暗号学者が5000ドル賭け、量子コンピュータの脅威は本当に来るのか
量子コンピュータが既存の暗号を破る日は、2029年までに来るのか、2035年までに来るのか、それとも永遠に来ないのか。二人の著名な暗号学者が、その問いに5000ドル(約80万円)の実弾で回答を突きつけようとしている。
量子コンピュータが既存の暗号を破る日は、2029年までに来るのか、2035年までに来るのか、それとも永遠に来ないのか。二人の著名な暗号学者が、その問いに5000ドル(約80万円)の実弾で回答を突きつけようとしている。
「来る」と「来ない」の間に置かれた5000ドル
量子コンピュータと暗号の関係は、いまも一種の重ね合わせ状態にある。いつか既存の暗号を瓦解させる脅威なのか、それとも永遠に実現しない空想なのか。専門家の間ですら、意見は割れたままだ。
その曖昧さに身銭を切って白黒をつけようとしているのが、かつてGoogleで暗号エンジニアを務め、現在はオープンソース保守者として知られるフィリッポ・ヴァルソルダ氏と、ジョンズ・ホプキンス大学准教授のマシュー・グリーン氏の二人である。金額は5000ドル。やり取りはBluesky上で始まり、賭けは正式な文書へと進もうとしている。
きっかけは3月末、Googleが楕円曲線暗号(ECC)を破るために必要な量子計算リソースの見積もりを大幅に下方修正したことだった。ショアのアルゴリズムを走らせるのに要する物理量子ビット数が、従来推定の約20分の1で済むという内容である。Google自身はすでに2029年を社内のポスト量子暗号(PQC)移行期限に据えており、発表はその意思表示でもあった。
NISTは2035年、懐疑派は「まだ6ビットも素因数分解できていない」
米国立標準技術研究所(NIST)は、量子に脆弱な既存アルゴリズムを2035年までに退場させたい意向を示している。ただ、その期限が現実的かどうかについて、確信を持っている者はいない。
量子コンピュータはいまだに「35」という6ビットの数すら素因数分解できていない。楕円曲線暗号の秘密鍵の標準長は256ビットだ。道のりはまだ遠い。
この懐疑論を代表するのが、ニュージーランド・オークランド大学のピーター・ガットマン教授だ。ポスト量子暗号そのものが不要だとまで言い切る彼の主張は、昨年の取材記事をきっかけに一定の支持を集めてきた。
一方のヴァルソルダ氏は、Googleの発表と最近の関連研究を引き合いに、ガットマン氏の論は浅いと退ける。そしてテキサス大学オースティン校のスコット・アーロンソン教授らの警鐘を引きつつ、PQCへの移行はむしろ加速すべきだと主張した。
10年後に予測が外れている可能性はある。だが、近い将来に的中している可能性もまた十分にある。そのリスクは、もはや許容できる水準にない。
ヴァルソルダ氏のブログ記事は、そう結ばれている。数字で語れないリスクを前にして、研究者が取れる誠実な態度は「備える」側に倒すことだ、というわけだ。
| 関係者 | 量子脅威の見方 | 推奨アクション |
|---|---|---|
| ガットマン | 6ビットの「35」すら 素因数分解できていない |
PQC移行は不要 |
| グリーン | 2029年も2035年も 実用水準は来ない |
予防として備える |
| ヴァルソルダ | 不確実だが リスクは許容不可 |
移行を加速 |
| 必要量子ビットを 約20分の1に下方修正 |
2029年社内PQC移行 | |
| NIST | 将来的に現行暗号を破る | 2035年までに退場 |
賭けの中身は「非対称」である
賭けの構造は、単なる「量子が来るか来ないか」ではない。
ヴァルソルダ氏が支払うのは、NISTが標準化した耐量子アルゴリズムML-KEM-768の共有鍵が、古典・量子を問わず何らかの攻撃で復元された場合。対してグリーン氏が支払うのは、広く使われている楕円曲線アルゴリズムX25519の共有鍵が、同じく古典・量子を問わず破られた場合だ。
| 項目 | ヴァルソルダ氏 | グリーン氏 |
|---|---|---|
| 対象 | ML-KEM-768 | X25519 |
| 分類 | 耐量子(格子暗号) | 従来型(楕円曲線暗号) |
| 支払条件 | ML-KEM-768の共有鍵が 復元されたら支払う |
X25519の共有鍵が 復元されたら支払う |
| 攻撃手段 | 古典・量子を問わず | 古典・量子を問わず |
| 立場 | PQCは堅牢である | 量子は来ない/ 先に崩れるのは格子暗号 |
理論上、X25519は耐量子設計のML-KEM-768よりも量子攻撃に弱い。にもかかわらずグリーン氏がX25519側に賭けたということは、彼の読みはこうだ。量子は来ない。そして仮に暗号解析が勝つなら、先に亀裂が入るのは標準化されたばかりの格子暗号のほうだ。
予防的な分析としては妥当だ。だが私なら、2029年までに、いや2035年までにすら、実用水準の量子コンピュータは登場しないほうに巨額を張る。
グリーン氏のBluesky投稿はそう述べている。この一言は、PQC推進派が見落としがちな死角を突いている。標準化されたばかりの格子暗号が、古典的な解析に対して本当に堅牢なのか、という問いだ。
この賭けが浮き彫りにするもの
5000ドルという金額は、どちらの研究者にとっても人生を左右する額ではない。だが、専門家が実名で、金額を明示して自分の立場を賭けるという行為そのものに意味がある。言葉ではなく数字で態度を示すことの重みだ。
興味深いのは、この賭けが3つの未来を同時に照らし出していることだ。量子コンピュータが実用化される未来、古典的解析が格子暗号を切り崩す未来、そしてどちらも起きずに賭けが宙に浮いたままになる未来。賭けが「いつ決着するか」すら、賭けの一部になっている。
グリーン氏は当初、「自分の自信を示すなら、ビットコインを買って公開鍵を晒せばいい」と冗談めかして語っていた。量子コンピュータがあれば、その鍵に守られた資産を奪えるからだ。結局、一方的な挑発ではなく互いにリスクを負う双方向の賭けに落ち着いた。大人の選択と見るか、慎重すぎると見るかは、読者の判断に任せたい。
「生活の事情で正式締結はまだだ。今日か明日には書き上げる」。ヴァルソルダ氏はThe Registerの取材にそう答えたという。
量子の時計は静かに進んでいる。読者が問うべきは一つだ。手元の暗号化データは、その答え合わせの日まで本当に待っていられるのか。
参照元
他参照
関連記事
- Google量子AIが突きつけた暗号通貨の「終わりの始まり」
- Google、耐量子暗号の全面移行を2029年に前倒し
- GmailのGemini統合、Googleが「メールでAIを訓練しない」と改めて表明
- AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
- OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
- Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
- Apple、異例の「バックポート」でiOS 18にDarkSword対策パッチを配信
- EFFがXを去る、7年前の3%以下しか届かぬ場所で
- Adobe Readerゼロデイ、PDFを開くだけで情報流出
- YouTube Shorts、顔と声のAIアバター解禁
