米大手ベンチャーキャピタル企業アンドリーセン・ホロウィッツ(a16z)の暗号資産(仮想通貨)部門のジャスティン・テイラー氏は、暗号技術として実用的な量子コンピュータの実現はまだ遠い将来であるとして、暗号資産(仮想通貨)業界に対し、量子脅威に対するパニックに陥らないように促した。
a16zのリサーチ・パートナーでジョージタウン大学コンピュータサイエンス学部の准教授であるテイラー氏は、「2年で公開鍵暗号は破られる」や「100年先」といった極端な予測はどちらも正しくないと述べている。2030年までに暗号解読に実用的な量子コンピュータ(CRQC)が実現する可能性は非常に低いと指摘。また、米国政府が2035年を政府システム全体の耐量子暗号(PQC)移行の目標に設定していることは、妥当なタイムラインだが、CRQCの出現を予測するものではないとの見方を示した。
同氏は、暗号解読に実用的な量子コンピュータ(CRQC)が実現する時期は、しばしば誇張して語られていると指摘する。耐量子暗号(PQC)への即時かつ全面的な移行を求める声が高まっているが、このような主張は早すぎる移行のコストやリスクを見落としがちだと警告した。
さらに、量子脅威を議論する際、全く異なるリスク特性を持っているのにも関わらず、全ての暗号の基本要素を同じように扱うという、間違いを犯していると同氏は指摘した。
例えば、長期の機密性が必要なデータの暗号化については、「今収集して後で復号する(Harvest-now-decrypt-later, HNDL)攻撃」がすでに現実の脅威となっており、コストが高くても即時導入が必要だと同氏は主張する。現在暗号化されている国家機密などの機密データの価値は、将来も変わらないとみられるためだ。
HNDL攻撃とは、攻撃者が現在の暗号化通信を保存しておき、将来、CRQCが登場した時点でそれを復号する攻撃を指す。
一方、ブロックチェーンが依存するデジタル署名と暗号化は本質的に異なっており、署名には「収穫」すべき機密情報が存在しない。そのためHNDL攻撃の対象とはならない。また、CRQCが存在する前に作成された署名を、後から偽造することはできない。
ゼロ知識証明も署名と似ており、HNDL攻撃の対象となる機密情報が存在しないため、脆弱性はないとテイラー氏は指摘。量子脅威とは、「すでに公開されているデータの復号ではなく、署名偽造(秘密鍵を導出して資金を盗むこと)」であるため、ビットコイン( BTC )やイーサリアム( ETH )などの公開型ブロックチェーンでは、HNDL攻撃による暗号上のリスクは解消されると同氏は説明している。
また、今日の耐量子署名には、鍵・署名サイズの肥大化や運営コスト、バグのリスクなど多くの課題があると指摘。今後、数年間は、バグや実装攻撃の方がCRQCよりも大きなリスクであると警告し、PQCへの即時移行ではなく、慎重で段階的な移行が妥当だと主張した。
ただし、現時点での例外として、受取人や送金額を暗号化・秘匿しているプライバシーチェーンを挙げ、早期の耐量子暗号への移行、あるいは復号可能な秘密情報をオンチェーンに残さない設計の採用を推奨している。
関連: コインベース、量子脅威対策で専門家委員会を設立
関連: イーサリアム財団、量子コンピュータ対策チームを新結成
テイラー氏は、ビットコインに関しては早期にPQC署名移行を考えるべき十分な理由があると主張する。それは量子技術そのものではなく、以下の二つの要因によるものだ。
