提供
Featured

中本聡は、量子コンピュータによる脅威が懸念される16年も前に、ビットコインのハッシュ防御を予見していました。

16年前の2010年、サトシ・ナカモトはフォーラムで懐疑的な投稿者に回答しました。その回答は、現在もネットワークが通貨をどのように守っているかを指し示しています。

共有
中本聡は、量子コンピュータによる脅威が懸念される16年も前に、ビットコインのハッシュ防御を予見していました。

主なポイント:

  • サトシ・ナカモトは2010年7月16日、Bitcointalkフォーラムへの投稿でSHA-256を擁護しました。
  • Google Quantum AIは、ビットコインの暗号曲線を解読するのに必要な量子ビット数を、従来の予測から50万量子ビットに下方修正しました。
  • 開発者たちは、量子耐性のあるアドレスを準備するため、2026年にBIP-360やその他の案を提案しています。

ルールを定めたフォーラムの投稿

2010年7月16日、bdonlanというユーザーがBitcointalkフォーラムでビットコインのSHA-256による二重ハッシュ処理に疑問を投げかけました。彼は、この設計がセキュリティを弱めているのではないかと尋ねました。

サトシは直接回答しました。ビットコインの発明者は、SHA-256を単なるビット長のわずかな増加ではなく、32ビットから64ビットへの計算処理の飛躍に例えました。 コンピュータは32ビットで4ギガバイトのアドレス空間を使い果たしましたが、64ビットのアドレス空間が近い将来に枯渇するとは誰も予想していません、と彼は述べました。SHA-256も同様に機能し、その計算上、ビットコインには十分な余裕があります。

サトシ氏はまた、ネットワークの「出口戦略」も提示しました。万が一SHA-256のセキュリティが弱まった場合、開発者は所定のブロック高で新しいハッシュ関数へのソフトフォークを実施できます。すべてのノードがアップグレードを完了するまでは、新旧のハッシュ関数が並行して稼働することになります。

それ以来、ビットコインの時価総額は1兆ドルを超え、ネットワークでは毎日数千億ドル相当の決済が行われています。その取引の1ドル1ドルが、16年前にサトシがたった1つのフォーラムへの返信で擁護したハッシュ関数に、今もなお依存しているのです。

ビットコインがハッシュ関数を1回ではなく2回実行する理由

ビットコインのコードはデータを2回ハッシュ化します:SHA256(SHA256(データ))。開発者たちはこの手法を「SHA256d」と呼んでいます。暗号学者のニールス・ファーガソンとブルース・シュナイアーは、SHA-2が採用するマークル・ダムガード構造の欠陥である「ブロック長拡張攻撃」に対抗するため、このアプローチを推奨しました。

マイナーはネットワークの難易度目標を達成するためブロックヘッダーを2回ハッシュ化し、ノードはマークルツリーを構築するためトランザクションを2回ハッシュ化する。ウォレットは公開鍵をアドレスに短縮するため、SHA-256の上にRIPEMD-160という第3の層を追加する。

サトシがSHA-256を選んだのには理由があります。米国国立標準技術研究所(NIST)は2001年、SHA-2ファミリーの一環としてこのアルゴリズムを公開しました。これは、2009年1月のビットコイン立ち上げ時点で既に脆弱性が明らかになっていたSHA-1に比べて、セキュリティ強度が飛躍的に向上したものでした。 SHA-256では衝突を強制するのに約2^128回の演算、原像を強制するのに約2^256回の演算が必要とされます。それから16年が経過しましたが、この設計を破った者はいません。完全なSHA-256に対して機能する衝突攻撃、原像攻撃、第二原像攻撃を発見した研究者は一人もいません。 ラウンド数を減らしたバージョンでは暗号解析によって破られた例もありますが、それらの攻撃は実際の64ラウンドアルゴリズムに到達する前にスケーリングが頭打ちになります。NISTやECRYPT-CSAなどの独立したグループは、フル機能版を引き続き安全であると評価しています。マイニング用ハードウェアも同様の状況を示しています。 特定用途向け集積回路(ASIC)メーカーはSHA-256dを中核とした製品ラインを構築しており、ネットワークのハッシュレートは現在エクサハッシュの領域に達しています。サトシはムーアの法則だけではこの関数を脅かすことはないと予測しており、マイニング能力が指数関数的に向上しているにもかかわらず、難易度調整によってブロック生成時間は10分前後を維持しています。

量子コンピューティングが議論の様相を変える

古典的なブルートフォース攻撃はサトシにとって懸念材料ではなく、現在もビットコインを脅かすものではありません。量子コンピューティングは、このリスクを二つの別々の問題に分割します。

グローバーのアルゴリズムは総当たり検索を高速化する。SHA-256に適用すると実効セキュリティは256ビットから約128ビットに低下するものの、この数値はいまだに手の届かない範囲にある。 研究者によると、攻撃には世界がまだ構築したことのない規模の量子ハードウェアが必要となるため、現時点では安全性は保たれています。ショアのアルゴリズムの方がより大きな問題であり、これはハッシュではなく署名を標的とします。これを実行する量子コンピュータは、ビットコインが使用する楕円曲線上で公開鍵が露出しているアドレスから秘密鍵を抽出できてしまう可能性があります。 推定700万ビットコイン(供給量の35%近く)が、公開鍵が露出しているアドレスに保管されており、そのようなハードウェアが存在すればリスクにさらされることになります。Google Quantum AIは2026年に、ビットコインの楕円曲線を破るために必要な量子ビット数を、約50万物理量子ビットまで低減させたという研究結果を発表しました。 現在の量子コンピュータは1,000~1,500クビット程度です。研究者たちは、誤り訂正技術の進歩次第で、実際の脅威が2029年から2035年ごろに現れると依然として見込んでいます。

開発者たちは16年以上にわたりこの問題を再検討してきた

サトシは2010年、SHA-256が部分衝突に見舞われた場合に何が起こるかを含め、ハッシュ関数に関する懸念に何度も立ち返りました。彼の答えは一貫していました。すなわち、問題が拡大する前に正当なチェーンを固定し、その後、新しい関数へ移行するというものです。

その後のビットコインのアップグレードでは、コアとなるハッシュ機能には手が入らなかった。2017年にSegWit(セグレゲート・ウィットネス)が、2021年にTaproot(タップルート)が導入されたが、いずれもハッシュ機能ではなく、効率性とプライバシーの向上を目的としたものであった。 量子耐性は、2020年代にグロバーのアルゴリズムやショアのアルゴリズムに関する認識が暗号学コミュニティに広まるまで、開発者にとって最優先の話題にはなりませんでした。

開発者たちが提案する、サトシが約束した「出口戦略」

ビットコイン開発者たちは、サトシが2010年に述べた移行経路をすでに提案しており、ハッシュではなく署名を対象としたものです。いくつかのアイデアが提示されています。

BIP-360は、量子耐性のある署名方式を基盤とした、bc1zで始まる新しいアドレス形式「pay-to-Merkle-rootアドレス」を導入するものです。開発者たちは2026年にこの提案をマージしました。 これに関連するBIP-361では、ネットワークが最終的に旧来の脆弱なアドレス形式を段階的に廃止する方法を提示しています。後者の方法については、やや物議を醸しています。ウォレットプロバイダーは現在、量子コンピューティングの脅威が現実化する前にアドレスの再利用を止め、ユーザーを新しい出力形式へ誘導するよう圧力を受けています。移行には独自の課題が伴います。 開発者たちは、所有者が非アクティブまたは連絡不能な状態で古いアドレスにロックされているコイン(サトシ自身の初期ウォレットに紐付けられたビットコインを含む)に対する対応策を依然として必要としています。また、量子耐性署名は、ビットコインが現在使用している署名よりも多くのブロックスペースを消費するため、研究者たちは移行を管理可能な範囲に抑えるべく、ハッシュベースの署名方式の検証を進めています。

ビットコイン保有者への影響

SHA-256については、現時点で何らかの措置を講じる必要は一切ありません。マイニングや取引履歴の安全性を確保しているこのハッシュ関数は、古典的・量子的ないずれの既知の攻撃に対しても、依然として無傷の状態を維持しています。

注目すべきは署名の脆弱性です。旧式のアドレスにコインを保有している保有者や、ビットコインアドレスを再利用したことがある人は、支出時まで公開鍵が隠されたままになる最新の出力タイプを使用している人よりも、高いリスクにさらされています。サトシは2010年のスレッドを、現在も有効な方針として読み取れる警告で締めくくりました。 SHA-256を破るほど強力な攻撃は、SHA-512のようなより強力なアルゴリズムにも被害が及ぶ可能性が高いので、SHA-256が単独で完全に破られる可能性は低いと考えられます。ビットコインの防御は、決して「不変性」にあったわけではありません。脅威が現実のものとなる前に先手を打つ能力こそが、その防御の要でした。

この記事はAIを使用して英語から翻訳されました。英語の原文が正式な情報源であり、自動翻訳には、特に法律および規制に関する用語において不正確な部分が含まれる場合があります。

この記事のタグ