WebX完全ガイド
TOP
新着一覧
チャート
取引所
WebX
既存のEVM上で検証可能な量子耐性署名
イーサリアム財団の研究者ニコラス・コンシーニー氏は12日、イーサリアムリサーチのフォーラムへの投稿で、EVM(イーサリアム仮想マシン)上で検証可能な量子耐性署名方式「SPHINCS-(スフィンクスマイナス)」を提案した。
SPHINCS-は、米国国立標準技術研究所(NIST)が標準化した量子耐性署名方式「SLH-DSA(FIPS 205)」の基礎となったハッシュベース署名「SPHINCS+」を基盤に、既存のEVM環境で効率的に動作するよう最適化した研究提案だ。事前コンパイル(precompile)の追加やプロトコルの変更に頼ることなく、オンチェーンでの検証コストを最小限に抑えることを目標としている。
コンシーニー氏は、イーサリアム共同創設者のヴィタリック・ブテリン氏との議論を通じ、EVMにはすでに低コストの「KECCAK256」というハッシュ関数が実装されていることに着目したと説明している。同氏によると、KECCAK256を使うことでSHAKE256の代替としてオンチェーン検証をネイティブに実行できる。
そこで本提案では、NIST標準の「SHAKE256」を、イーサリアムネイティブの「KECCAK256」に置き換えることで、Solidity(イーサリアムのプログラミング言語)による署名検証機能の実装を可能にしている。
NISTはSPHINCS+において、署名回数の上限を2^64(2の64乗)回とする設計を採用しているが、コンシーニー氏は、これはブロックチェーンウォレットの実際の利用頻度に対して過剰な仕様だと主張する。
Dune Analyticsのデータ分析によると、マージ以降のイーサリアムメインネットにおいて、最もアクティブな上位0.1%のユーザーであっても、年間取引数の99.9パーセンタイル値は約431回にとどまるという。
こうした実態を踏まえ、コンシーニー氏らは署名回数の上限を現実的な水準(2^14~2^20回程度)に引き下げつつ、安全性を維持する設計を検討した。最適化されたバージョン「C13」では、検証コストは約127,000ガス、署名サイズは3,704バイトとなった。これに対し、標準的なSLH-DSA-SHA2-128-24では、検証コストは142,000ガス、署名サイズは3,856バイト、鍵生成と署名生成の合計で約10億7,000万回のハッシュ呼び出しが必要になるとされる。
コンシーニー氏は、この提案に関するXへの投稿で、SPHINCS-の利点を次のようにまとめている。
イーサリアムは、ハードフォークを待つことなく、今すぐ耐量子世界に向けたアカウントの対応を始めることができる。
現在、そのコストはわずか 0.07ドルだ。
関連記事:イーサリアム財団、量子コンピュータ対策チームを新結成
イーサリアム財団が量子コンピュータ対策チームを新設した。100万ドルの報奨金制度も開始し、耐量子暗号の実装を加速させる。
将来への橋渡し役として
コンシーニー氏は、SPHINCS-は現在、実用性を最優先した結果、NISTの標準規格から外れた「非標準」の仕様となっているとの見解を示し、主な相違点として以下を挙げた。
- ハッシュ関数の変更
- 署名上限数の制限
- 標準パラメータセットとの不一致
一方でNISTも現在、署名回数を抑えた軽量なパラメータセットの標準化を進めており、SPHINCS-の技術は将来の標準規格にもそのまま応用可能であると同氏は見ている。しかし、SPHINCS-により検証コストは改善したものの、署名生成処理のコスト(計算負荷)は依然として高く、ハードウェアウォレットやモバイル環境におけるユーザー体験への影響が検討課題として残っている。
また、将来的にはzkEVM(ゼロ知識イーサリアム仮想マシン)との親和性向上が重要であり、ゼロ知識証明に適したハッシュ関数を採用する必要があると同氏は指摘。この方向性に基づいた発展形を「leanSPHINCS(無駄のないスフィンクス)」と名付け、プロトコルレベルの集約が必要になると述べた。
コンシーニー氏は、SPHINCS-はプロトコルの変更を待つことなく、現時点で導入可能なハッシュベースの量子耐性署名の中で最もガス効率に優れた選択肢であり、将来的に「leanSPHINCS」が実現するまでの架け橋になり得るとの見方を示した。
