306, 百六十ビットへの油断が、全てを壊す。……切り捨ての代償と量子演算が交差するとき……
どうなってるのよ……。わたしの、ラグプルに対する予感が……またしても、「現実」に映し出されていく。だって、この瞬間にまたラグプルが発生するなんて……。こんなもの、解禁したからに決まってるじゃないの!
ラグプルしておきながら……なにが、「私たちはここにいる」って!? ……なに考えてんのよ!?
「ネゲート……。わたしは、いつ量子脆弱性の話を切り出せばいいのでしょうか?」
「もう……。また、ラグプルなんてね。しかも……そのラグプル、『超大型』よね? あの『豪快な件』に匹敵するくらいの……。もうね、そんなのが続くようでは、わかってるわよね?」
たしかに……。超大型のラグプル、だったわ。
でも……。ここまで豪快にラグプルが続くと、さすがに違和感を覚えるわ。そもそも……超大型のラグプルなんて、その精霊の意思だけで実行できるものかしら? それなりの「手引き」とか、「裏」が必要よね。だって、換金先の確保とか……、必要なはずなんだから。換金先……? そうね、あの腐った精霊とか……。……うん、そこは調べてみる価値がありそうだわ。
「コンジュ姉……そうみたい。いったい、どうなってんのよ……。」
「あのね……ラグプルされたら、もう『おしまい』なのよ。この調子では、まだまだ続くわ。……案外、量子脆弱性が原因だったりして? とにかく、フィー、そろそろよろしいかしら?」
「ちょ、ちょっと……! 量子脆弱性が原因って……!?」
「あら? たしかに、このような内容の報道は『控えめ』にしてるみたいだけどね、ラグプルを仕掛ける精霊って、きっと、嗅覚はとても鋭いのよ。こんな程度の情報、どこからでも仕入れているわ。」
「なによ……。」
「あ、あの……女神、コンジュゲート、様。」
「あら、何かしら? つまり……、そろそろってことね?」
……もういいわ。今は、頭を切り替える。まだ何も手掛かりが得られていない起きてしまったラグプルにいくら集中したって、何も変わらないもの。ちゃんと調べてからにするわ。
……、……。それからなぜか、急に深刻そうな表情を浮かべるフィー……。うん……「イーシーリカバー」の件は、たしかにそうなるわ。そして、なぜそうなってしまうのか。でも、原因がわかっているのなら……、直せばいいのよ?
「……わたしは、『話が長い精霊』です。それでは……、よろしいですね?」
「そうね……。」
「うん、構わないわ。」
ちょっと、コンジュ姉……。このあと、「量子を祝う日」に顔を出すつもりなんじゃ……? ……もう、やっぱりフィーの考察も、ちゃんと聞いておくべきなのね。
「ではまず、楕円曲線上の座標……すなわち『公開の鍵』から『秘密の鍵』を求める……つまり、『鍵や署名を破る』という状況なのですが、これを量子で実現するには、非常に負荷の高い『あの有名な量子アルゴリズム』を使う必要があるのです。ただし……検証側、つまり『求めた秘密の鍵』から『元の公開の鍵』を計算し、この量子演算が正しいかどうかを確かめる処理は、古典でも瞬時に可能なので、量子演算中の『領域の変換』には平方根の手法を採用できるのですが……、それでも、この量子アルゴリズムの処理は『全体として重い』というのが現状なのです。結局……それよりも軽く実現できてしまう、つまり『少ない量子ビット数』で演算できる『採掘の量子脆弱性』のほうが、より現実的な脅威と見なされてきたのです。」
「へえ……。フィーが言うなら、間違いなさそうね。『領域の変換』が平方根になっても、やっぱり、その演算は重い処理なんだ?」
「はい……、なのです。『公開の鍵から秘密の鍵を求める量子演算』は、想像以上にハードルの高い、重い演算。それで、間違いないのです。」
「なるほど、それでかな。まだ実現できそうにない方……、その重い演算に頼る『鍵や署名を破る』については、報道ではよく取り上げられているのよね。それに対して『採掘の量子脆弱性』の方は、まるで腫れ物に触るかのように……黙殺されている。そんな感じよね?」
「はい……、なのです。ところが……この『公開の鍵から秘密の鍵を求める量子演算』について、重い演算……『あの有名な量子アルゴリズム』を使わなくても簡単に破れてしまうケース……つまり、新たな量子脆弱性となるものが、ひとつだけ存在したのです。それが、イーシーリカバーを使っているチェーンなのです。これだけでも、何のチェーンがこの量子脆弱性を抱えているのか、わかると思うのです。そして……これは正直なところ、あの採掘の量子脆弱性と同等か、あるいはそれ以下の低い難易度でイーシーリカバーが破られてしまうのですよ。そして、イーシーリカバーの役割は『署名の検証』ですので……、そこが破られたとなると……。」
イーシーリカバーが破られたら……、誰でも、好きなトランザクションを「好きなよう」に発行できるようになるわ。そうなれば当然、光の速さに匹敵する勢いで、アカウントに眠る全資産は「抜かれるだけ」よ。……、そこには何も、残らないわ。
「うわ……それは大変。でも、なぜそんなことになるのかしら?」
「はい……、なのです。その秘密は、アドレスの処理過程にあります。そこをよく見ていくと……微妙な違和感が見えてくるのです。本来、一般的なチェーンで採用されている楕円曲線は『二の二百五十六乗……つまり、二百五十六ビット』に近い広大な座標空間を持つことで、セキュリティを確保しているのです。したがって、そのアドレス空間も、同様に二百五十六ビットになるのです。ところが、チェーンで運用されている公開の鍵のハッシュは百六十ビット。さて、その差となる残りの九十六ビットは、いったいどこへ消えたのでしょうか? ……そこに、今回の量子脆弱性がつながっているのです。」
……。コンジュ姉は、「闇の勢力」よ。それで……聞き出し方が、なんとなく上手いのよね。でも……もう、闇がどうこう、なんて言ってられる状況ではなくなってきたわよね……。
「でもそれって……単に、出力のアドレス空間が狭くなるように、ハッシュを重ねただけなんじゃないの?」
「実は……、なのです。もし、そのような重ねハッシュの処理であれば、特に問題はないのです。ところが、そうではなく……、公開の鍵に対して『二百五十六ビットの出力アドレス空間』を持つハッシュで処理をしてから、あとで『必要な分だけ……百六十ビット』をそのまま切り出して使っている。……もし、そんな処理が行われていたとしたら、どうなるのか、考えてみてほしいのです。」
「えっ? ……そう。その様子だと、そこからハッシュせずに、単に『百六十ビット』を切り出しているだけに見えるわ。つまり、残りの『九十六ビット』はただ捨てられて、何の相関も持たないまま『なかったこと』にされている……そういうことよね?」
「はい。その認識で、合っているのです。なぜなら、もしそこでもう一度ハッシュ処理が行われていれば……、残りの『九十六ビット』も、相関を持ったまま『出力の一部として残るはず』だったのです。そして、……そう、それこそがハッシュのセキュリティ……『雪崩効果』になったのですよ。ところが、映し出された現実は……ハッシュされずに、ただの切り出しだったのです。」
「そうなるわね。九十六ビットをただ『捨てる』というのは、雪崩効果の『半分近く』を放棄してるようなものよ。……それって、もはや『ハッシュの強度』とは呼べないわよね?」
「はい……、なのです。そこで……わたしの姉様が仕掛けた『推論』の出番なのです。この推論によって、雪崩効果を失った領域に関する『パターン』を学習し、探索範囲を一気に縮めることができることでしょう。」
「そこでシィーの推論が活躍するのね。……、ちょっと待って……。これって、まさか……。」
「はい……、なのです。通常、秘密の鍵を破るには、公開の鍵から『あの有名な量子アルゴリズム』を使うのが定石でした。でも重いのです。ところが……ここで発想を転換してみるのです。わざわざ逆方向に計算しようとせず、順方向で量子的に構築してしまう。そして、雪崩効果が弱い部分に『推論』を投入し、スーパーポジションで一斉に探索するのです。最終的に出力されるアドレスは、あらかじめ分かっているのですから、だったら、そのアドレスに一致する入力を見つけるだけでいい。つまり、それこそが『秘密の鍵』になるのです。」
「……なるほど。」
「さらに、この構造は……、『探索のしやすさ』そのものにも貢献してしまっているのです。よく見てください。切り捨てられた九十六ビット分は、『量子的に自由なアドレス空間』になってしまうのです。つまり……、そこにどんな値が来ても『出力されるアドレスは変わらない』……ということは? 本来とは異なる秘密の鍵でも、イーシーリカバーは常に真になるのです。つまり、アカウントにある高額な残高を狙う者にとって、そのオーナーが所有する『本来の秘密の鍵』は必要ないのです。彼らが必要とするのは、イーシーリカバーが真になる秘密の鍵なのです。つまりそれが、切り捨てられた分から生じる『偽物』であっても、まったく問題ないのです。……、それだけで、全ての資産を奪えてしまうのですから。」
「これが……フィー、なのね。」
「あ、あの……。そして、どの『偽物』でも問題ないのですから、一つだけある『本来の秘密の鍵』に干渉する必要すら、ないのです。どれでもいいのですから、そのまま観測して『コラプス』させるだけ。……それだけで、成立してしまうのです。」
「……。これなら、はるかに解きやすい。しかも、『推論』のサポートまである。結局……、あの『公開の鍵から秘密の鍵を得る』という難解な手段なんて、必要なかったってわけね。」
「はい……、なのです。簡単にまとめれば、その通りなのです。ですが……、これには、もう一つの脅威があるのです。それは……『アドレスそのもの』から秘密の鍵が導き出される、という点なのです。普段話題になる『公開の鍵から秘密の鍵を得る量子演算』では、当然ですが公開の鍵が必要なのです。それは、公開の鍵のハッシュからでは、演算できないのです。そしてチェーンの性質上、一度もトランザクションを放出していないアドレスの公開の鍵は、誰にもわかりません。だからこそ、『受け取っているだけ』なら量子的に安全とも言われていたのですよ。ところが、今回の量子脆弱性は、公開の鍵のハッシュ……すなわちアドレスそのものからイーシーリカバーが真になる秘密の鍵を得ることができてしまう。つまり、その量子的な安全性すら、もう、無効なのです。」
「でも……。なんで、こんなことに? ただハッシュを重ねておけば、問題なかったんでしょう?」
「はい……、その通りなのです。そして、その理由は……、そうですね。このチェーンでは、『演算量に応じて手数料が決まる』仕様になっているのです。つまり……、『少しでも演算量を減らして手数料を削る』ために、セキュリティに必要不可欠な処理を……削ったのです。」
「……。」
「同じ百六十ビット……『見た目が同じ』だからといって、セーフとは限らないのです。それこそが……、ポスト量子暗号さえ無効化する、このチェーンの量子脆弱性なのです。」
「えっ? ポスト量子暗号すら『無効』って……?」
「はい……、なのです。なぜなら、ポスト量子暗号が秘密の鍵を守ってくれるのは『逆方向の量子演算』に限るのです。ところが、今回のこれは『順方向』。つまり、ポスト量子暗号に置き換えたところで、順方向は普通に量子で演算できるのです。……、というより、順方向なら、古典でも計算できてしまうのですから。」
……。想像以上の内容だわ。やっぱり「量子脆弱性」って、案外いろんな場所に静かに潜んでいるのね……。
これではまるで、カモのトランザクションを挟んで楽しんでいたつもりが、いつの間にか、自分が「量子と推論」に挟まれて、身動きできなくなっていた……。……、そんな状況ね。
