最近の2つの研究により、量子コンピュータが銀行、インターネットトラフィック、ビットコインなどの暗号資産を保護する楕円曲線暗号を解読するために必要な量子ビット数が、従来の推定よりも大幅に少なくなる可能性が示されました。ある手法では約1万~3万、別の手法では50万量子ビットで可能とされています。研究者らはハードウェアの急速な進歩を強調し、耐量子計算機暗号(ポスト量子暗号)への移行を急ぐよう警鐘を鳴らしています。
OratomicのDolev Bluvstein氏らが率いる研究チームは、光ピンセットで捕捉された中性原子を再構成可能な量子ビットとして用いてShorのアルゴリズムを分析しました。これにより、固定された超伝導アーキテクチャよりも優れたオール・ツー・オール接続と効率的な誤り訂正が可能になります。論文「Shor’s algorithm is possible with as few as 10,000 reconfigurable atomic qubits」では、多くの安全なシステムの基盤である256ビット楕円曲線暗号(ECC)を10日間で解読するために必要な物理量子ビット数は3万個未満であると推定しており、これは従来の推定から100分の1への削減となります。すでに6,000量子ビットを超えるアレイの構築は実証されています。Bluvstein氏は、こうしたアレイの構築は1年以内に実現可能かもしれないとしつつも、量子ビットの直接的な相互作用が必要なため、既存のマシンを連結するような近道はできず、信頼性の高い量子ビット制御には依然として課題があると指摘しました。完全なマシンは10年以内に構築できる可能性があり、解読実行には数年かかる可能性があります。チームは「適切に設計された中性原子アーキテクチャは、暗号解読に関連するShorのアルゴリズムの実装をサポートできる可能性がある」と記し、耐量子計算機暗号の採用を呼びかけました。
一方、Googleの研究者らは、ビットコインで採用されているsecp256k1曲線上の楕円曲線離散対数問題に対してShorのアルゴリズムを最適化しました。彼らの手法では、1,200論理量子ビット未満と9,000万個のToffoliゲートを用いた回路、あるいは1,450論理量子ビット未満と7,000万個のゲートを用いた回路が必要となります。これは、10分未満で解読するために物理量子ビット換算で約50万個を必要とすることを意味し、2003年の推定と比較して20分の1のリソースで済む計算です。悪用のリスクを考慮し、Googleは詳細の公開を控え、米国政府との協議を経てゼロ知識証明を公開するにとどめ、将来的な量子暗号解読に関する情報開示を制限すべきだと主張しました。
元Microsoftの暗号専門家Brian LaMacchia氏は、これらの論文は実用的な量子暗号解読に向けた量子ビット数とアルゴリズムの着実な進歩を示していると評しましたが、ジョンズ・ホプキンス大学のMatt Green氏はGoogleの慎重姿勢を過剰な懸念であると指摘しました。今回の研究結果は、現在の公開鍵暗号システムの脆弱性を浮き彫りにしており、暗号移行の緊急性が高まっています。