今週、Trezor社が業界初の「量子耐性のあるハードウェアウォレット」を発表しました。私もその場で発表を聞いていたのですが、最初の感想は「どういうこと??」でした。一般的に言われがちなビットコイン(やアルトコイン)の量子耐性リスクはハードウェアウォレット側で対応できるものではないためです。
しかし、発表をよく聞いてみるとそれとは別にハードウェアウォレットの仕組みにも量子コンピューターによるリスクがあること、そして今回Trezorはそこを手当したことに納得しました。
今日は「量子耐性のあるハードウェアウォレット」が具体的に何を指すのか解説します。
・ビットコインの「量子耐性リスク」はハードウェアウォレット側で手当てできるものではない
・ハードウェアウォレットの仕組みのどこに「量子耐性」を実現したのか?
・超長期的には必要だが、いま購入すべきという判断材料にはならない
ビットコインの「量子耐性リスク」はハードウェアウォレット側で手当てできるものではない
ビットコインが量子コンピューターの時代にどう対応していくのかという問題は定期的に話題に上がります。典型的な内容は、ビットコインが使う楕円曲線暗号であるECDSAは「ショアのアルゴリズム」というものを使えば、理論的には十分な規模の量子コンピューターによって破ることができる。つまり、公開鍵から秘密鍵を復元できる、というものです。
これが現実的になる規模の量子コンピューターは10~20年ほどは誕生しないという見方が一般的ではありますが、P2PKを採用した古いビットコインアドレスや、一度でも再利用されているP2PKHアドレスなどは公開鍵が公表されてしまっているのでこの攻撃に脆弱なBTCは何百万枚とあり、一応実際に存在する脅威ではあります。
しかし、個人的にはこのテーマについては対応自体はできるものだと楽観しています。理由は以下の過去記事をご覧ください:
ビットコインは量子コンピューター耐性をどうやって手に入れるのか
ここ数年、定期的に話題に上がる量子コンピュータのビットコインに対する脅威が今週もツイッターで話題になっていました。確かに量子コンピュータは進歩していますが、現時点で状況が大きくは変わっておらず、ビットコイン研究所のFAQにも簡潔な回答があります: 量子コンピューターが出てきたらビットコインは大丈夫なのか?豊かな知識とともに。ビットコイン研究所田中 芳治 また、4年近く前に有識者によってSpotlightに投稿された以下の記事もとても参考になるので、お時間のある方は読んでみてください。 ビットコイン vs 量子コンピュータ本記事では結局量子コンピュータはブロックチェーンに対してどのような影響があるのかをなるべく詳細に説明Spotlight😆 この話題が盛り上がるとき、多くの場合話題の中心は「量子コンピュータがどのようにビットコインに対して脅威なのか」「時期的にはいつくらいからリスクがあるのか」「自分が取れる対策は」というテーマになります。しかし重要なのはビットコインがどのようにして量子コンピュータ耐性を獲得するのか、そのプロセスなのではないでしょうか。 今日はビットコインが量
加藤 規新
そして上述した通り、問題はブロックチェーン上(あるいはトランザクション内)に公開されている公開鍵の情報なので、これはハードウェアウォレットを使ってビットコインを管理する・しないとは全く無関係のレイヤーの話です。
ハードウェアウォレットの仕組みのどこに「量子耐性」を実現したのか?
では、Trezorが主張する「ハードウェアウォレットの量子耐性」とは何なのでしょうか?実はそこには2つの、かなり性質の異なる文脈があります:
1.偽造ファームウェア対策
ハードウェアウォレットは様々な攻撃に対する防御機能を実装していますが、その1つにハードウェアウォレット上で動作するファームウェアの偽造判定があります。この偽造判定に関して、量子コンピューターによってファームウェア等に付与されたTrezorの署名を偽造されると理論上は偽造ファームウェアが流通しやすくなってしまうリスクがあります。
例えばTrezorの場合、デバイス上で動作しているソフトウェアはボードローダー(工場で物理的に書き込まれる)、ブートローダー(ファームウェアの更新に使われる)、ファームウェア(ウォレットのロジックやUI)という3つの層からなります。後者2つについてはソフトウェアがTrezor社の秘密鍵によって署名されており、もし署名が不正である場合はブートローダーならデバイスが文鎮化し、ファームウェアなら赤字で画面に注意表示がなされます。
💡
注意が表示されていても使用したいケースとしては、自分で作成したカスタムのファームウェアを利用するという特殊なケースが考えられます。
しかし、ショアのアルゴリズムでTrezor社の秘密鍵が復元されてしまった場合、これまでの署名検証では正常と表示されるデバイスが出てくるかもしれません。実際にTrezor社の秘密鍵で署名しているので当然ではあります。すると、サプライチェーン攻撃のリスクが非常に大きくなります。
例えば流通過程で不正なファームウェアをインストールすると、今だと警告表示があるのでユーザーはすぐに気付けますが、ユーザーが気づかないうちにシードを漏洩していくような攻撃も可能になってしまいます。そこを手当てするために、ブートローダーやファームウェアの署名検証に量子耐性暗号も使用できるようにしたのが1つ目の文脈です。
2.量子耐性暗号による署名機能
現時点で、ビットコインやその他の仮想通貨がどのような量子耐性暗号を採用するかは不透明です。しかし、Trezorによると、今回発表したTrezor Safe 7はハードウェア的には候補となる暗号方式の多くに対応しているそうです。
したがって、将来的にビットコインが量子耐性暗号に対応した際には、高い確率でファームウェアアップデートによりそのまま同じハードウェアウォレットを使い続けることができる、というのが価値訴求のようです。もちろん、確証はありませんが。
💡
余談ですが、量子耐性暗号の選定には非常に注意が必要です。過去には米国政府などがバックドアのある暗号を秘密裏に推進したりしており、絶対にそのような暗号をビットコインが採用しないよう注意する必要があります。
採用された暗号の情報などはTrezorの公式ガイドに記載があります:
Going quantum: our choices for Trezor Safe 7’s quantum readiness
Trezor Safe 7 is quantum-ready from the core. Discover the cryptographic standards, hybrid verification, and authenticity measures that make it secure today and prepared for the quantum era.
超長期的には必要だが、いま購入すべきという判断材料にはならない
ここまでお読み頂いた方には改めて言う必要はないと思いますが、今回のTrezor社の試みは業界初であり、将来的にはすべてのプレイヤーが考えていかないといけないものです。しかし同時に、「まだ明らかに早すぎる」ものでもあり、現在の購入判断に使うような材料とは思えません。(ただし、短期的な未来に量子耐性暗号に対応するアルトコインなどがあるのであれば話は変わります)
ハードウェアウォレット業界も比較的シンプルに量子耐性暗号の世界に移行できそうな兆しは希望が持てることです。これが必要になる日がくるまで5年、10年、20年なのかはまだわかりませんが、必要になったときに乗り換えればいいのではないでしょうか。そのためには、必要であれば別のメーカーに乗り換えやすい、共通規格にちゃんと対応しているハードウェアウォレットを使用しましょう。
ハードウェアウォレットはどんどん共通規格から離れていく?
今日はハードウェアウォレット(HWW)各社による製品改善や囲い込み目的の工夫が将来的に共通規格を廃れさせて行くのではないか?という話をします。 先週は他のHWWとはかなり違う、特殊な作りをしているTapsignerについて記事を書きましたし、今年のはじめにはTrezorが開発した20単語の独自シードフレーズ規格:SLIP39も取り上げました。 画面もなく、バックアップも単語型ではないカード型HWW:Tapsignerのクセはセキュリティ対策だったハードウェアウォレット(HWW))を選ぶ際の注意点として、ハードウェアウォレット自体に画面がついているものを選ぶというのがあります。ハードウェアウォレット側で実際に署名するトランザクションの内容を確認することで、スマホやPCに表示されているトランザクションとは別の、悪意のあるトランザクションに署名することを防げるためです。 2月に起きたBybitのコールドウォレットからの流出も、トランザクションの内容をHWW側で確かめることができなかったのが直接的な原因の1つとなっています。 不正なトランザクションに署名させる攻撃の手法と対策今週、Bybi
加藤 規新
次の記事
読者になる
一緒に新しい世界を探求していきましょう。
ディスカッション