量子コンピュータは「ビットコインを解読」しない—しかし、実際にあなたの鍵を脅かすものは何か

2026-01-20 11:05:45

量子コンピューティングとビットコインに関する最大の誤解は何ですか？皆がブロックチェーン上に実際に存在しない暗号解読について話し続けています。

まず事実をはっきりさせましょう。ビットコインはオンチェーンのデータを暗号化していません。公開台帳の目的は、すべての取引、アドレス、金額が誰でも見える状態にすることです。理論的には、量子コンピュータはShorのアルゴリズムを使って公開鍵から秘密鍵を導き出し、その後不正な署名を偽造できる可能性があります。これは解読ではなく、認証の偽造です。ビットコインの開発者アダム・バックは率直に言います：ビットコインは全く暗号化を使用していません。

真の脆弱性：公開鍵の露出、暗号化された秘密情報ではない

ビットコインのセキュリティモデルは、デジタル署名(ECDSAやSchnorrプロトコル)に依存しており、これによって鍵の所有権を証明します。コインは有効な署名を生成し、ネットワークがそれを受け入れると移動します。問題は隠された暗号化データではなく、オンチェーン上に公開されたままの公開鍵そのものです。

アドレスのフォーマットによってこれを扱う方法は異なります。多くは公開鍵のハッシュにコミットしており、そのため生の鍵はコインを使うまで隠されたままです。その露出の窓は狭いです。しかし、他のスクリプトタイプはより早く鍵を明らかにし、アドレスを再利用すると、その一度の公開が決定的な攻撃対象となる可能性があります。

Project Elevenの「Bitcoin Risq List」は、すでにオンチェーン上で公開鍵が見える場所を正確に追跡し、量子コンピュータが理論的に攻撃できる攻撃面をマッピングしています。彼らの週次スキャンでは、現在約670万BTCが量子露出の基準を満たしており、公開鍵が出力に座っていて、十分な計算能力を持つ者なら誰でもアクセス可能な状態です。

実際に必要な量子ビット数はどれくらい？

数学的には測定可能ですが、タイムラインは不明です。研究者たちは、256ビット楕円曲線鍵を解読するにはおよそ2,330論理量子ビットが必要と推定しています—これは理論上の最小値です。これを誤り訂正を施した実際の量子マシンに変換するには膨大なオーバーヘッドが伴います。

推定値は次のような基準に集中しています：

690万物理量子ビットで10分以内に鍵を回復可能(Litinskiの2023年の推定)
1300万物理量子ビットで1日以内に鍵を破る
3億1700万物理量子ビットで1時間のウィンドウ

IBMの最近のロードマップは、2029年頃に耐障害性のあるシステムの実現を示唆していますが、そのタイムラインは誤り訂正の迅速な進展を前提としています。アーキテクチャの選択次第で、実行時間は大きく変動します。

SHA-256のようなハッシュベースの防御はなぜ同じ圧力にさらされないのか

Shorのアルゴリズムは楕円曲線暗号を破壊しますが、ハッシュ関数（例：SHA-256）は異なる量子の挑戦に直面しています。Groverのアルゴリズムは、ブルートフォース攻撃において平方根の高速化をもたらしますが、その効果はセキュリティレベルを約2^128の作業量に留めます。これは、離散対数の破壊に比べて攻撃の実現性が低いです。ハッシュの衝突耐性はここではボトルネックではなく、公開鍵の露出が問題です。

ウォレットの挙動がすべてを変える

もし量子コンピュータが鍵を従来よりも速く回復できるなら、攻撃者はビットコインの履歴を書き換えることはせず、露出したアドレスからの支出を競争します。アドレスの再利用は増幅器です。Project Elevenの分析によると、一度オンチェーンに公開された鍵は、その後のすべての支払いも依然として脆弱なままです。

Taprootの出力(P2TR)は、ハッシュの背後に隠すのではなく、直接32バイトの調整済み公開鍵を出力に含めることで、露出パターンを変えました。これは即時の脅威を生むものではありませんが、鍵の回復が実現可能になった場合に何が露出するかを変えます。測定可能な脆弱性のプールは、量子の破壊がいつ可能になるかを推測せずとも、今日追跡可能です。