【広告】Amazonで商品を探す(このリンクはAmazonアソシエイトを利用しています)

ビットコインにおける耐量子計算機暗号(PQC)への移行ロードマップ

2026.05.05

ビットコインが抱える量子コンピューターへの脆弱性や、耐量子計算機暗号(PQC)への移行計画について、技術的な詳細をわかりやすく解説する。

なぜPQC対策が必要なのか

現在のビットコインは、トランザクションの署名にECDSA(楕円曲線暗号)を採用している。将来的に実用化される量子コンピューターが持つ高度な計算能力(Shorのアルゴリズム)を使うと、この暗号が解読され、私有鍵(秘密鍵)が逆算されてしまうリスクが指摘されている。

この脅威に対処するため、NIST(米国標準技術研究所)が策定した新しい暗号規格への移行が世界的な課題となっている。さらに、2026年にはビットコイン改善案(BIP-360)が公式リポジトリに統合されるなど、実務的な対応も動き出している。

現在の暗号技術(ECDSA secp256k1)の仕組み

ビットコインが現在利用している secp256k1 という楕円曲線暗号について、数学的な原理を解説する。

数学的な基本原理

暗号は、以下のような数式(楕円曲線)のグラフ上で計算される。

y2=x3+7(modp)y^2 = x^3 + 7 \pmod p
  • 公開鍵と私有鍵の関係:
    • 私有鍵 d: ユーザー自身が持つ、ランダムな256桁の数字。
    • 公開鍵 Q: 私有鍵から、ベースポイント G を使って計算で導き出されるデータ。以下の式で表される。
Q=d×GQ = d \times G

elliptic curve cryptography(AI 生成)

なぜ量子コンピューターだと破られるのか

  • 通常のマシン: 答え(公開鍵 Q)から元の数(私有鍵 d)を割り出すには、天文学的な計算回数が必要となり実質不可能である。
  • 量子コンピューター: 特殊な計算アルゴリズム(Shorのアルゴリズム)を使用すると、この逆算を非常に短い時間で行うことが可能になる。

PQC(耐量子計算機暗号)で採用されるアルゴリズム

NISTが標準化した、次世代の暗号アルゴリズム(FIPS 203、204、205)は以下の通りである。

1. ML-DSA (旧 CRYSTALS-Dilithium) 【デジタル署名の代替】

  • 仕組み: 「高次元の格子(Lattice)問題」を利用する。迷路のように入り組んだ格子の中に複雑なデータ(ノイズ付きの連立方程式)を隠し、それを解く難しさを応用している。
  • 特徴: 署名の安全性と処理速度のバランスが良く、現在のECDSAを置き換える本命の技術としてFIPS 204に採用されている。

2. ML-KEM (旧 CRYSTALS-Kyber) 【鍵の共有】

  • 仕組み: こちらも格子問題を利用しており、ネットワーク層やウォレット間での安全なデータ通信(鍵の共有)に使われる。FIPS 203として標準化されている。

3. SLH-DSA (SPHINCS+) 【予備の暗号技術】

  • 仕組み: 伝統的なハッシュ関数に基づいている。
  • 特徴: 格子問題とは異なる数学の原理を使っているため、万が一格子問題に弱点が見つかった場合のバックアップとしてFIPS 205として標準化されている。

今後の移行フェーズの詳細なロードマップ

ビットコインの安定稼働を維持しつつ、安全に移行するために以下の4つのフェーズが想定されている。

現時点で「正しいロードマップ」は存在しない、というのが正確な答えだ。ただ、現在判明している事実と議論の状況を整理した上で、**「現状ベースの見取り図」**なら書ける。

ビットコイン耐量子暗号移行:現状ベースの見取り図(2026年5月時点)

前提:これは確定した計画ではない

Bitcoinにはプロトコル変更を決定する中央機関が存在しない。以下は確定したロードマップではなく、2026年5月時点で提出・議論されているBIPと、そこから読み取れる大まかな時間感覚を整理したものである。

現在(〜2026年)

技術提案の段階

  • BIP-360(P2MR: Pay-to-Merkle-Root):Hunter Beast・Ethan Heilman・Isabel Foxen Dukeが共著。量子脆弱なTaprootのkey-path spendを除去した新しいアウトプット型を提案。2026年初頭にBitcoin公式リポジトリへの登録が完了。ただしBitcoin Coreへの実装はゼロ。
  • BIP-361:Casa CTOのJameson Loppら共著(2026年2月付与)。レガシーアドレスの段階的廃止メカニズムを提案。BIP-360のアクティベートを前提とする。情報提供的ステータスの草案にすぎない。
  • テストネット実装はBTQ Technologies(民間企業)が独自に実施中。Bitcoin Core本体とは別物。
  • Chaincode Labs(2025年5月)の評価:「初期・探索的段階」。

未解決の根本論点

  • PQC署名アルゴリズムの選定が未確定(ML-DSA/Dilithium、SLH-DSA/SPHINCS+、FALCONが候補だが決着していない)
  • ブロックサイズ問題:PQC署名はECDSAの数十〜数百倍のデータサイズになり、現行ブロックサイズでは処理能力が大幅に低下する。これへの対処方法で開発者間の合意がない
  • 「サトシのコイン」問題:公開鍵が露出している大量のレガシーコインをどう扱うか。没収・凍結・放置をめぐり原則的な対立がある
  • ソフトフォークで実現可能か、ハードフォークが必要かも、変更の範囲によって異なる

近〜中期(2026〜2029年頃):楽観シナリオ

BIP-360共著者Heilman自身の見立て:「今すぐ全員が合意したとしても完全移行まで最低7年」。内訳は以下の通り。

  • BIPの完成・コードレビュー・テスト:約2.5年
  • アクティベーション:約0.5年
  • 全ウォレット・カストディアン・Lightningノード等のアップグレード:数年単位
  • 全ユーザーの移行(3〜10 TPS環境でのオンチェーン移行):さらに追加

つまり楽観シナリオでも2033年以前の完全移行は非現実的

外部環境として、米連邦政府はNSM-10に基づきECDSA廃止を2035年目標に設定。NSAのCNSA 2.0は2030年を量子安全システムの目標年とするが、これはBitcoinに対する法的拘束力を持つものではない。

中〜長期(2030年代):議論中のシナリオ

BIP-361が示す廃止メカニズムの構造(確定ではなく提案の内容):

  1. Phase A(BIP-360アクティベートの約3年後):ウォレットがレガシーアドレスへの送金をブロック
  2. Phase B(さらに2年後):コンセンサス層でレガシー署名を無効化、未移行コインは凍結
  3. Phase C(研究中):BIP-39シードフレーズに紐づいたゼロ知識証明で凍結コインの回収を可能にする案

BIP-361は現時点で「草案・情報提供的ステータス」であり、Bitcoin開発者コミュニティの広範な合意を得ていない。

ユーザー・投資家としての対応方針

  • アドレスの使い回しを避ける:1回でも送金したアドレスは公開鍵がチェーンに露出する。これはPQC移行以前から推奨されているベストプラクティスであり、現時点でも有効
  • Taproot(P2TR)アドレスの扱いに注意:key-path spendを使うと公開鍵が露出する。BIP-360が対象としている脆弱性の核心
  • 「取引所が一括対応してくれる」は過信しない:取引所もウォレット・Lightningノード等と同様にアップグレードが必要であり、自動対応を保証するものは何もない
  • 移行作業の技術的複雑さとコンセンサスコストを過小評価しないこと
タイトルとURLをコピーしました