重要なポイント:
- StarkwareのCPO Avihu Levyは2026年4月9日にQSBを公開し、プロトコル変更なしで量子耐性を持つビットコイン取引を可能にした。
- Levyのスキームは1取引あたり75ドルから150ドルのGPU計算コストで、量子攻撃に対して約118ビットのプリイメージ耐性を達成する。
- QSBは、ビットコインの既存のレガシーScriptルールのみを使用してShorのアルゴリズムからライブビットコイン取引を保護する、最初の既知のスキームである。
Starkware幹部がプロトコルに触れずにビットコインに量子耐性を構築した方法
StarkwareのCPOでBIP-360の共著者であるAvihu Levyは、2026年4月9日に完全な研究論文とオープンソース実装を公開した。このスキームはQuantum Safe Bitcoin、略してQSBと呼ばれる。ソフトフォーク、コミュニティの調整、新しいオペコードは不要である。ビットコインの既存のレガシーScriptの制約である201オペコードと10,000バイト内で完全に動作する。
QSBが対処する脅威は特定的である。ビットコインの主要な署名スキームであるsecp256k1楕円曲線上のECDSAは、十分に強力な量子コンピュータ上のShorのアルゴリズムによって完全に破られる。その能力を持つ攻撃者は、公開された公開鍵から秘密鍵を復元し、署名を偽造し、資金をリダイレクトできる。P2PKアウトプット、レガシーアドレス、Taprootキー支払いパスは、公開鍵がオンチェーンに現れた瞬間にすべてリスクにさらされる。
画像ソース: X.Levyのスキームは、取引レベルでその依存関係を断ち切る。楕円曲線の困難性に依存する代わりに、QSBはRIPEMD-160のプリイメージ耐性にセキュリティを構築する。RIPEMD-160は、量子コンピュータがGroverのアルゴリズムでのみ攻撃できるハッシュ関数であり、完全な破壊ではなく二次的な高速化を提供する。160ビットのハッシュは、量子攻撃者に対して約80ビットのプリイメージ耐性を保持し、十分なマージンを残す。
この構造は、Robin Linusによって開発されたBinohashと呼ばれる以前のスキームを修正し、Binohashを量子攻撃に対して安全でなくした2つの問題を修正する。1つ目は、小さな楕円曲線のr値を見つけることに依存する署名サイズのプルーフ・オブ・ワーク(PoW)パズルで、Shorのアルゴリズムが容易に破る。2つ目は、攻撃者が異なる取引間で有効なパズル署名を再利用できる未解決のsighashフラグの脆弱性であった。
署名サイズパズルの置き換え
QSBは、署名サイズパズルをLevyがhash-to-sigパズルと呼ぶものに置き換える。支出者は、取引から派生した公開鍵のRIPEMD-160ハッシュが有効なDERエンコードされたECDSA署名を生成するまで、取引パラメータを反復する。そのイベントは約70兆分の1の確率で発生する。パズルがハードコードされたSIGHASH_ALLフラグを使用するため、sighashの脆弱性は副作用として排除される。
その後、支出者はHORSスタイルのLamport署名構造を使用して2つのダイジェストラウンドを実行し、FindAndDeleteと呼ばれるレガシーScriptメカニズムを介して取引のsighashを変更するダミー署名のサブセットを選択する。各サブセットは異なるハッシュ出力を生成する。有効なDERエンコードされた署名を生成するサブセットが、そのラウンドのダイジェストになる。ウィットネス内で対応するプリイメージを明らかにすることで、量子耐性のある支出が完了する。
LevyがConfig Aと呼ぶ推奨構成は、201オペコード制限内に収まり、約118ビットのプリイメージ耐性と78ビットの衝突耐性を達成する。この構成に対してGroverのアルゴリズムを実行する量子攻撃者は、第2のプリイメージ攻撃に対して約2の69乗の作業に直面する。Shorのアルゴリズムは、破るべき楕円曲線の仮定が残っていないため、まったく利点を提供しない。
オフチェーン計算は、現在のスポット価格で1取引あたり75ドルから150ドルのクラウドGPU時間がかかる。作業は非常に並列化可能で、初期のテストでは複数のGPU間で数時間で完了する。GPUファームは、鍵の復元とハッシュを含む公開計算のみを処理する。プライベートHORSプリイメージは、支出者の安全なデバイスから離れることはない。
実際の制限がある。QSB取引はコンセンサス上有効だが非標準であり、デフォルトのリレーポリシーを超える。MarathonのSlipstreamサービスなど、非標準取引を受け入れるマイニングプールへの直接提出が必要である。このスキームはまだLightning Networkチャネルをカバーしていない。完全なオンチェーンアセンブリとブロードキャストは、オープンソース実装でまだ保留中である。Levyは、このスキームを最後の手段として説明し、標準的なビットコイン使用の一般的な代替ではないとしている。
Starkwareの共同創設者Eli Ben-Sassonは、ビットコインを直ちに量子耐性にできると述べて、この作業を公に支持した。彼は次のように述べた:
LevyはX上で論文とリポジトリを共有し、Binohashの基礎的な作業と最終的なコストセキュリティトレードオフを形作った重要な修正についてRobin Linusに感謝した。コミュニティは、ソーシャルメディアで広く共有されたホワイトペーパーに非常に満足していた。Taproot WizardのEric WallはX上で次のように書いた:
完全な論文、GPUアクセラレーションされたCUDAコード、Pythonパイプライン、および完全なビットコインScriptsは、LevyのGitHubリポジトリで入手可能である。このニュースは、量子リスクからビットコインウォレットを保護することを目的とした最近のプロトタイプに続くものである。その特定のプロトタイプは、Lightning LabsのCTO Olaoluwa Osuntokun氏によって作成された。
日常的なビットコイン保有者にとっての意味
日常的なビットコイン(BTC)保有者にとって、実用的な教訓は簡単である。今日、ビットコインの暗号を破ることができる量子コンピュータは存在せず、ほとんどの研究者はその脅威を少なくとも3年から10年先に置いている。しかし、公開鍵がオンチェーンに現れた瞬間に時計が動き始め、これはユーザーがアドレスから支出するたびに発生する。
送信取引を行ったことのないウォレットに保管されているビットコインは、露出が少ない。再利用されたまたはすでに使用されたアドレスに保管されているビットコインは別の話である。量子コンピューティングがしきい値に達すると、それらの露出された公開鍵がターゲットになる。そのウィンドウが閉じる前に資金を移動することは、後で移動するよりも重要である。
QSBはまだ消費者向けウォレット内に搭載されていない。ユーザーは今日、標準的なウォレットを開いて量子耐性設定を切り替えることはできない。Levyが提供したのは、ビットコイン内にすでにあるルールから構築され、GPU計算で飛行機のチケットの価格程度のコストがかかる、パスが存在するという暗号的証明である。
残りの作業は、エンジニアリング、採用、そして時間である。BTCを保有する人にとって、アクションアイテムはシンプルである:ウォレットプロバイダーからのポスト量子サポートを監視し、アドレスの再利用を避け、主流ソフトウェアでそのオプションが利用可能になったときに量子耐性アドレスに資金を移動する。そのビットコインを保護するツールは今まさに構築されている。
ソース: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
