著者:登链コミュニティ原文リンク:声明:この記事は転載コンテンツです。読者は原文リンクから詳細情報を得ることができます。著者が転載形式に異議を唱える場合はご連絡ください。私たちは著者の要望に従って修正します。転載は情報共有の目的のみであり、投資助言を構成するものではなく、吴说の見解や立場を示すものではありません。量子計算は現在も強い投機的色彩を帯びていますが、Shorアルゴリズムの効率向上に伴い、イーサリアムのアカウントセキュリティ、コンセンサスメカニズム、Layer 2の証明システムは長期的なリスクに直面しています。NISTのポスト量子標準への移行に際しては、潜在的な暗号学的バックドアに注意すべきです。背景 (Context)Google、バークレー、スタンフォード、イーサリアム財団の研究者たちが、実質的な量子アルゴリズムの最適化とそれが暗号通貨に与える影響に関する論文を発表しました。ここで必要な背景の一つは、量子計算は大部分が投機的なものであるということです。投機と炒作を通じて注目を集め、それによって継続的な資金を獲得しています。これは、実質的な最適化ではないと言っているわけではありません――確かにそうですが――しかし、量子暗号解析に関する内容を読む際にはこの背景を意識すべきです。私たちには分類と反復の時間があり、NSA(米国家安全保障局)やNIST(米国標準技術研究所)の歴史を考慮すると、NIST推奨の格子(Lattice)暗号にはまず懐疑的であるべきです。私たちが議論していること (What We're Talking About)この論文は、ビットコイン(SECP256R1/P256に対する疑念から推測)や、多くの他のブロックチェーンで使われているSECP256K1 (K256) 曲線を対象としています。今回の分析では特にイーサリアムネットワークに焦点を当てます。なぜなら、Moneroは異なる曲線を使用しており、ビットコインはこの特定の背景ではプライバシーもプログラマビリティも提供していないからです。Moneroの曲線 (ed25519) は明示的なターゲットとしては挙げられていませんが、論文ではそれが破られる難易度はK256曲線と比べて一桁高くない可能性が示唆されています。量子探索アルゴリズムの下では、SHA256やKECCAK256のようなハッシュのプリイメージ(事前画像)を見つけることに微小な加速が見られますが、その改善は指数的なものではありません。これらのハッシュアルゴリズムに対して合理的な脅威をもたらすものではなく、またこの論文もそれらを攻撃するアルゴリズムの改良を示していません。タイムライン (Timelines)NISTは通常、米国政府の暗号標準とセキュリティアナウンスを担当します。2024年11月に発表されたNIST内部報告8547は、RSAや楕円曲線離散対数問題を用いた鍵交換や署名プロトコルが2030年前に廃止され、2035年前に使用禁止となることを示しています。これは、Shorアルゴリズムが離散対数問題に対して指数的な加速をもたらすためです。この論文は、K256の実攻撃に必要な論理量子ビット(logical qubits)とトフィーゲート(Toffoli gates)を大幅に削減できる最適化案を証明しています。早期に廃止すべきだと提言していますが、具体的な日付は示していません。BN254やBLS12-381など他の楕円曲線についてのモデル化は行っていませんが、それらを攻撃する難易度はK256と大きく変わらないと述べられています。これにより、双線形ペアリング(bilinear pairings)は一般的に攻撃を受けやすく、zk-SNARKの設定で使われるKZGのような多項式承認システムの“有毒廃棄物 (toxic waste)”の回復も可能になる可能性があります。イーサリアムが直面するリスク (Risks For Ethereum)この論文は、イーサリアムの五つの脆弱性を特定しています。アカウント (Account)管理 (Admin)コード (Code)コンセンサス (Consensus)データ可用性 (Data Availability)アカウントと管理 (Account and Admin)アカウントアドレスはK256公開鍵のハッシュの切り捨てであり、トランザクションを送信していない、または署名を公開していない(例:permit署名)アカウントは公開鍵を露出しません。これらは現時点では脅威にさらされていません。しかし、一度アカウントが署名を公開すれば、公開鍵を復元でき、攻撃のリスクにさらされます。“管理”の脆弱性は、特権アドレスに適用されるアカウントの脆弱性を指します。M-of-Nのマルチシグアカウントは、M個のアカウントが突破される必要がありますが、他の点では防御がありません。これにより、設定可能なコントラクトは操作されやすく、アップグレード可能な代理スマートコントラクトは、Tokenを盗むためのドレイナー(drainer)コントラクトに置き換えられる可能性があります。コード (Code)この脆弱性は、非量子耐性の暗号原語を用いたプリコンパイルされたコントラクト(precompiles)に依存するコントラクトを指します。現在、これには以下が含まれます。K256 ECDSAP256 ECDSAKZG多項式承認証明BN254点演算と双線形ペアリングBLS12-381点演算と双線形ペアリングP256 ECDSAのプリコンパイルコントラクトは、iOSやAndroidのセキュアエンクレーブ (secure enclave)(Face IDや指紋認証)による署名を行うアカウントのように、P256曲線を用いたスマートアカウントの問題も拡大しています。BN254やBLSの曲線は、プライバシー・Layer 2のzk-SNARKsに使われます。これらの設定から“有毒廃棄物 (toxic waste)”を回収できれば、攻撃者はそれを偽造証明に利用できる可能性があります。コンセンサス (Consensus)イーサリアムは、BLS12-381を用いた署名のアグリゲーションをコンセンサスメカニズムに採用しています。これは、ネットワークの損傷部分の割合に応じて影響します。検証者の破壊:ステークの没収を強制できる (slash)。1/3超の破壊:終局性を拒否できる (finality)。1/2超の破壊:分岐選択に影響し、深い再編を強制できる (reorganization)。2/3超の破壊:壊滅的であり、ネットワーク外での復旧が必要。データ可用性 (Data Availability)イーサリアムのBlobシステムは、KZG承認証明を用いたデータ可用性サンプリングを採用しています。有毒廃棄物が回収されると、偽造されたデータ可用性証明が作成され、Blobストレージに依存したLayer 2の状態遷移に問題をもたらす可能性があります。ポスト量子の問題 (The Post Quantum Problem)直接的な解決策は、格子 (Lattice)やハッシュベースのシステムへの移行です。NISTは以下の標準を策定しています。(FIPS 203):モジュラー格子に基づく鍵封入方式(FIPS 204):モジュラー格子に基づくデジタル署名(FIPS 205):ステートレスハッシュベースデジタル署名しかし、NSAの関与により、NISTの標準は歴史的に疑問視されてきました。過去の事例には、EFFのDES解読器、NSAによるDual EC DRBGのバックドア、そして後量子暗号に関するNISTの透明性不足があります。D.J. Bernsteinのような著名な専門家は、格子暗号の巨大な攻撃面と、それらの実装が新たな攻撃ベクトルに対して絶えず進化している事実を強調しています。要点 (Takeaways)私たちには数年の猶予があります。迅速かつ慎重に調整すべきです。理想的には、モジュール化された認証システムを用いて、将来的な高速な反復を容易にすべきです。暗号学は一時的なものであることを認識し、データが解読される前に無操作状態に変わるまでの時間を稼ぐ必要があります。また、NSAのような機関がポスト量子スイートにバックドアを仕込もうとする可能性も意識すべきです。
Googleの量子コンピューティングがイーサリアムのセキュリティに与える影響
著者:登链コミュニティ
原文リンク:
声明:この記事は転載コンテンツです。読者は原文リンクから詳細情報を得ることができます。著者が転載形式に異議を唱える場合はご連絡ください。私たちは著者の要望に従って修正します。転載は情報共有の目的のみであり、投資助言を構成するものではなく、吴说の見解や立場を示すものではありません。
量子計算は現在も強い投機的色彩を帯びていますが、Shorアルゴリズムの効率向上に伴い、イーサリアムのアカウントセキュリティ、コンセンサスメカニズム、Layer 2の証明システムは長期的なリスクに直面しています。NISTのポスト量子標準への移行に際しては、潜在的な暗号学的バックドアに注意すべきです。
背景 (Context)
Google、バークレー、スタンフォード、イーサリアム財団の研究者たちが、実質的な量子アルゴリズムの最適化とそれが暗号通貨に与える影響に関する論文を発表しました。
ここで必要な背景の一つは、量子計算は大部分が投機的なものであるということです。投機と炒作を通じて注目を集め、それによって継続的な資金を獲得しています。
これは、実質的な最適化ではないと言っているわけではありません――確かにそうですが――しかし、量子暗号解析に関する内容を読む際にはこの背景を意識すべきです。私たちには分類と反復の時間があり、NSA(米国家安全保障局)やNIST(米国標準技術研究所)の歴史を考慮すると、NIST推奨の格子(Lattice)暗号にはまず懐疑的であるべきです。
私たちが議論していること (What We’re Talking About)
この論文は、ビットコイン(SECP256R1/P256に対する疑念から推測)や、多くの他のブロックチェーンで使われているSECP256K1 (K256) 曲線を対象としています。今回の分析では特にイーサリアムネットワークに焦点を当てます。なぜなら、Moneroは異なる曲線を使用しており、ビットコインはこの特定の背景ではプライバシーもプログラマビリティも提供していないからです。
Moneroの曲線 (ed25519) は明示的なターゲットとしては挙げられていませんが、論文ではそれが破られる難易度はK256曲線と比べて一桁高くない可能性が示唆されています。
量子探索アルゴリズムの下では、SHA256やKECCAK256のようなハッシュのプリイメージ(事前画像)を見つけることに微小な加速が見られますが、その改善は指数的なものではありません。これらのハッシュアルゴリズムに対して合理的な脅威をもたらすものではなく、またこの論文もそれらを攻撃するアルゴリズムの改良を示していません。
タイムライン (Timelines)
NISTは通常、米国政府の暗号標準とセキュリティアナウンスを担当します。2024年11月に発表されたNIST内部報告8547は、RSAや楕円曲線離散対数問題を用いた鍵交換や署名プロトコルが2030年前に廃止され、2035年前に使用禁止となることを示しています。これは、Shorアルゴリズムが離散対数問題に対して指数的な加速をもたらすためです。
この論文は、K256の実攻撃に必要な論理量子ビット(logical qubits)とトフィーゲート(Toffoli gates)を大幅に削減できる最適化案を証明しています。早期に廃止すべきだと提言していますが、具体的な日付は示していません。
BN254やBLS12-381など他の楕円曲線についてのモデル化は行っていませんが、それらを攻撃する難易度はK256と大きく変わらないと述べられています。これにより、双線形ペアリング(bilinear pairings)は一般的に攻撃を受けやすく、zk-SNARKの設定で使われるKZGのような多項式承認システムの“有毒廃棄物 (toxic waste)”の回復も可能になる可能性があります。
イーサリアムが直面するリスク (Risks For Ethereum)
この論文は、イーサリアムの五つの脆弱性を特定しています。
アカウント (Account)
管理 (Admin)
コード (Code)
コンセンサス (Consensus)
データ可用性 (Data Availability)
アカウントと管理 (Account and Admin)
アカウントアドレスはK256公開鍵のハッシュの切り捨てであり、トランザクションを送信していない、または署名を公開していない(例:permit署名)アカウントは公開鍵を露出しません。これらは現時点では脅威にさらされていません。
しかし、一度アカウントが署名を公開すれば、公開鍵を復元でき、攻撃のリスクにさらされます。
“管理”の脆弱性は、特権アドレスに適用されるアカウントの脆弱性を指します。M-of-Nのマルチシグアカウントは、M個のアカウントが突破される必要がありますが、他の点では防御がありません。これにより、設定可能なコントラクトは操作されやすく、アップグレード可能な代理スマートコントラクトは、Tokenを盗むためのドレイナー(drainer)コントラクトに置き換えられる可能性があります。
コード (Code)
この脆弱性は、非量子耐性の暗号原語を用いたプリコンパイルされたコントラクト(precompiles)に依存するコントラクトを指します。現在、これには以下が含まれます。
K256 ECDSA
P256 ECDSA
KZG多項式承認証明
BN254点演算と双線形ペアリング
BLS12-381点演算と双線形ペアリング
P256 ECDSAのプリコンパイルコントラクトは、iOSやAndroidのセキュアエンクレーブ (secure enclave)(Face IDや指紋認証)による署名を行うアカウントのように、P256曲線を用いたスマートアカウントの問題も拡大しています。
BN254やBLSの曲線は、プライバシー・Layer 2のzk-SNARKsに使われます。これらの設定から“有毒廃棄物 (toxic waste)”を回収できれば、攻撃者はそれを偽造証明に利用できる可能性があります。
コンセンサス (Consensus)
イーサリアムは、BLS12-381を用いた署名のアグリゲーションをコンセンサスメカニズムに採用しています。これは、ネットワークの損傷部分の割合に応じて影響します。
検証者の破壊:ステークの没収を強制できる (slash)。
1/3超の破壊:終局性を拒否できる (finality)。
1/2超の破壊:分岐選択に影響し、深い再編を強制できる (reorganization)。
2/3超の破壊:壊滅的であり、ネットワーク外での復旧が必要。
データ可用性 (Data Availability)
イーサリアムのBlobシステムは、KZG承認証明を用いたデータ可用性サンプリングを採用しています。有毒廃棄物が回収されると、偽造されたデータ可用性証明が作成され、Blobストレージに依存したLayer 2の状態遷移に問題をもたらす可能性があります。
ポスト量子の問題 (The Post Quantum Problem)
直接的な解決策は、格子 (Lattice)やハッシュベースのシステムへの移行です。NISTは以下の標準を策定しています。
(FIPS 203):モジュラー格子に基づく鍵封入方式
(FIPS 204):モジュラー格子に基づくデジタル署名
(FIPS 205):ステートレスハッシュベースデジタル署名
しかし、NSAの関与により、NISTの標準は歴史的に疑問視されてきました。過去の事例には、EFFのDES解読器、NSAによるDual EC DRBGのバックドア、そして後量子暗号に関するNISTの透明性不足があります。
D.J. Bernsteinのような著名な専門家は、格子暗号の巨大な攻撃面と、それらの実装が新たな攻撃ベクトルに対して絶えず進化している事実を強調しています。
要点 (Takeaways)
私たちには数年の猶予があります。迅速かつ慎重に調整すべきです。理想的には、モジュール化された認証システムを用いて、将来的な高速な反復を容易にすべきです。
暗号学は一時的なものであることを認識し、データが解読される前に無操作状態に変わるまでの時間を稼ぐ必要があります。また、NSAのような機関がポスト量子スイートにバックドアを仕込もうとする可能性も意識すべきです。