原文作者：@Cointelegraph

原文編集：AididiaoJP、Foresight News

本文はBIP-360がビットコインの量子防御戦略をどのように再構築するかを説明し、その改善点を分析するとともに、なぜ完全な後量子セキュリティが実現されていないかを考察します。

• BIP-360は、量子耐性を初めてビットコインの開発ロードマップに正式に組み込み、劇的な暗号体系の変革ではなく、慎重で段階的な技術的進化を示しています。
• 量子リスクは、ビットコインが採用するSHA-256ハッシュアルゴリズムではなく、公開鍵が露出している場合に主な脅威となります。したがって、公開鍵の露出を減らすことが、開発者が重点的に解決すべき核心的なセキュリティ課題です。
• BIP-360は、Taprootアップグレードにおける鍵パス支出オプションを削除することで、すべてのUTXOの支出をスクリプトパスに強制し、楕円曲線公開鍵の露出リスクを最小限に抑えるために、ペイメント・トゥ・マーカー・ルート（P2MR）スクリプトを導入しました。
• P2MRは、スマートコントラクトの柔軟性を維持し、Tapscriptマーチェルツリーを通じてマルチシグ、タイムロック、複雑なトランザクション構造を依然としてサポートしています。

ビットコインの設計哲学は、厳しい経済的・政治的・技術的課題に耐えることを可能にしています。2026年3月10日現在、その開発チームは新興の技術的脅威である量子計算への対応を進めています。

最近発表されたBitcoin改善提案360（BIP-360）は、量子耐性を初めてBitcoinの長期技術ロードマップに正式に組み込みました。一部のメディアはこれを大きな変革として報じていますが、実際にはより慎重で段階的なアプローチです。

本稿では、BIP-360が支付到默克尔根（P2MR）スクリプトを導入することでTaprootの鍵パス支出機能を削除し、ビットコインの量子リスク暴露を低減する方法を深く考察します。本稿は、この提案の改善点、導入されたトレードオフ、およびそれがなぜビットコインに完全な量子耐性を実現できていないのかを明確に解説することを目的としています。

ビットコインのセキュリティは、楕円曲線デジタル署名アルゴリズム（ECDSA）およびTaprootアップグレードを通じて導入されたSchnorr署名といった暗号学的基盤に築かれています。従来のコンピュータでは、公開鍵から秘密鍵を実用的な時間内に逆算することは不可能です。しかし、十分な処理能力を持つ量子コンピュータがショアのアルゴリズムを実行すれば、楕円曲線離散対数問題を解く可能性があり、その結果、秘密鍵の安全性が脅かされるおそれがあります。

主な違いは以下の通りです：

• 量子攻撃は主に公開鍵暗号システムを脅かすものであり、ハッシュ関数ではありません。ビットコインが採用するSHA-256アルゴリズムは、量子計算に対して比較的堅牢です。グローバーのアルゴリズムは指数的な加速ではなく、二次的な加速しか提供しません。
• 真正的リスクは、公開鍵がブロックチェーン上に公開される瞬間である。

これに基づき、コミュニティは公開鍵の露出を最大の量子リスク源と見なしています。

ビットコインネットワーク内のさまざまなアドレスタイプは、将来の量子脅威の度合いが異なります：

• 再利用アドレス：このアドレスの資金が使用されると、その公開鍵がブロックチェーン上に公開され、将来的に暗号学的量子コンピュータ（CRQC）が登場した場合、この公開鍵はリスクにさらされます。
• 遗留の公鍵（P2PK）出力：初期のビットコイン取引では、公鍵が直接取引出力に記録されていました。
• Taprootキー経路支出：Taprootアップグレード（2021年）は、2つの支出経路を提供します。1つは簡潔なキー経路（支出時に調整された公開鍵が暴露される）で、もう1つはスクリプト経路（マーケル証明を通じて具体的なスクリプトを暴露する）です。その中で、キー経路は量子攻撃における主な理論的脆弱点です。

BIP-360は、鍵パスの露出問題に直接対処するために設計されています。

BIP-360提案は、支付到默克尔根（P2MR）という新しい出力タイプを追加しました。このタイプはTaprootの構造を参考にしていますが、重要な変更として、鍵パスでの支出オプションを完全に削除しています。

Taprootの内部公開鍵とは異なり、P2MRはスクリプツリーメルクル根のみを承诺します。P2MR出力を使用するプロセスは以下の通りです：

スクリプツツリー内のリーフスクリプトを表示します。

承诺されたマーケルルートに属するリーフスクリプトであることを確認するために、マーケル証明を提供してください。

このプロセス全体において、公開鍵に基づく支出パスは存在しません。

キー パスのコストを削除することによる直接的な影響には：

• 公開鍵を直接署名検証することで暴露しないでください。
• すべての支出パスは、より強力な量子耐性を持つハッシュベースのコミットメントに依存しています。
• チェーン上に長期間存在する楕円曲線公開鍵の数は大幅に減少する。
• 楕円曲線仮定に依存する手法と比較して、ハッシュに基づく手法は量子攻撃に対する耐性が顕著に高く、潜在的な攻撃面を大幅に縮小します。

よくある誤解の一つは、キー パスのコストを放棄することで、ビットコインのスマートコントラクトまたはスクリプト機能が弱まると考えることです。実際、P2MR は以下の機能を完全にサポートしています：

• マルチシグ設定
• タイムロック
• 条件付き支払い
• 資産継承プラン
• 高度な預託アレンジメント

BIP-360は、Tapscriptマーチルツリーを用いて上記のすべての機能を実現します。このソリューションは、完全なスクリプト機能を維持しつつ、便利だが潜在的なリスクを伴う直接署名パスを廃止します。

背景知識：サトシ・ナカモトは早期のフォーラムでの議論で、量子計算について簡単に言及し、それが現実のものとなった場合、ビットコインはより強力な署名方式に移行できると示唆した。これは、将来のアップグレードに柔軟性を備えることが、初期設計思想の一部であることを示している。

BIP-360は表面上技術的な改善に見えるが、その影響はウォレット、取引所、託送サービスなど幅広い層に及ぶ。この提案が採用されれば、長期的な耐量子性を重視するユーザーにとって、新しいビットコイン出力の生成、使用、保管方法が徐々に再構築されることになる。

• ウォレット対応：ウォレットアプリは、「量子強化」オプションとして、ユーザーが新規コインを受け取ったり、長期保有資産を保管したりするために、選択可能なP2MRアドレス（「bc1z」で始まる可能性あり）を提供する場合があります。
• 取引手数料：スクリプトパスを使用すると、より多くの証明データが追加されるため、P2MR取引はTaproot鍵パスでの支出よりもやや大きくなり、取引手数料が若干増加する可能性があります。これは、セキュリティと取引のコンパクト性との間でのトレードオフを示しています。
• エコシステムの連携：P2MRの全面的な導入には、ウォレット、取引所、託送機関、ハードウェアウォレットなど、関係各社の対応した更新が必要です。関連する計画と調整作業は、数年前から開始する必要があります。

背景知識：各国政府は、「先収集、後解読」のリスクに注目し始めています。これは、現在大量の暗号化データを収集・保存し、将来量子コンピュータが登場した際にそれを解読しようとする戦略です。この戦略は、ビットコインの公開鍵が既に暴露されていることに対する潜在的な懸念と同様です。

BIP-360の明確な境界

BIP-360は、ビットコインの将来の量子脅威に対する防御を強化しますが、暗号体系の根本的な再構築ではありません。その限界を理解することも同様に重要です：

• 既存の資産は自動的にアップグレードされません：ユーザーが資金をP2MR出力に手動で移転するまで、すべての旧式の未使用取引出力（UTXO）は脆弱性を残したままです。したがって、移行プロセスはユーザーの個々の行動に完全に依存します。
• 後量子署名を導入しない：BIP-360は、現在のECDSAまたはSchnorr署名を置き換えるために、格ベースの署名方式（DilithiumやML-DSAなど）またはハッシュベースの署名方式（SPHINCS+など）を採用していない。これは、Taprootキー経路に由来する公開鍵の露出パターンを削除するのみである。基礎層で後量子署名に完全に移行するには、はるかに大規模なプロトコル変更が必要である。
• 絶対的な量子耐性を提供することはできません。たとえ将来、実用可能なCRQCが突然登場したとしても、その影響に対抗するには、マイナー、ノード、取引所、保管機関間で大規模かつ高度な協力が不可欠です。長期にわたり動いていない「スリーピングコイン」は、複雑なガバナンス課題を引き起こし、ネットワークに大きな負荷をかける可能性があります。

量子計算の技術発展路径は不確実性に満ちている。一部の見解では、実用化にはまだ数十年を要するとされているが、他方で、IBMが2020年代後半に耐障害量子コンピュータを実現する目標を掲げ、グーグルが量子チップでブレークスルーを達成し、マイクロソフトがトポロジカル量子計算の研究を進め、米国政府が2030〜2035年までの暗号システム移行期限を設定していることから、関連する進展が加速していることが示唆されている。

基盤インフラの移行には長い期間を要する。ビットコインの開発者は、BIPの設計、ソフトウェア実装、インフラの適合、ユーザーの採用までの一連のプロセスを体系的に計画することが不可欠であると強調している。量子脅威が迫ってから行動を起こすと、時間が足りず不利な状況に陥る可能性がある。

コミュニティが広範な合意に達した場合、BIP-360は段階的なソフトフォーク方式で推進される可能性があります：

• P2MR 新しい出力タイプを有効化します。
• ウォレット、取引所、および託送機関が次第にそのサポートを強化しています。
• ユーザーは数年にわたり段階的に資産を新しいアドレスに移転しました。

このプロセスは、かつてのセグウィット（SegWit）およびTaprootのアップグレードが、オプションから広範な採用へと至った道筋と似ています。

BIP-360の実施の緊急性とその潜在的コストについて、コミュニティ内では引き続き議論が続いています。主な議論テーマには以下が含まれます：

• 長期保有者にとってのわずかな手数料増加は受け入れ可能でしょうか？
• 機関ユーザーは最初に資産を移管し、模範的な効果を発揮すべきですか？
• 動かされることのない「眠る」ビットコインは、どのように適切に処理すべきですか？
• ウォレットアプリは、ユーザーに「量子セキュリティ」の概念を正確に伝えるために、不必要なパニックを引き起こすことなく、有効な情報を提供するにはどうすればよいですか？

これらの議論はまだ継続中です。BIP-360の提案は関連テーマの深層的な議論を大きく促進しましたが、すべての問題に決着をつけるには程遠い状況です。

背景知識：量子コンピュータが現在の暗号学を破壊する可能性に関する理論的構想は、1994年に数学者ピーター・ショアがショアアルゴリズムを提唱した時点で既に存在しており、これはビットコインの登場よりもはるかに前である。したがって、ビットコインが将来の量子脅威に対して行う計画は、すでに30年以上前のこの理論的突破への対応である。

現在、量子の脅威は直近の課題ではありませんので、ユーザーが過度に心配する必要はありません。ただし、慎重な対策を取ることは有益です：

• 坚持地址不重复使用原则。
• 常に最新バージョンのウォレットソフトウェアをご使用ください。
• ビットコインプロトコルのアップグレードに関する動向をご注目ください。
• P2MRアドレスタイプのサポート開始時期にご注意ください。
• 大量のビットコインを保有するユーザーは、自らのリスク曝露を静かに評価し、相应的なコンティンジェンシープランを検討することをお勧めします。

BIP-360は、プロトコルレベルでビットコインの量子リスク暴露を削減するための最初の具体的なステップを示しています。これは、新しい出力の作成方法を再定義し、公開鍵の意図しない漏洩を最小限に抑え、将来的な長期移行計画の基盤を築きます。

それは既存のビットコインを自動的にアップグレードせず、現在の署名システムを維持し、真の量子耐性を実現するには、エコシステム全体にわたる慎重で調整された継続的な取り組みが必要であるという事実を強調しています。これは単一のBIP提案によって一気に達成できるものではなく、長期的なエンジニアリング実践と段階的なコミュニティの採用に依存しています。