「イーサリアム暗号はどこまで安全か?」
| 項目 | 採用アルゴリズム | 既知の古典攻撃 | 量子計算機による脅威 | 現状の安全度 |
|---|---|---|---|---|
| 署名 (EOA) | ECDSA/secp256k1 | 実用的な解読方法なし | Shor により離散対数を一発で解く → 公開鍵があれば秘密鍵を生成可 | 古典: 極めて安全 / 量子: “危険になるまで10年以上” |
| 署名 (PoS Validator) | BLS (曲線 BLS12-381) | 曲線安全性は≒128 bit nccgroup.com | Shor で同様に破壊可 | 同上 |
| ハッシュ | Keccak-256 (SHA-3) | 2025年に「5 ラウンド限定」プリイメージ攻撃報告(2^204) → フルラウンド未到達 link.springer.com | Grover で 256 bit → 128 bit になるが 2^128 は現実的でない | 高 |
| その他 | KZG コミットメントなど | 未実用攻撃 | 楕円曲線依存のため量子で破壊可 | 中 |
1. 古典計算機で破られる可能性
- ECDSA / BLS
どちらも 128 bit 相当の安全性を持ち、離散対数問題に突破口は見つかっていません。実運用レベルでの解読報告はゼロです。nccgroup.com - Keccak-256
最新研究でも “5 ラウンド限定で 2^204 計算” 程度。フル 24 ラウンドには遠く及びません。link.springer.com
→ 結論: 古典計算機で 10 年以内に破られる確率はほぼ 0%。
2. 量子計算機リスクとタイムライン
- 必要な量子ビット数
256 bit 楕円曲線鍵を 1 日以内 に割るには物理量子ビットが 約 1300 万個、1 時間以内 なら 3.17 億個 必要との推定があります。gov.capitalschneier.com
2025 年の最先端チップ Google Willow は 105 qubit に過ぎず、研究者自身も「暗号破りにはほど遠い」と明言しています。theverge.com - 専門家アンケート
量子研究者の約 25 % が「2035 年ごろまでに ECC を割れる規模の量子機が出る確率 50 %」と回答。pchojecki.medium.com - ハッシュへの影響
Grover により実効 128 bit へ低下しますが、2^128 は天文学的。標的を選ばずアドレスを総当たりする攻撃は依然として非現実的です。pchojecki.medium.com
→ まとめ
- 2030 年前半まで:量子で破られる現実的シナリオは低確率
- 2030 年後半〜2040 年代:ハードウェアブレイクスルー次第で中リスク化
3. イーサリアム側の備え
| ロードマップ段階 | 量子耐性施策 |
|---|---|
| The Splurge | Account Abstraction で任意署名スキームを許容し、PQ 署名を Layer-2 で先行検証thequantuminsider.com |
| Future-proofing | Lattice/STARK ベース署名へ置換を研究。ロードマップ文書にも「量子耐性」は明記済み。ethereum.org |
| Ethereum 3.0(2027 予定) | Winternitz・zk-STARK など本格実装を計画。btq.com |
4. 今日できるリスク低減策
- 未公開鍵アドレス保管
送金せずに受け取ったアドレス(公開鍵がまだオンチェーンで晒されていない)に長期保管。 - ハイブリッド/多重署名
マルチシグの 1 〜 2 鍵を XMSS・SPHINCS+ など PQ 署名に置換しておき、量子到来時に素早く切り替え。 - アップグレード追従
EIP-4337 対応ウォレットや、将来の PQ 対応ウォレットへ段階的に移行。 - 鍵ローテーション
大きな送金後は新しい鍵ペアで残高を管理(公開鍵露出時間を短縮)。
結論 —「壊れる確率」を一言で
- 2025 〜 2030 年:古典攻撃 ≈ 0%、量子攻撃 ≲ 数 %
- 2030 〜 2040 年:量子攻撃リスクが“顕在化するかも”
- 2040 年以降:イーサリアムが PQ スキームへ移行済みなら再び安全域へ
したがって 「当面は極めて安全。ただし 10〜15 年先を見据えて鍵管理とアップグレード準備を」 というのが現実的な結論です。