うちのチームからの新しい紙だ。完全な非ハード化公開鍵導出を備えたポスト量子HDウォレット。 ウォッチオンリーウォレット、xpub、階層キー管理など、標準的な格子仮定の下で安全性が証明可能なものなどです。 BIP32の非硬化導出は楕円曲線の線形代数に依存します。親公開鍵にオフセットを加えると、有効な子公開鍵が得られます。 ポスト量子格子スキームはこれを二つの方法で破ります。一部のスキームは鍵生成時に公開鍵を回避し、線形性を破壊します。また、丸めなくても各導出はノイズを加え、導出キーの統計的プロファイルを変え、リンク不能性を破ります。 この作業では、私たちは二つの構造物を作った。最初のものは、完全なセキュリティ証明を持つ強化のみの導出にML-DSAを使用しています。2つ目、つまり主な結果は、ガウス分布秘密を持つRaccoonのバリアントであるRaccoon-Gを用いています。線形性を保つために丸めのステップを省略し、公開鍵全体を公開します。さらに、加算に対してガウスは安定であるため、派生キーは新しいキーと同じ分布族に留まります。これにより、標準格子仮定の下で証明可能な非強化導出が得られ、連結不可能かつ偽造不可能が証明されます。 トレードオフとしては、鍵と署名が大きくなり、導出の深さが制限されます。実際には、BIP44のような実際のウォレット構造は最後の2レベルのみを非強化導出で使うため、深さの境界は制限されません。 両方の構成をRustで実装しました。以下に論文とGitHubを掲載します。

失礼ですが、セイラーは量子に関して間違っています。 具体的には、彼は4つの主張で間違っています(私は技術的なもののみに焦点を当てています)。一つ一つを順に見せていきましょう。 主張1:サイバーセキュリティコミュニティのコンセンサスでは、量子は今後10年間は脅威ではなく、したがって即時の行動は不要である。 そのような合意は存在しません。逆で、世界中の主要な国家安全保障および基準機関はすべて、現在ポスト量子移行を積極的に義務付けています。なぜなら、移行自体が10年以上かかるからです。 NSA CNSA 2.0は、すべての新しい国家安全保障システムが2035年までに量子安全であることを求めており、その大部分は今後5年以内に行われます。NISTは2024年8月に最終的なPQC標準(ML-KEM、ML-DSA、SLH-DSA)を発表し、IR 8547を発表しました。これは2030年以降、すべての量子脆弱公開鍵アルゴリズムを非推奨し、2035年までに完全に禁止することを目標としました。英国NCSCは2028年、2031年、2035年の移行マイルストーンを設定しました。 これらは遠い仮定への回答ではありません。これらのプログラムにはコンプライアンス期限があります。なぜなら、それを設定した組織が、今から始めるのはやっと早すぎると結論づけているからです。 歴史的に、新しいアルゴリズムが標準化されてから情報システムに完全に統合されるまで、長い時間がかかりました。過去の暗号移行がこれを裏付けています。SHA-1の廃止には約7年かかりました。AESへの移行には約5年かかりました。TLS 1.3の展開は明確な性能向上を提供しながらも3〜5年かかりました。NISTはすでにPQCの移行はこれらの前例よりも根本的に複雑であると結論づけています。 タイムライン論は「今収穫・復号後」を完全に無視しています。敵対者は将来の復号のために今日、暗号化データを収集しています。米連邦準備制度理事会(FRB)は2025年9月にこの問題の分析を発表し、ビットコインをケーススタディとして用いました。脅威はすでに進行中です。 主張2:量子が到達すると、すべてがアップグレードされる;銀行、インターネット、防衛、ビットコイン。 インターネットはすでにアップグレードされています。2025年12月時点で、Cloudflareの人間のウェブトラフィックの52%がポスト量子鍵交換を利用しており、年初の29%からほぼ倍増しました。ChromeはTLS用のML-KEMを出荷しています。AppleはiOS 26でPQ TLSを有効にしました。OpenSSHはバージョン9.0以降、ポスト量子鍵合意にデフォルトしています。シグナルはポスト量子暗号化を持っています。AWSとGoogle CloudはKMS製品でPQCをサポートしています。AppleはML-DSAとML-KEMをCryptoKitの本番APIとして追加しました。 銀行や決済ネットワークは中央集権的です。Visaはファームウェアアップデートをプッシュしたり、SWIFTがプロトコル仕様を変更したりします。TLSのアップグレードはエンドユーザーには見えません(Chromeを使っているなら、ポストクォンタム対応のTLSバージョンを使っていて、それに気づきもしませんでした)。これらのシステムは顧客が何もしなくても移行可能ですし、実際に移行します。 ビットコインはこれをできません。ビットコインにはグローバルな分散型合意を持つフォークが必要です。PQCの署名移行は、以前のフォークよりも明らかに困難です。ML-DSA-44の署名は2,420バイト、Schnorrの64バイトに対し、これはビットコインの既存のSegWitのウェイトエコノミクス、スクリプトスタックの最大520バイト制限、トランザクション伝播の前提を破る38倍の増加です。単一のML-DSA-44署名と公開鍵は、現在の一般的な単一入力P2WPKHの費用数倍に相当します。BIP-360やQBIPは(素晴らしい)提案として存在します。残念ながら、どちらも起動タイムラインはありません。 エンタープライズのPQC移行はずっと簡単です。これらは、変革を義務付ける権限を持つ組織であり、専任のセキュリティチームや確立された調達プロセスを持つ組織です。ビットコインにはこれらがありません。ブロックチェーンのガバナンスは中央集権的なガバナンスよりも構造的に遅いです。 「すべてが一緒にアップグレードする」という枠組みは、常に露出しているキーの問題も無視しています。銀行がTLSをアップグレードすると、古いセッションは問題になりません。一時的なものでした。ビットコインがアップグレードされると、すでに公開鍵が不可変台帳に露出した約690万BTCが依然としてそこに残っています。ブロックチェーンから公開鍵を解除することはできません。これらのコインは所有者が積極的に量子安全な新しい住所へ移動させる必要があります。P2PKアドレスにある約172万BTCは、サトシ氏の推定110万BTCを含む、秘密鍵が失われているため永久に露出している可能性が高いです。 銀行業界にはこれに相当するものはありません。銀行は17年間にわたるすべての顧客の認証鍵の公開的で永続的かつ変わらない記録を維持しているわけではありません。 主張3:デジタル資産は最も高度な暗号セキュリティを備えています。銀行やクレジットカード、株式などよりも これは信頼のなさと暗号学的な強さを混同します。それらは同じ物件ではありません。 ビットコインはsecp256k1よりもECDSA(ECDSA)を使用しています。あなたの銀行のTLS接続は、P-256またはX25519を経由してECDHEを利用しています。これらは離散対数問題の難易度に安全性がかかっている、同じクラスの暗号的原始楕円曲線スキームです。 Shorsのアルゴリズムは両方を同じ方法で壊します。どちらも「より進んでいる」わけではありません。異なるのは、その原始的な構造を包む「防衛深層構造」と呼ばれるものです。クレジットカードのタップ・トゥ・ペイ取引には、一時的な鍵交換を伴うTLS、認証されたセキュア要素内のハードウェアバウンドキーを持つEMVチップ、加盟店が実際のカード番号を見られないトークン化、セッションベースのキーローテーション、不正検出、取引取り消し機能、そして規制上の保険が含まれます。 ビットコインの取引には、1つのECDSA署名が含まれます。それが認証層全体です。詐欺部門もチャージバックも、正当な所有者と同じ派生秘密鍵を持つ量子攻撃者を識別できる本人確認層もありません。一度偽造署名が合意で受け入れられれば、その移管は不可逆的になります。 セイラーが安全性が低いと表現したシステムは、実際にはビットコインがまだ開始していないポスト量子保護をすでに展開しています。彼らは中央集権的だからこそ、これができるのです。ビットコインの分散化、その核心的な価値提案こそが、彼が比較したどのシステムよりも量子移行をより難しく、遅く、遅くしている理由です。 主張4:暗号コミュニティが最初に脅威を察知し、動くことになるでしょう。 これはCRQCが公に発表されることを前提としています。国家の敵対者は量子能力を開示する動機が全くありません。CRQCの情報価値は、誰もあなたが持っていることを知らないことです。静かに収穫し、静かに復号し、静かに搾取する。 ビットコインで「スポッティング」するとどのようなものになるのでしょうか?量子攻撃者はバグを悪用したり、ファイアウォールを回避したり、サーバーを侵害したりしません。これらは正当な所有者の署名と区別がつかない有効な署名を生成します。なぜなら数学的に同じ鍵を持っているからです。攻撃者がP2PKアドレスを吸い出し始めた場合、各盗難は正しく署名された取引となります。ビットコインのブロックチェーンには侵入検知システムはありません。取引は有効かどうかです。何千ものUTXOにパターンが見られる時点で、そのダメージは既に発生し、取り返しのつかないものです。 そして、実証的な記録は「先に動いた」という主張と真っ向から矛盾しています。現在の準備状況:起動期限のない1つのBIP、サトシのコインを凍結するかどうかの継続的な議論、そして量子脆弱性のエクスポージャーサーフェスは増加し続けている。アドレスの再利用が脆弱性にますます多くのBTCを追加しているため、露出は減少するのではなく増加しています。 一方で、インターネットの他の部分は誰も気づかないうちに何十億ものユーザーにPQCを展開しています。 実際の状況 私たちはBitcoin Risq Listを維持しており、これは量子脆弱なビットコインのアドレスレベルでのオープンソースで継続的に更新されたトラッカーです。ブロック高さ936,882(2026年2月)時点で、約690万BTCが1,390万のアドレスで公開鍵を公開しています。 Solanaはアドレス構造が完全な公開鍵を公開するため、100%量子に脆弱です。Deloitteの分析によると、イーサリアムの65%がクオンタム脆弱性のアカウントにあることがわかりました。 インターネットは2022年にポスト量子の移行を始めました。国家安全保障システムには2027年のコンプライアンス義務があります。NISTは2035年よりずっと前に、すべての量子脆弱公開鍵アルゴリズムを廃止・禁止することを目指しています。 量子コンピュータが破る正確な暗号原語でベアラー価値を直接保護するブロックチェーン業界は、BIPと議論を展開しています。 問題は量子がデジタル資産にとって脅威かどうかではありません。重要なのは、業界がその窓口が閉まる前に移行を始めるかどうかです。インターネットのPQC導入ペースとブロックチェーン業界のペースとの間のギャップは、認知度のギャップではありません。それは緊急性のギャップであり、重要なのは、脅威が存在しないと主張することでそのギャップは埋められないということです。