Gateアプリをダウンロードするにはスキャンしてください

その他のダウンロードオプション

今日はこれ以上表示しない

なぜヴィタリックは量子コンピュータがイーサリアムの暗号を予想より早く破る可能性があると考えているのか

#ethereum news

Cointelegraph

2025-12-01 16:12:15

重要なポイント

ブテリンは、量子コンピュータが2030年までに現在の暗号を破る可能性が20%あると考えており、イーサリアムはその可能性に備え始めるべきだと主張しています。
重要なリスクの一つはECDSAに関わっています。一度公開鍵がオンチェーンで見えると、将来の量子コンピュータが理論的にそれを使って対応する秘密鍵を復元できる可能性があります。
ブテリンの量子緊急計画には、ブロックの巻き戻し、EOAの凍結、および量子耐性のスマートコントラクトウォレットへの資金の移動が含まれています。
緩和とは、スマートコントラクトウォレット、NIST承認のポスト量子署名、および混乱なくスキームを切り替えることができるクリプトアジャイルインフラストラクチャを意味します。

2025年末、Ethereumの共同創設者ヴィタリック・ブテリンは、通常はSF用語で議論されるリスクに数字を付けるという珍しいことをしました。

予測プラットフォームのMetaculusを引用して、ブテリンは「2030年までに今日の暗号を破ることができる量子コンピュータが登場する可能性は約20%であり、中央値の予測は2040年に近い」と述べた。

数ヶ月後、ブエノスアイレスでのDevconnectで、彼は「イーサリアムとビットコインの基盤である楕円曲線暗号は、2028年の次の米国大統領選挙の前に破綻する可能性がある」と警告しました。彼はまた、イーサリアムが約4年以内に量子耐性の基盤に移行するよう促しました。

彼によれば、2020年代に暗号学的に関連する量子コンピュータが登場する非自明な可能性がある。そうであれば、そのリスクはEthereumの研究ロードマップに属するべきであり、遠い未来のこととして扱うべきではない。

知っていましたか？ 2025年の時点で、Etherscanのデータは 3億5000万以上のユニークなEthereumアドレスを示しており、ネットワークがどれほど広がったかを強調していますが、それらのアドレスのうち意味のある残高を保持しているものや、アクティブなものはごくわずかです。

量子コンピュータがイーサリアムの暗号技術にとって問題である理由

イーサリアムのセキュリティの大部分は、楕円曲線離散対数(ECDLP)方程式に依存しており、これは楕円曲線デジタル署名アルゴリズム(ECDSA)の基礎となっています。イーサリアムは、これらの署名にsecp256k1楕円曲線を使用しています。単純に言うと:

あなたのプライベートキーは大きなランダムな数字です。
あなたの公開鍵は、その秘密鍵から導出された曲線上の点です。
あなたのアドレスは、その公開鍵のハッシュです。

古典的なハードウェアでは、秘密鍵から公開鍵への変換は簡単ですが、逆は計算上不可能であると考えられています。その非対称性が、256ビットの鍵が実質的に推測不可能と見なされる理由です。

量子コンピュータはその非対称性を脅かします。1994年に提案されたショアのアルゴリズムは、十分に強力な量子コンピュータが離散対数方程式および関連する因数分解方程式を多項式時間で解決できることを示しており、これによりリベスト-シャミール-アデルマン(RSA)、ディフィー-ヘルマン、そしてECDSAのようなスキームが損なわれる可能性があります。

インターネット技術タスクフォースと国家標準技術研究所 (NIST) は、古典的な楕円曲線システムが暗号的に関連する量子コンピュータの存在下で脆弱であることを認識しています (CRQC)。

ブテリンのイーサリアム研究に関する投稿は、潜在的な量子緊急事態についての重要な微妙さを強調しています。アドレスから一度も支出したことがない場合、オンチェーンで見ることができるのは公開鍵のハッシュのみであり、それは依然として量子安全であると考えられています。一度トランザクションを送信すると、公開鍵が明らかになり、将来の量子攻撃者にあなたの秘密鍵を回復してアカウントを排出するために必要な生の材料を提供します。

したがって、核心的なリスクは、量子コンピュータがKeccakやEthereumのデータ構造を破ることではなく、将来の機械がこれまでに公開された公開鍵を持つ任意のアドレスを標的にする可能性があることであり、これはほとんどのユーザーウォレットや多くのスマートコントラクトの財務を含みます。

ブテリンが言ったことと彼がリスクをどのように位置づけているか

ブテリンの最近のコメントには2つの主な要素があります。

最初は確率の推定です。彼自身が推測する代わりに、彼はメタキュラスの予測を指摘しました。この予測では、2030年までに今日の公開鍵暗号を破る能力を持つ量子コンピュータの可能性は約5分の1とされています。同じ予測では、中間シナリオは2040年頃とされています。彼の主張は、この種のテールリスクでさえ、イーサリアムが事前に準備するには十分高いということです。

次は2028年の枠組みです。Devconnectで、彼は聴衆に対して「楕円曲線は死ぬだろう」と報告したとされており、256ビットの楕円曲線に対する量子攻撃が2028年の米国大統領選挙前に実現可能になるかもしれないという研究を引用しました。一部の報道はこれを「イーサリアムには4年がある」という見出しに圧縮しましたが、彼のメッセージはより微妙でした。

現在の量子コンピュータは、今日のEthereumやBitcoinを攻撃することはできません。
CRQCが存在するようになると、ECDSAおよび関連システムは構造的に安全ではなくなります。
グローバルネットワークをポスト量子スキームに移行するには数年かかるため、明らかな危険を待つこと自体がリスクです。

言い換えれば、彼は安全エンジニアのように考えています。次の10年間に大地震が起こる確率が20%だからといって都市を避難させることはありませんが、まだ時間があるうちに橋を強化することはします。

知っていましたか？ IBMの最新の ロードマップ は、新しい量子チップであるナイトホークとルーンを組み合わせ、2029年までに耐障害性量子コンピューティングを実証することを目指しています。また、最近、主要な量子誤り訂正アルゴリズムが従来のAMDハードウェアで効率的に動作できることを示しました。

「量子緊急」ハードフォーク計画の内部

最近の公的警告のずっと前に、ブテリンは「量子緊急事態でほとんどのユーザーの資金を守るためにハードフォークする方法」と題された2024年のイーサリアム研究記事を発表しました。それは、突然の量子のブレイクスルーがエコシステムを襲った場合に、イーサリアムが何をできるかを概説しています。

大規模な量子コンピュータが稼働し、攻撃者がすでにECDSAで保護されたウォレットを排出しているという公に発表された想像をしてみてください。それからどうなりますか？

攻撃を検出し、ロールバックします

イーサリアムは、大規模な量子窃盗が明らかになる前の最後のブロックにチェーンを戻すでしょう。

レガシーEOAトランザクションを無効化

従来の外部所有アカウント (EOAs) は ECDSA を使用しているため、資金の送信が凍結され、公開鍵が露出することでさらなる盗難が防止されます。

すべてをスマートコントラクトウォレットを通じてルートします

新しい取引タイプにより、ユーザーはゼロ知識STARKを通じて、元のシードまたは導出パスを制御していることを証明できます。例えば、脆弱なアドレスのためのBitcoin Improvement Proposal (BIP) 32 HDウォレットのプレイメージです。

証明書はまた、量子耐性スマートコントラクトウォレットのための新しい検証コードを指定します。検証されると、資金の管理はその契約に移り、その時点からポスト量子署名を強制することができます。

ガス効率のバッチ証明

STARK証明は大きいため、設計ではバッチ処理を考慮しています。集約者は証明の束を提出し、これにより多くのユーザーが同時に移動でき、各ユーザーの秘密の元画像をプライベートに保つことができます。

重要なことに、これは最終手段の復旧ツールとして位置付けられており、計画Aではありません。ブテリンの主張は、そのようなフォークに必要なプロトコルのインフラストラクチャの多く、アカウント抽象化、強力なZK証明システム、標準化された量子安全署名方式を含めて、構築できるし、構築すべきだということです。

その意味で、量子緊急対応は、Ethereumインフラストラクチャの設計要件となり、単なる興味深い思考実験ではなくなります。

専門家がタイムラインについて言うこと

バタリンが公の予測に依存しているのなら、ハードウェアや暗号技術の専門家たちは実際に何と言っているのか？

ハードウェアの面では、2024年末に発表されたGoogleのウィローチップは、これまでの最も先進的な公衆量子プロセッサの1つで、105の物理キュービットとエラー訂正された論理キュービットを備えており、特定のベンチマークで古典的なスパコンを凌駕することができます。

しかし、Googleの量子AIディレクターは「ウィローチップは現代の暗号を破る能力がない」と明言しています。彼は、RSAを破るには数百万の物理キュービットが必要であり、少なくとも10年はかかると見積もっています。

学術資源は同じ方向を指し示しています。広く引用されている分析の一つは、サーフェスコードで保護されたキュービットを使用して256ビットの楕円曲線暗号を1時間以内に破るためには、数千万から数億の物理キュービットが必要であり、これは今日利用可能なものをはるかに超えると述べています。

暗号学の側面では、NISTやマサチューセッツ工科大学のような学術グループが、暗号的に関連する量子コンピュータが存在するようになると、RSA、Diffie-Hellman、Elliptic Curve Diffie-Hellman、ECDSAを含む、実質的にすべての広く展開されている公開鍵システムを破壊することになると、何年も警告してきました。これは、収集されたトラフィックを復号化することによって遡及的に、そして署名を偽造することによって将来的に適用されます。

そのため、NISTはほぼ10年間にわたり、ポスト量子暗号競技を開催してきました。そして2024年には、最初の3つのPQC標準を確定しました：鍵カプセル化のためのML-KEMと、署名のためのML-DSAおよびSLH-DSAです。

「Q-Day」に関する専門家の合意はありません。ほとんどの推定は10年から20年の範囲にありますが、最近の研究では、攻撃的な仮定の下で、2020年代後半に楕円曲線への耐障害性攻撃が可能になる楽観的なシナリオが検討されています。

米国ホワイトハウスやNISTのような政策機関は、2030年代半ばまでに連邦システムをPQCに推進するほどリスクを真剣に受け止めており、これはその期間内に暗号的に関連する量子コンピュータが到来する非自明な可能性があることを示唆しています。

そのように見ると、ブテリンの「2030年までに20%」および「2028年以前の可能性がある」という枠組みは、リスク評価のより広いスペクトルの一部であり、真のメッセージは不確実性と長い移行リードタイムであり、今日は秘密裏に稼働しているコード破壊マシンがあるという考えではない。

知っていますか？ 2024年の国立標準技術研究所とホワイトハウスの報告書 によると、2025年から2035年の間に、米国の連邦機関がそのシステムをポスト量子暗号に移行するためには約71億ドルの費用がかかると推定されていますが、これは単一の国の政府ITスタックに過ぎません。

量子の進歩が加速した場合、Ethereumで何が変わる必要があるか

プロトコルとウォレットの側では、いくつかのスレッドがすでに収束しています:

アカウントの抽象化とスマートコントラクトウォレット

ユーザーをベアEOAからアップグレード可能なスマートコントラクトウォレットに移行することは、ERC-4337スタイルのアカウント抽象化を通じて、後で緊急ハードフォークなしに署名スキームを交換することをはるかに容易にします。一部のプロジェクトは、既にEthereum上でLamportスタイルや拡張Merkle署名スキーム(XMSS)スタイルの量子耐性ウォレットをデモしています。

ポスト量子署名スキーム

イーサリアムは(を選択し、)一つ以上のPQC署名ファミリーをバトルテストする必要があります。(おそらくNISTのML-DSA/SLH-DSAまたはハッシュベースの構築から)を選び、鍵のサイズ、署名のサイズ、検証コスト、スマートコントラクトの統合におけるトレードオフを検討する必要があります。

残りのスタックのためのクリプトアジリティ

楕円曲線はユーザーキーだけに使用されるわけではありません。BLS署名、KZGコミットメント、そしていくつかのロールアップ証明システムも離散対数の困難性に依存しています。深刻な量子耐性のロードマップは、これらの構成要素の代替案が必要です。

社会とガバナンスの面で、ブテリンの量子緊急フォーク提案は、いかに多くの調整が本当の対応に必要かを思い出させるものです。完璧な暗号技術があったとしても、ブロックを巻き戻したり、レガシーアカウントを凍結したり、大規模な鍵の移行を強制したりすることは、政治的および運用的に議論を呼ぶでしょう。それが、彼や他の研究者が主張する理由の一部です。