、ゲート忠実度、量子ビット接続性、深い量子アルゴリズム実行に必要な持続的な誤り訂正回路の深さにも及ぶ。一部のシステムはすでに1,000以上の物理量子ビットを超えており、しかし単純な量子ビット数は誤解を招く:これらのシステムは、暗号関連計算に必要な量子ビット接続性やゲート忠実度を欠いている。
最近のシステムは量子誤り訂正が機能し始める物理誤り率に近づきつつあるが、持続的な誤り訂正回路を持つ少数の論理量子ビットを示した事例さえ限られており……ましてやShorのアルゴリズムを実際に実行するために必要な数千の高忠実度、深回路、フォールトトレラントな論理量子ビットではない。原理的に量子誤り訂正が可能であることと、暗号解析に必要なスケールを実現することとの間には、依然として巨大なギャップがある。
簡潔に言えば:量子ビット数と忠実度がともに数桁向上しない限り、暗号関連の量子コンピュータは手の届かないものである。
しかし、企業のプレスリリースやメディア報道は容易に混乱を招く。以下はよくある誤解や混乱の源である:
「量子優位性」のデモンストレーションは、現在人工的なタスクを対象としている。これらのタスクは有用性のために選ばれたわけではなく、既存ハードウェア上で実行可能で、大きな量子加速を示しているように見えることから選ばれている——この事実は発表文書でしばしばぼやかされる。
企業が数千の物理量子ビットを達成したと主張しても、それは量子アニーリングマシンであり、公開鍵暗号を攻撃するShorのアルゴリズムを実行するゲートモデルマシンではない。
企業が「論理量子ビット」という用語を自由に使用している。物理量子ビットはノイズが多い。前述のように、量子アルゴリズムは論理量子ビットを必要とする;Shorのアルゴリズムは数千を要する。量子誤り訂正により、多数の物理量子ビットを使って1つの論理量子ビットを実現できる——誤り率に応じて数百から数千個かかる。しかし、一部の企業はこの用語を意味不明なまでに拡大している。たとえば、距離2符号を用いて2つの物理量子ビットだけで論理量子ビットを実現したと最近発表した事例がある。これは馬鹿げている:距離2符号はエラーを検出できるだけで、訂正はできない。暗号解析に本当に使えるフォールトトレラントな論理量子ビットは、それぞれ数百から数千の物理量子ビットを必要とし、2つでは済まない。
より一般的に、多くの量子コンピューティングロードマップは、「論理量子ビット」という用語をClifford演算のみをサポートする量子ビットを指して使っている。これらの演算は古典的に効率的にシミュレート可能であり、Shorのアルゴリズムを実行するには不十分である。Shorのアルゴリズムは数千の誤り訂正されたTゲート(あるいは一般の非Cliffordゲート)を必要とする。
あるロードマップが「X年までに数千の論理量子ビットを実現」と目標を掲げていても、それは同年度X年にShorのアルゴリズムを用いて従来の暗号を破ると予測しているわけではない。
これらの慣行は、一般市民だけでなく成熟した観察者に対しても、暗号関連の量子コンピュータまでの距離に関する認識を大きく歪めている。
ただし、一部の専門家は進展に興奮している。たとえばScott Aaronsonは最近、「現在の驚異的なハードウェア開発速度」を踏まえ、
次回の米国大統領選挙前に、Shorのアルゴリズムを実行するフォールトトレラントな量子コンピュータが登場するという現実的な可能性があると考えるようになった。
しかしAaronsonは後に、彼の発言は暗号関連の量子コンピュータを意味するものではないと明確にした:彼は15 = 3 × 5 を因数分解できたとしても達成とみなす——これは鉛筆と紙でより速く計算できる。基準は小規模でのShorのアルゴリズムの実行であり、暗号関連のスケールではない。なぜなら、過去に量子コンピュータで15を因数分解した実験は、完全なフォールトトレラントなShorのアルゴリズムではなく、簡略化された回路を使用していたからだ。また、こうした実験が常に15の因数分解に限定される理由は、モジュロ15の算術が簡単だからであり、21といったわずかに大きい数字の因数分解ははるかに困難である。そのため、21の因数分解を主張する量子実験は、通常追加のヒントや短縮手法に依存している。
簡単に言えば、未来5年以内に{RSA-2048}や{secp}256{k}1を破れる暗号関連の量子コンピュータが登場するという期待——実用的暗号にとって重要な——は、公開されている進展によって裏付けられていない。
10年でも野心的である。暗号関連の量子コンピュータまでの距離を考えると、進展に興奮することは10年以上のタイムラインと矛盾しない。
それでは、米国政府が政府システムの完全な後量子(PQ)移行の最終期限を2035年としたのはどうか?私は、これほど大規模な移行を完了するための妥当なスケジュールだと考える。しかし、これは暗号関連の量子コンピュータがその時点で存在すると予測しているわけではない。
HNDL攻撃が適用される場合(されない場合)
「今盗聴し、後に復号」(HNDL)攻撃とは、相手が現在暗号化された通信を保存しておき、暗号関連の量子コンピュータが実現した時点でそれを復号する行為を指す。国家レベルの敵対勢力は、おそらくすでに米国政府からの暗号化通信を大規模にアーカイブしており、CRQCが実際に存在するようになって多年後でも復号できるようにしている。
これが、暗号が直ちに移行しなければならない理由である——少なくとも10〜50年以上の機密保持が必要な場合は。
しかし、すべてのブロックチェーンが依存するデジタル署名は、暗号とは異なる:過去の機密性を遡って攻撃する手段はない。
つまり、暗号関連の量子コンピュータが到来した場合、署名の偽造はその時点から可能になるが、過去の署名は暗号化メッセージのように「秘密を隠している」わけではない。CRQC到来前に生成されたデジタル署名であることがわかれば、それが偽造されているはずがない。
このため、後量子デジタル署名への移行は、暗号の後量子移行ほど緊急ではない。
主要プラットフォームはそれに応じて行動している:ChromeおよびCloudflareは、ネットワークのトランスポート層セキュリティ(TLS)暗号に混合{X}25519+{ML-KEM}を導入している。
本稿では読みやすさのため「暗号方式」と表現するが、厳密にはTLSのようなセキュア通信プロトコルは公開鍵暗号ではなく、鍵交換または鍵カプセル化メカニズムを使用している。
ここで**「混合」とは、後量子安全方式(すなわちML-KEM)と既存方式({X}25519)を同時に使用し、両方の安全性を組み合わせる**ことを意味する。これにより、HNDL攻撃を(願わくば)ML-KEMで阻止しつつ、ML-KEMが今日のコンピュータに対しても安全でないと判明した場合に備えて{X}25519で従来の安全性を維持できる。
AppleのiMessageもPQ3プロトコルを通じてこのような混合後量子暗号を展開しており、SignalもPQXDHおよびSPQRプロトコルを通じて展開している。
一方、後量子デジタル署名をキーネットワークインフラに普及させることは、暗号関連の量子コンピュータが実際に近づくまで延期されており、これは現在の後量子署名方式が性能低下を引き起こすためである(後述)。
zkSNARKs——ゼロ知識簡潔非インタラクティブ知識証明——は、ブロックチェーンの長期的なスケーラビリティとプライバシーの鍵となるが、署名と同様の立場にある。なぜなら、非後量子安全な{zkSNARKs}(今日の非後量子暗号や署名方式と同様に楕円曲線暗号を使用)であっても、そのゼロ知識性は後量子安全だからである。
ゼロ知識性は、証明の中で秘密の証人に関するいかなる情報も漏らさないことを保証する——量子の相手であっても——よって「先に盗聴」して後で復号可能な機密情報は存在しない。
したがって、{zkSNARKs}は「今盗聴し、後に復号」攻撃に対して脆弱ではない。今日生成された非後量子署名が安全であるのと同じように、暗号関連の量子コンピュータ到来前に生成された任意の{zkSNARK}証明は信頼できる(つまり、証明された命題は絶対に真である)——{zkSNARK}が楕円曲線暗号を使用していても。暗号関連の量子コンピュータ到来後でなければ、攻撃者は偽の命題に対する説得力のある証明を得ることはできない。
ブロックチェーンにとっての意味
ほとんどのブロックチェーンはHNDL攻撃にさらされていない:
現在のBitcoinやEthereumのような非プライバシー型チェーンの多くは、取引認可に非後量子暗号を主に使用している——つまり、暗号ではなくデジタル署名を使用している。
同様に、これらの署名はHNDLリスクではない:「今盗聴し、後に復号」攻撃は暗号化データに適用される。たとえば、Bitcoinのブロックチェーンは公開されている;量子の脅威は署名の偽造(秘密鍵を導出して資金を盗むこと)であり、すでに公開されている取引データを復号することではない。これにより、HNDL攻撃による即時の暗号的緊急性が取り除かれる。
残念ながら、FRBのような信頼できる情報源からの分析でさえ、BitcoinがHNDL攻撃に対して脆弱であると誤って主張しており、この誤りは後量子暗号への移行の緊急性を誇張している。
とはいえ、緊急性の低下はBitcoinが待ってよいということではない:プロトコル変更に必要な巨大な社会的調整という別のタイムラインのプレッシャーがある。
今日の例外はプライバシー重視チェーンであり、これらは多くの場合受信者や金額を暗号化または他の方法で隠している。量子コンピュータが楕円曲線暗号を破れるようになった時点で、このような機密性は現在盗聴され、遡って匿名性が剥奪される。
このようなプライバシーチェーンにおける攻撃の深刻さは、ブロックチェーン設計によって異なる。たとえばMoneroの曲線ベースリング署名とキーイメージ(二重支出防止のための各アウトプットのリンク可能ラベル)では、パブリックレジャー自体ですべての支出グラフを遡って再構築できる。他のチェーンでは被害はより限定的である——詳細はZcashの暗号エンジニア兼研究者Sean Boweの議論を参照。
ユーザーの取引が暗号関連の量子コンピュータに暴露されては困る場合、プライバシーチェーンは可能な限り早く後量子プリミティブ(または混合方式)に移行すべきである。あるいは、復号可能な秘密をチェーン上に置かないアーキテクチャを採用すべきである。
Bitcoinの特殊な難問:ガバナンス+放置通貨
特にBitcoinの場合、後量子デジタル署名への移行を開始する緊急性を押し上げる現実的な二つの要因がある。どちらも量子技術とは無関係である。
一つ目の懸念はガバナンスの速度である:Bitcoinの変化は遅い。コミュニティが適切な解決策で合意できなければ、議論のある問題は破壊的なハードフォークを引き起こす可能性がある。
もう一つの懸念は、Bitcoinが後量子署名に移行する際に受動的移行ではいけない点である:所有者が自ら通貨を移行しなければならない。つまり、放置された、量子攻撃に弱い通貨は保護できない。いくつかの推計では、量子攻撃に弱く、おそらく放置されているBTCの量は数百万単位に達し、現在価格(2025年12月時点)で数百億ドル相当になるとされている。
しかし、Bitcoinに対する量子の脅威は突然の一夜の災害ではなく、選択的で漸進的な標的化プロセスに似ている。量子コンピュータはすべての暗号を同時に破ることはない——Shorのアルゴリズムは一つの公開鍵ごとに個別に適用されなければならない。初期の量子攻撃は極めて高価で遅い。したがって、量子コンピュータが単一のBitcoin署名鍵を破れるようになった時点で、攻撃者は高価値のウォレットを選んで狩るだろう。
さらに、アドレスの再利用を避け、Taprootアドレス(チェーン上で直接公開鍵を露出する)を使用しないユーザーは、プロトコル変更がなくても大幅に保護されている:彼らの公開鍵は、通貨が消費されるまではハッシュ関数の後ろに隠されている。最終的に消費取引をブロードキャストするとき、公開鍵が可視になり、誠実な送信者が取引を承認しようとするのと、量子装備の攻撃者が真正な所有者の取引が確定する前に秘密鍵を見つけ出して通貨を消費しようとするのとの間に、短いリアルタイム競争が生じる。したがって、真に脆弱な通貨は、公開鍵がすでに露出している通貨である:初期のペイツーパブリックキー(p2pk)出力、アドレス再利用、Taproot保有。
放置された脆弱な通貨については、簡単な解決策はない。いくつかの選択肢:
Bitcoinコミュニティが「フラッグデー」に合意し、その後、移行されていないすべての通貨は消滅すると宣言する。
放置された量子攻撃に弱い通貨は、暗号関連の量子コンピュータを持つ者なら誰でも取得できる。
二番目の選択肢は重大な法的・セキュリティ問題を引き起こす。秘密鍵なしに量子コンピュータを使って通貨を占有すること——合法的な所有権を主張したり善意であっても——多くの法域で窃盗およびコンピュータ詐欺法に基づき重大な問題を引き起こす可能性がある。
さらに、「放置」自体は非活動に基づく推定である。しかし、本当に誰もキーを持つ生存中の所有者がいないのかどうか、誰も知らない。かつてその通貨を所有していたという証拠は、暗号保護を解除して回収する法的権限を与えるには不十分かもしれない。このような法的曖昧さは、放置された量子攻撃に弱い通貨が法的制限を無視する悪意ある行為者に落ちる可能性を高める。
Bitcoin特有の最後の問題は、その低い取引スループットである。移行計画が最終決定されたとしても、すべての量子攻撃に弱い資金を後量子安全アドレスに移行するには、Bitcoinの現在の取引レートでは数か月かかる。
これらの課題により、Bitcoinが今すぐ後量子移行の計画を始めることが極めて重要になる——暗号関連の量子コンピュータが2030年以前に到来する可能性があるからではなく、数十億ドル相当の通貨を移行するために必要なガバナンス、調整、技術的物流が解決に何年もかかるからである。
Bitcoinに対する量子の脅威は現実的だが、タイムラインのプレッシャーは迫り来る量子コンピュータではなく、Bitcoin自身の制約から来ている。他のブロックチェーンもそれぞれ量子攻撃に弱い資金の課題に直面しているが、Bitcoinは独特の暴露を抱えている:最も初期の取引ではペイツーパブリックキー(p2pk)出力を使用し、公開鍵を直接チェーン上に置いており、BTCの相当部分が特に暗号関連の量子コンピュータに対して脆弱になっている。この技術的差異——加えてBitcoinの古さ、価値の集中、低スループット、ガバナンスの硬直性——が問題を特に深刻にしている。
なお、私が上記で説明した脆弱性は、Bitcoinデジタル署名の暗号的安全性に適用される——しかしBitcoinブロックチェーンの経済的安全性には適用されない。この経済的安全性は作業量証明(PoW)コンセンサスメカニズムに由来し、以下の三つの理由から量子コンピュータの攻撃を受けにくい:
PoWはハッシュに依存するため、Shorのアルゴリズムによる指数的加速ではなく、Grover探索アルゴリズムによる二次的量子加速しか受けない。
Grover探索を実装する実際のオーバーヘッドにより、いかなる量子コンピュータもBitcoinのPoWメカニズムでわずかな実用的加速を達成することさえ極めて不可能である。
仮に著しい加速が達成されたとしても、それは大規模な量子マイナーに小規模マイナーよりの優位性を与えるだけであり、Bitcoinの経済的安全モデルを根本的に破壊するものではない。
後量子署名のコストとリスク
ブロックチェーンが後量子署名の展開を急ぐべきでない理由を理解するには、性能コストと、後量子安全性に関する我々の理解がまだ進化中であることに注意する必要がある。
ほとんどの後量子暗号は以下の五つのアプローチのいずれかに基づいている:
-
ハッシュ (hashing)
-
符号 (codes)
-
格子 (lattices)
-
多変数二次システム (multivariate quadratic systems, MQ)
-
同種写像 (isogenies)。
なぜ五つの異なるアプローチがあるのか?任意の後量子暗号プリミティブの安全性は、量子コンピュータが特定の数学的問題を効率的に解けないと仮定することに依存している。その問題が「構造的」であればあるほど、そこから構築できる暗号プロトコルは効率的になる。
しかし、これは利点と欠点がある:追加の構造は攻撃アルゴリズムに利用可能な余地も増やす。これにより根本的な矛盾が生じる——強い仮定はより良い性能を可能にするが、潜在的なセキュリティ穴(仮定が誤りである可能性)の代償を伴う。
一般に、ハッシュベースのアプローチは安全性の面で最も保守的である。我々が量子コンピュータがこれらのプロトコルを効率的に攻撃できないと最も確信しているからだ。しかし、性能は最悪である。たとえば、NISTが標準化したハッシュベースの署名方式は、最小パラメータ設定でも7〜8KBのサイズになる。対照的に、今日の楕円曲線ベースのデジタル署名は64バイトである。これは約100倍のサイズ差である。
格子方式は現在展開の主要な焦点である。NISTが標準化を選んだ唯一の暗号方式と3つの署名アルゴリズムのうち2つは格子ベースである。一種の格子方式(ML-DSA、旧称Dilithium)は、署名サイズが128ビットセキュリティレベルで2.4KB、256ビットレベルで4.6KBと、今日の楕円曲線署名より約40〜70倍大きい。もう一つの格子方式Falconはやや小さい署名(Falcon-512で666バイト、Falcon-1024で1.3KB)を持つが、複雑な浮動小数点演算を伴い、NIST自身が特別な実装上の課題と明記している。Falconの創始者の一人Thomas Porninはこれを「自分が実装した中で最も複雑な暗号アルゴリズム」と呼んでいる。
格子ベースのデジタル署名の実装安全性は、楕円曲線ベースの方式よりも難しい:ML-DSAにはより多くの敏感な中間値と非自明な拒否サンプリングロジックがあり、サイドチャネルおよびフォールト保護が必要である。Falconは定数時間浮動小数点問題を追加する;実際、Falconの実装に対する複数回のサイドチャネル攻撃で秘密鍵が回復されている。
これらの問題は、暗号関連の量子コンピュータの遠い脅威とは対照的に、即時のリスクを構成する。
性能の高い後量子暗号方式を展開する際には、慎重である理由がある。歴史的に、Rainbow(MQベースの署名方式)やSIKE/SIDH(同種写像ベースの暗号方式)といった有力候補が、古典的(つまり今日のコンピュータ、量子コンピュータではない)に破られたことがある。
これはNIST標準化プロセスの非常に遅い段階で起きた。健全な科学の発揮ではあるが、早すぎる標準化と展開が逆効果になる可能性を示している。
前述のように、インターネットインフラは署名移行に対して慎重なアプローチを取っている。一度開始された暗号移行にどれだけの時間がかかるかを考えると、これは特に注目に値する。MD5およびSHA-1ハッシュ関数の移行——数年前に技術的に廃止された——はインフラ内で実際に実施されるまで何年もかかり、一部ではまだ進行中である。これは、これらの方式が将来技術の潜在的脆弱性ではなく、完全に破られていたためである。
ブロックチェーンとインターネットインフラの独自の課題
幸運にも、EthereumやSolanaのようなオープンソース開発者コミュニティによって積極的にメンテナンスされているブロックチェーンは、従来のネットワークインフラよりも迅速にアップグレードできる。一方、従来のネットワークインフラは頻繁な鍵ローテーションの恩恵を受け、その攻撃対象が初期の量子マシンが標的とする速度よりも速く移動する——これは、通貨とその関連鍵が無期限に露出し続けるブロックチェーンにはない贅沢である。
しかし全体として、ブロックチェーンはネットワークの慎重な署名移行アプローチに従うべきである。両方の環境で署名はHNDL攻撃に対して露出しておらず、鍵がどれだけ長く続くかに関わらず、未熟な後量子方式へ早すぎる移行のコストとリスクは依然大きい。
また、ブロックチェーン特有の課題もあり、早すぎる移行は特に危険で複雑である:たとえば、ブロックチェーンは署名方式に独特の要求を持ち、特に多数の署名を高速に集約できる能力がある。現在、BLS署名は非常に高速な集約が可能なためよく使用されているが、後量子安全ではない。研究者は、SNARKベースの後量子署名集約を探求している。この研究は有望だが、まだ初期段階である。
SNARKsに関しては、コミュニティは現在、ハッシュベースの構造を主要な後量子オプションとして重視している。しかし、大きな変化が近づいている:私は今後数ヶ月から数年のうちに、格子ベースのオプションが魅力的な代替になると考えている。これらの代替案は、証明がより短いなど、ハッシュベースの{SNARKs}よりもあらゆる面で優れた性能を持つだろう——ちょうど格子ベースの署名がハッシュベースの署名より短いのと同様に。
現在もっと大きな問題:実装安全性
今後数年間、実装の脆弱性は暗号関連の量子コンピュータよりも大きなセキュリティリスクとなるだろう。{SNARKs}にとっては、主な懸念はプログラムのバグ(bugs)である。
バグはすでにデジタル署名や暗号方式の課題であり、{SNARKs}はそれよりはるかに複雑である。実際、デジタル署名方式は「私の公開鍵に対応する秘密鍵を知っており、このメッセージを承認しています」という命題に対する非常に単純な{zkSNARK}と見なすことができる。
後量子署名では、即時のリスクにはサイドチャネルやフォールトインジェクション攻撃などの実装攻撃も含まれる。こうした攻撃は文書化されており、展開されたシステムから秘密鍵を抽出できる。これらは遠い量子コンピュータよりも緊急の脅威である。
コミュニティは、{SNARKs}内のバグを特定・修正し、後量子署名の実装をサイドチャネルおよびフォールトインジェクション攻撃に耐えるように強化するために、長年にわたり作業を行うだろう。後量子{SNARKs}および署名集約方式に関する議論が settled していないため、早すぎる移行を行うブロックチェーンは、最適でない方式にロックオンするリスクを負う。より良い選択肢が現れたり、実装の脆弱性が発見されたりしたときに、再び移行が必要になるかもしれない。
どうすべきか?7つの提言
私が上記で概説した現実を踏まえ、構築者から政策立案者までのさまざまなステークホルダーに対する提言で締めくくる。最優先原則:量子の脅威を真剣に受け止めよ、しかし暗号関連の量子コンピュータが2030年以前に到来するという仮定の下で行動するな。 この仮定は現在の進展によって裏付けられていない。それでも、我々は今すぐできること、すべきことがある:
混合暗号を直ちに展開すべきである。
あるいは、少なくとも長期的な機密保持が重要で、コストが許容できる場合には。
多くのブラウザ、CDN、メッセージアプリ(iMessageやSignalなど)はすでに混合方式を展開している。混合方式——後量子+従来——はHNDL攻撃を防御しつつ、後量子方式の潜在的な弱点に対してヘッジできる。
サイズが許容できる場合は、直ちにハッシュベースの署名を使用すべきである。
ソフトウェア/ファームウェア更新——およびその他低頻度でサイズに鈍感な用途——は、直ちに混合ハッシュベースの署名を採用すべきである。(混合は、ハッシュベースのセキュリティ仮定に疑問があるためではなく、新方式の実装エラーに対するヘッジのためである。)
これは保守的であり、暗号関連の量子コンピュータが意外に早期に出現するというありそうもない場合に、社会に明確な「救命ボート」を提供する。事前に後量子署名のソフトウェア更新が展開されていなければ、CRQC出現後にはブートストラップ問題に直面する:それに対抗するために必要な後量子暗号の修正
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
a16z
