量子コンピューティングはビットコインとクリプトにとって大きな脅威です
今週、Googleは、理論上では量子コンピュータが9分でBitcoinの秘密鍵を推定できる方法を描写する研究論文を公開し、それが波及してEthereum、他の各種トークン、プライベートバンク、そしてこの世界の「すべて」にまで影響する可能性がある。
量子コンピュータは、通常のコンピュータの高速版だと誤解されがちだ。だが、それはより強力なチップでも、より大きなサーバー群でもない。原子のレベルからまったく別の種類の機械なのだ。
量子コンピュータは、非常に小さく、非常に冷たい金属の輪から始まる。そこでは粒子が、地球上の通常の条件ではしないふるまいを始める。そのふるまいは、私たちが基本的な物理法則だと見なしているものを変えてしまう。
それを、物理の意味で理解することこそが、「量子の脅威を読むだけ」にとどまらず、それを実際に掴むための境界線そのものだ。
コンピュータと、量子コンピュータは実際どう動くのか
通常のコンピュータは、情報をビットに保存する――それぞれのビットは0か1のどちらかだけだ。ビットは極小のスイッチにすぎない。物理的にはそれは「チップ」上のトランジスタで、(1)電気を通すか(0)通さないか、という微小なゲートだ。
あらゆる画像、あらゆるBitcoinの取引、そしてあなたがこれまでに打ち込んだあらゆる単語は、このような「オン/オフ」のスイッチのパターンとして保存されている。ビットに不思議なところはない。ビットは、定まった2つの状態のうちのどちらかという、物理的な物体だ。
あらゆる単純な計算とは、0と1の並びをとにかく高速に並べ替えることだけだ。最新のチップなら1秒間に何十億回ものそうした処理ができるが、それでも1つ1つの操作を、順番に実行している。
量子コンピュータは、ビットの代わりに「キュービット」と呼ばれるものを使う。キュービットは0にも1にもなり、そして――ここが奇妙なところだが――同時に両方になりうる!
これは、キュービットがまったく別種の物理物体だから起きる。最も一般的で、Googleが使っているのも、超伝導の非常に小さな金属リングだ。それを絶対零度より約0.015度上まで冷却する。宇宙空間よりは冷えているのに、それでも地球上で存在できる温度だ。
その温度では、リングを通って電気が流れても抵抗がない。そして、その電流は量子状態にあるとされる。
その超伝導リングの中では、電流は時計回り(0)にも反時計回り(1)にも流れられる。だが量子の階層では、電流は必ずしも片方の向きを選ばず、実際に両方の向きへ同時に流れていることがある。
それを、2つの状態をものすごく速く行き来しているのと混同しないでほしい。その電流は測定可能で、実験によって検証でき、観測によって、2つの状態の「同時」が成立していると確認できる。
ぞっとするほど圧倒的な物理
ここまではいい?よし、次が本当に奇妙なところだ。なぜなら、それが動く仕組みの背後にある物理は、すぐには直感的に理解できないし、そもそも直感的に理解できるように作られてもいないからだ。
人間が日常生活で相互作用するあらゆるものは、古典物理に従っている。古典物理は、物体はある場所にあるある時点で存在すると仮定する。だが、粒子は超小さなスケールではそんなふうには振る舞わない。
電子は、あなたがそれを見ようとするまで確定した位置を持たない。光子は、あなたがそれを測るまで確定した偏光を持たない。超伝導リングの中の電流も、あなたがそれに「選べ」と迫るまで、確定した向きに流れるとは限らない。
私たちが日常生活でこのようなことを体験しない理由は、量子もつれではなく「量子のコヒーレンス(重ね合わせ)」が失われる現象――量子の失相(デコヒーレンス)にある。量子系がその環境と相互作用すると、空気の分子、熱、振動、光などによって、重ね合わせ状態はほぼ即座に崩れ落ちる。
サッカーボールは、同時に2つの場所にいることはできない。なぜなら、毎ナノ秒ごとに何兆もの空気の分子、ほこり、音、熱、重力などと相互作用しているからだ。だが、絶対零度近くの真空環境でごく小さな電流を隔離し、起こりうるあらゆる擾乱から遮蔽すれば、量子のふるまいは、計算が終わるのに十分な長さだけ存在し続けられる。
だから量子コンピュータは極めて作りにくい。科学者たちは、この現象を止めて計算を完了させるのに十分な時間だけ、その現象を妨げる物理法則が抑え込まれるような物理環境を設計している。
Googleのマシンは、大きな部屋ほどのサイズの希釈冷凍機の中で動作している。自然界に存在するどんなものよりも冷えており、電磁ノイズ、振動、熱放射から守るための複数の遮蔽層に包まれている。
そして、キュービットは「そうであっても」なお非常に脆い。キュービットは量子状態を連続的に失っていく。そのため「誤り訂正」が、スケール(規模拡大)を議論するあらゆる場の主題になっている。
したがって、量子コンピュータは古典コンピュータの高速版ではない。極めて小さなスケール、極端に低い温度、そしてごく短い時間幅でのみ適用される、別の物理法則の束を利用しているのだ。
では、それをどんどん大きくしていこう。
通常の2ビットは4つの状態(00、01、10、11)のいずれかにしかなれないが、同時に存在できるのは1つだけだ(電流は1つの方向にしか流れないため)。2キュービットなら、電流があらゆる方向に同時に流れているため、4つの状態を同時に表現できる。
3キュービットなら8つの状態。10キュービットなら1.024。50キュービットなら100兆(1百万億)を超える。数は追加する各キュービットごとに2倍に増えるので、拡張は極めて指数関数的だ。
2つ目のコツは、量子もつれと呼ばれるものだ。2つのキュービットがもつれていると、あるキュービットを測定すると、観測者はもう一方のキュービットについて、どれだけ離れていようと即座に何かを知ることができる。これにより、量子コンピュータは、その同時に存在する状態全体にわたって、通常の並列計算ではできない方法で協調して計算できる。
そして、これらの量子コンピュータは、間違った答えが互いに打ち消し合う(重ね合わさった波が平たくなるように)ように設定され、正しい答えは増幅される(重ね合わさった波が高く重なるように)。計算の終わりには、正しい答えが最も高い確率で観測される。
だからこれはブルートフォース(力任せの総当たり)速度の話ではない。まったく別の計算の仕方だ――自然が指数関数的に増える可能性の空間を探索し、そして論理ではなく物理によって「正しい答えへ」折り畳まれるようなやり方なのだ。
暗号に対する巨大な脅威
この圧倒的な物理こそが、暗号化にとって恐ろしい理由だ。
Bitcoinを守っている数学は、すべての鍵を検証するには宇宙の年齢以上の時間がかかる、という前提に依存している。
しかし量子コンピュータは、1つずつ鍵を検証しない。すべてを同時に探索し、干渉を使って正しい答えを浮かび上がらせる。
それがBitcoinとの結びつきだ。片方向では、秘密鍵から公開鍵へは数ミリ秒で済む。逆方向で、公開鍵から秘密鍵へ戻すと、古典コンピュータでは100万年、あるいは宇宙の年齢よりさらに長い時間がかかる。こうした非対称性こそが、その人が自分のコインを保有していることを証明するものだ。
Shorというアルゴリズムを動かす量子コンピュータは、その「関門」を突破できる。今週のGoogleの研究は、それを以前の誰もの見積もりよりもはるかに少ないリソースで行え、かつBitcoinのブロック確認時間と真っ向から競合する時間枠で実行できることを示している。
だからこそ、ブロックチェーン暗号が量子コンピュータによって破られるという脅威が、みんなを本当に心配させているのだ。
このような攻撃がどのような手順で行われるのか、Googleの研究が具体的に何を変えたのか、そして公開されてしまった690万(6,9百万)Bitcoinにとってそれが何を意味するのか――これらは、この連載の次のパートで扱う。