a16z 深度長文：量子コンピューティングがブロックチェーンに与える脅威を正しく理解する方法

?原文：《量子コンピューティングとブロックチェーン：緊急性を実際の脅威に合わせる》

編訳：Ken, Chaincatcher

暗号学に関連する量子コンピュータのタイムラインはしばしば誇張されており、これが人々にポスト量子暗号学への緊急かつ全面的な移行を呼びかける原因となっています。

しかし、これらの呼びかけはしばしば早急な移行のコストとリスクを無視し、異なる暗号学的原理間の全く異なるリスク特性を無視しています：

• ポスト量子暗号は高価ですが、即座に展開する必要があります：「先に収集し、後で復号する」(HNDL)攻撃が始まっています。量子コンピュータが登場するまでには数十年かかるとしても、今日暗号化された機密データは将来にわたって価値があります。ポスト量子暗号の性能オーバーヘッドと実装リスクは確かに存在しますが、長期的な機密性が必要なデータにとって、HNDL攻撃に直面しては選択肢がありません。

• ポスト量子署名には異なる考慮が必要です。HNDL攻撃にはあまり影響されませんが、そのコストとリスク（サイズの増大、性能オーバーヘッド、未成熟な実装と脆弱性）は、即座の移行ではなく、慎重な戦略を取る必要があることを要求します。

これらの違いは非常に重要です。誤解はコスト対効果分析を歪め、チームがより顕著なセキュリティリスクを無視する原因となります。

ポスト量子暗号学の真の課題は、緊急性を実際の脅威に合わせることです。以下では、量子の脅威が暗号学（暗号化、署名、ゼロ知識証明を含む）に与える影響についての一般的な誤解を明らかにし、特にこれらの脅威がブロックチェーンに与える影響に焦点を当てます。

時間の進展

著名な人物が2020年代に暗号学的に意味のある量子コンピュータが登場する可能性があると主張していますが、その主張は非常に非現実的です。

私が言う「暗号学的に意味のある量子コンピュータ」とは、耐障害性と誤り訂正機能を持つ量子コンピュータであり、合理的な時間内にショアのアルゴリズムを実行して楕円曲線暗号やRSAを攻撃できる規模のものを指します（例えば、最大で1ヶ月の継続計算でsecp256k1やRSA-2048を解読できるもの）。

公開されたマイルストーンやリソースの合理的な解釈に基づくと、暗号学的に意味のある量子コンピュータを製造するにはまだ遠い道のりです。一部の企業はCRQCが2030年または2035年以前に登場する可能性が高いと主張していますが、公開された進展はこれらの主張を支持していません。

背景として、すべての既存のアーキテクチャ（捕獲イオン、超伝導量子ビット、中性原子システム）において、現在のところRSA-2048またはsecp256k1上でショアのアルゴリズムを実行するために必要な数十万から数百万の物理量子ビットに近づいている量子計算プラットフォームはありません（具体的には、誤り率と誤り訂正スキームに依存します）。

制約要因は量子ビットの数だけでなく、ゲートの忠実度、量子ビットの接続性、深い量子アルゴリズムを実行するために必要な持続的な誤り訂正回路の深さも含まれます。現在、物理量子ビットの数が1,000を超えるシステムもありますが、原始的な量子ビットの数だけを見るのは誤解を招きます：これらのシステムは、暗号学的計算に必要な量子ビットの接続性とゲートの忠実度を欠いています。

最近のシステムは量子誤り訂正が機能し始める物理的誤差率に近づいていますが、論理量子ビットの深い誤り訂正回路を維持できるものは数えるほどしか示されていません……ましてやショアのアルゴリズムを実行するために実際に必要な数千の高忠実度の深い回路を持つ耐障害性の論理量子ビットを持つものはありません。量子誤り訂正原理の実現可能性と、暗号解析に必要な規模の間には依然として大きな隔たりがあります。

要するに：量子ビットの数と忠実度が数桁増加しない限り、暗号学的に意味のある量子コンピュータは依然として手の届かない存在です。

しかし、企業のプレスリリースやメディア報道は簡単に混乱を招くことがあります。一般的な誤解や混乱の原因には以下が含まれます：

• 一部のデモは「量子優位性」を持つと主張していますが、これは人為的に設計されたタスクに対するものです。これらのタスクが選ばれたのは、その実際の用途のためではなく、既存のハードウェアで実行できるからであり、表面的に大きな量子加速効果を示すことができるからです——この事実は発表の中でしばしば隠されています。

• 一部の企業は数千の物理量子ビットを持っていると主張しています。しかし、これは通常、ショアのアルゴリズムを攻撃するために必要なゲートモデルマシンではなく、量子アニーリングマシンを指します。

• 一部の企業は「論理量子ビット」という用語を誤用しています。物理量子ビットはノイズを含んでいます。前述のように、量子アルゴリズム（ショアのアルゴリズムなど）は数千の論理量子ビットを必要とします。量子誤り訂正技術を利用することで、多くの物理量子ビット（通常は数百から数千、誤り率に依存）を使用して1つの論理量子ビットを実現できます。しかし、一部の企業はこの用語を識別不可能なほどに拡張しています。例えば、最近の発表では、距離2のコードを使用して48の論理量子ビットを実現したとされていますが、各論理量子ビットは2つの物理量子ビットしか持っていません。これは全く馬鹿げています：距離2のコードはエラーを検出することしかできず、エラーを訂正することはできません。実際の暗号解析に使用される耐障害性の論理量子ビットは数百から数千の物理量子ビットを必要とし、2つではありません。

より広く言えば、多くの量子計算のロードマップは「論理量子ビット」という用語を、クリフォード演算のみをサポートする量子ビットを指すために使用しています。これらの操作は古典的なコンピュータによって効率的にシミュレートできるため、ショアのアルゴリズムを実行するには不十分であり、数千の誤り訂正されたTゲート（またはより一般的な非クリフォードゲート）が必要です。

あるロードマップの目標が「ある年までに数千の論理量子ビットを実現する」とされていても、その企業が同じ年にショアのアルゴリズムを実行して古典的な暗号を破ることを期待しているわけではありません。

これらの行為は「暗号学的に意味のある量子コンピュータまでどれくらいの距離があるか」という認識を大きく歪めており、経験豊富な観察者でさえ影響を受けています。

とはいえ、一部の専門家は進展に興奮しています。例えば、スコット・アーロンソンは最近、「現在の驚くべきハードウェアの発展速度を考えると、次のアメリカ大統領選挙の前に、ショアのアルゴリズムを実行できる耐障害性の量子コンピュータを持つことが可能だと考えています」と書いています。

しかし、アーロンソンは後に、彼の声明は暗号学的に意味のある量子コンピュータを指しているわけではないと明らかにしました：完全に耐障害性のショアのアルゴリズムが15 = 3×5を分解するのは、鉛筆と紙で行うよりも遅いと彼は考えています。現在の基準は、ショアのアルゴリズムの小規模な実行であり、暗号学的に意味のある実行ではありません。なぜなら、以前に量子コンピュータで15を分解したときには簡略化された回路が使用されており、完全で耐障害性のショアのアルゴリズムではなかったからです。これらの実験が常に15を分解対象として選んできたのには理由があります：15のモジュロ演算は計算上非常に簡単であり、少し大きな数字（例えば21）を分解するのははるかに難しいのです。したがって、21を分解できると主張する量子実験は通常、追加のヒントやショートカットに依存しています。

要するに、今後5年以内にRSA-2048やsecp256k1を破ることができる暗号学的に意味のある量子コンピュータが登場することを期待するのは支持されていません。

10年後でさえ不確実性に満ちています。暗号学的に意味のある量子コンピュータまでの距離を考えると、進展への興奮と「10年以上」というタイムラインは完全に互換性があります。

では、アメリカ政府が2035年を政府システムが全面的にポスト量子時代に移行する最終期限として定めたのはどういうことでしょうか？私は、これがそのような大規模な移行を完了するための合理的なタイムラインであると考えています。しかし、これはその時点で暗号学的に意味のある量子コンピュータが登場することを予測しているわけではありません。

HNDL攻撃の適用および不適用状況

「先に収集し、後で復号する」（HNDL）攻撃は、敵がまず暗号化されたトラフィックを保存し、その後、暗号学的に関連する量子コンピュータが存在するようになったときに復号することを指します。国家レベルの敵対勢力は、アメリカ政府からの暗号化通信を大規模にアーカイブしているに違いありません。これは、数年後にCRQCが登場したときにこれらの通信を復号するためです。

これが、暗号技術が今日必要な理由です——少なくとも10年から50年以上の機密性が必要な人々にとっては。

しかし、すべてのブロックチェーンが依存しているデジタル署名は暗号技術とは異なります：それには追跡可能な攻撃の機密性の問題は存在しません。

言い換えれば、暗号学的に関連する量子コンピュータが登場した場合、その時点から署名の偽造が可能になりますが、過去の署名は暗号化された情報のように「秘密」を「隠す」ことはありません。デジタル署名がCRQCの登場前に生成されたものである限り、それは偽造されることはありません。

これにより、ポスト量子デジタル署名への移行は、暗号化分野のポスト量子移行ほど緊急ではありません。

主要なプラットフォームは対応策を講じています：ChromeとCloudflareは、Webトランスポート層セキュリティプロトコルの暗号化のために混合X25519 + ML-KEM暗号スキームを導入しました。（読みやすさのために、この記事では「暗号スキーム」という用語を使用していますが、厳密にはTLSのようなセキュア通信プロトコルは公開鍵暗号ではなく、鍵交換または鍵封装メカニズムを使用しています。）

ここでの「混合」とは、ポスト量子安全スキーム（すなわちML-KEM）と既存のスキーム（X25519）を重ねて使用し、包括的なセキュリティを確保することを指します。これにより、ML-KEMがHNDL攻撃を阻止できることが期待され、万が一ML-KEMが今日のコンピュータに対しても安全性の脆弱性を持っていた場合でも、X25519が提供する古典的な安全性を維持できます。

AppleのiMessageもPQ3プロトコルを通じてこの混合ポスト量子暗号技術を導入しており、SignalのPQXDHおよびSPQRプロトコルも同様です。

対照的に、ポスト量子デジタル署名の重要なネットワークインフラへの普及は、真に暗号学的に意味のある量子コンピュータが登場するまで遅れています。現在のポスト量子署名スキームは性能の低下を引き起こすためです（この点については後述します）。

zkSNARKs（ゼロ知識簡潔非対話型証明）は、ブロックチェーンの長期的なスケーラビリティとプライバシーの鍵であり、その状況は署名と似ています。これは、ポスト量子安全でないzkSNARKs（それらは楕円曲線暗号を使用しており、今日のポスト量子暗号や署名スキームと同様です）であっても、そのゼロ知識属性はポスト量子安全です。

ゼロ知識属性は、証明プロセス中に秘密の証拠に関する情報が漏洩しないことを保証します——量子の敵でさえも知ることはありません——したがって、後で復号するために「収集」される機密情報は存在しません。

したがって、zkSNARKsは「先に収集し、後で復号する」攻撃の影響を受けません。今日生成されたポスト量子でない署名が安全であるのと同様に、暗号学的に意味のある量子コンピュータが登場する前に生成されたzkSNARK証明は信頼できます（すなわち、証明された命題は絶対に真です）——たとえzkSNARKが楕円曲線暗号を使用していたとしても。暗号学的に意味のある量子コンピュータが登場した後でなければ、攻撃者は信頼できる虚偽の主張の証明を見つけることはできません。

これはブロックチェーンに何を意味するのか

ほとんどのブロックチェーンはHNDL攻撃の影響を受けません：

現在のほとんどの非プライバシーチェーン（ビットコインやイーサリアムなど）は、主にポスト量子でない暗号を使用して取引を承認しています——つまり、暗号化ではなくデジタル署名を使用しています。

再度強調しますが、これらの署名はHNDLリスクの影響を受けません：「先に収集し、後で復号する」攻撃は暗号化データに適用されます。例えば、ビットコインブロックチェーンは公開されており、その量子の脅威は署名の偽造（秘密鍵を導出して資金を盗むこと）にあり、公開された取引データを復号することではありません。これにより、HNDL攻撃による直接的な暗号学的緊急性が排除されます。

残念ながら、連邦準備制度などの信頼できる情報源からの分析でも問題があり、ビットコインがHNDL攻撃に脆弱であると誤って主張しており、この誤りはポスト量子暗号学への移行の緊急性を誇張しています。

とはいえ、緊急性が低下してもビットコインが待つことができるわけではありません：それは、プロトコルの変更に必要な大規模な社会的調整がもたらす異なる時間的プレッシャーに直面しているからです。（以下では、ビットコインの独自の課題について詳しく説明します。）

現在の例外はプライバシーチェーンであり、その多くは受取人や金額を暗号化または他の方法で隠しています。この機密性は現在収集される可能性があり、量子コンピュータが楕円曲線暗号を破ることができるようになると、遡及的に匿名化される可能性があります。

このようなプライバシーチェーンに対する攻撃の深刻度は、ブロックチェーンの設計によって異なります。例えば、モネロが採用している曲線ベースのリング署名とキーイメージ（重複支払いを防ぐための各出力のリンクラベル）に対しては、公共台帳だけで支出のマッピングを再構築するのに十分です。しかし、他のブロックチェーンでは損失はより限定的です——詳細についてはZcashの暗号エンジニア兼研究者であるショーン・ボウの議論を参照してください。

ユーザーが自分の取引が暗号学的に意味のある量子コンピュータに漏洩することを非常に気にする場合、プライバシーチェーンはできるだけ早くポスト量子原理（または混合スキーム）に移行すべきです。あるいは、解読可能な秘密情報をチェーン上に置かないアーキテクチャを採用すべきです。

ビットコイン特有の難題：ガバナンス + 放棄されたトークン

特にビットコインに関しては、ポスト量子デジタル署名への移行を急ぐ必要がある現実的な要因が2つあります。これらの要因は量子技術とは無関係です。

一つは、ガバナンスの速度に関する懸念です：ビットコインの変革の速度は非常に遅いです。いかなる論争のある問題も破壊的なハードフォークを引き起こす可能性があり、コミュニティは適切な解決策に合意できません。

もう一つの懸念は、ビットコインのポスト量子署名への移行が受動的な移行ではないということです：保有者は自分のトークンを積極的に移行する必要があります。これは、放棄された量子攻撃に脆弱なトークンが保護されないことを意味します。一部の推定によれば、量子の脆弱性を持ち、放棄される可能性のあるBTCの数は数百万に達し、現在の価格（2025年12月時点）で数千億ドルの価値があります。

しかし、量子技術がビットコインに対してもたらす脅威は突発的な災害ではなく、むしろ選択的かつ段階的なプロセスのようなものです。量子コンピュータはすべての暗号を同時に破ることはできません——ショアのアルゴリズムは個々の公開鍵を一つずつ攻撃する必要があります。初期の量子攻撃はコストが非常に高く、時間がかかります。したがって、量子コンピュータが単一のビットコイン署名鍵を破ることができるようになると、攻撃者は高価値のウォレットを選択的に攻撃することになります。

さらに、アドレスの再利用を避け、Taprootアドレス（Taprootは公鍵をチェーン上に直接露出させる）を使用しないユーザーは、プロトコルが変更されていなくても基本的に保護されています：彼らの公鍵は、トークンが消費されるまでハッシュ関数の後ろに隠れています。彼らが最終的に支出取引を放送すると、公鍵が露出し、その時点でリアルタイムの競争が発生します：一方は取引を確認する必要がある誠実な支出者、もう一方は量子計算能力を持つ攻撃者であり、彼らは秘密鍵を見つけて本当の所有者の取引が完了する前にこれらのトークンを消費しようとします。したがって、実際に脆弱なトークンは、公鍵がすでに露出しているものです：初期のP2PK出力、再利用されたアドレス、Taprootの保有です。

放棄された脆弱なトークンに対しては簡単な解決策はありません。いくつかの実行可能な提案には以下が含まれます：

• ビットコインコミュニティが「フラッグデイ」を設定し、その後、移行されていないすべてのトークンを破棄されたものと見なすことに合意する。

• 放棄された量子攻撃に脆弱なトークンが、暗号学的に関連する量子コンピュータを持つ誰かによって奪われることを許可する。

第二の選択肢は深刻な法的およびセキュリティの問題を引き起こします。合法的な所有権を主張したり善意であったりしても、量子コンピュータを使用して秘密鍵なしにトークンを取得することは、多くの法域で盗難やコンピュータ詐欺法に基づく深刻な問題を引き起こす可能性があります。

さらに、「放棄された」ということ自体が非活動状態に基づく推定です。しかし実際には、誰もこれらのトークンにアクセスできる鍵を持つ生存者がいるかどうかはわかりません。これらのトークンを以前に所有していたことを示す証拠があっても、暗号保護を解除してそれらを取り戻すための十分な法的根拠を提供できるとは限りません。この法的な曖昧さは、放棄された量子攻撃に脆弱なトークンが悪意のある行為者の手に渡る可能性を高めます。これらの悪意のある行為者は、法的な制約を無視することが多いです。

ビットコイン特有の最後の問題は、その低い取引スループットです。たとえ移行計画が最終的に決定されても、量子攻撃に脆弱な資金をポスト量子安全なアドレスに移行するには、ビットコインの現在の取引速度で数ヶ月かかるでしょう。

これらの課題により、ビットコインは現在、ポスト量子時代への移行を計画し始める必要があります——これは2030年以前に暗号学的に意味のある量子コンピュータが登場する可能性があるからではなく、数十億ドルの価値のトークンを移行する際に関わるガバナンス、調整、技術的な物流の問題を解決するのに数年かかるからです。

ビットコインが直面する量子の脅威は確かに存在しますが、時間的なプレッシャーは迫り来る量子コンピュータからではなく、ビットコイン自身の限界から来ています。他のブロックチェーンも量子攻撃に脆弱な資金の課題に直面していますが、ビットコインの特異性は、初期の取引が「公開鍵に支払う（P2PK）」出力を使用しているため、相当な割合のBTCが暗号学的に関連する量子コンピュータの攻撃に非常に脆弱であることです。この技術的な違い——さらにビットコインの運用年数、価値の集中度、低いスループット、ガバナンスメカニズムの硬直性——がこの問題を特に深刻にしています。

私が上で説明した脆弱性は、ビットコインのデジタル署名の暗号学的安全性を指しており、ビットコインブロックチェーンの経済的安全性を指しているわけではありません。この経済的安全性は、作業証明コンセンサスメカニズムに由来し、量子コンピュータの攻撃を受けにくい理由は3つあります：

1. PoWはハッシュアルゴリズムに依存しているため、グローバーの検索アルゴリズムの二次的な量子加速の影響を受けるだけで、ショアのアルゴリズムの指数的な加速の影響を受けません。

2. グローバーの検索を実現するための実際のコストは、量子コンピュータがビットコインの作業証明メカニズムでさえも適度な実際の加速を実現することを非常に困難にします。

3. たとえ顕著な速度向上が実現されても、これらの速度向上は大規模な量子マイナーに小規模なマイナーよりも優位性を与えるだけで、ビットコインの経済的安全モデルを根本的に破壊することはありません。

ポスト量子署名のコストとリスク

ブロックチェーンがポスト量子署名を急いで展開すべきでない理由を理解するためには、性能コストとポスト量子安全性に対する信頼（この信頼はまだ発展途上です）を理解する必要があります。

ほとんどのポスト量子暗号は以下の5つの方法のいずれかに基づいています：

• ハッシュ (hashing)

• コード (codes)

• 格子 (lattices)

• 多変数二次方程式系 (MQ)

• 同源性 (isogenies)

なぜ5つの異なる方法があるのでしょうか？ いかなるポスト量子暗号原理の安全性も、量子コンピュータが特定の数学的問題を効率的に解決できないという仮定に基づいています。問題の「構造化」程度が高いほど、私たちがそれに基づいて構築する暗号プロトコルはより効率的になります。

しかし、これは利点と欠点があります：追加の構造は攻撃アルゴリズムに対してもより多くの攻撃面を提供します。これにより、根本的な緊張が生じます——より強力な仮定はより良い性能をもたらしますが、その代償として潜在的なセキュリティの脆弱性（つまり、仮定が誤りである可能性が高くなる）があります。

一般的に、ハッシュに基づく方法は安全性の面で最も保守的です。なぜなら、私たちは量子コンピュータがこれらのプロトコルを効果的に攻撃できないと最も自信を持っているからです。しかし、それらの性能は最も劣ります。例えば、最小のパラメータ設定でも、NIST標準化されたハッシュベースの署名サイズは7-8 KBです。それに対して、現在の楕円曲線に基づくデジタル署名はわずか64バイトです。これは約100倍のサイズの差です。

格子ベースのスキームは、現在の展開の焦点です。現在唯一の暗号スキームであり、NISTが選定した3つの署名アルゴリズムのうちの2つが格子に基づいています。ある格子スキーム（ML-DSA、旧名Dilithium）が生成する署名サイズは、128ビットの安全レベルで2.4 KBから256ビットの安全レベルで4.6 KBの範囲であり、現在の楕円曲線に基づく署名よりも約40〜70倍大きいです。別の格子スキームであるFalconは、より小さな署名（Falcon-512は666バイト、Falcon-1024は1.3 KB）を持っていますが、複雑な浮動小数点演算を含んでおり、NIST自身も特別な実装上の課題としてマークしています。Falconの作成者の一人であるトーマス・ポルニンは、これを「私がこれまでに実装した中で最も複雑な暗号アルゴリズム」と呼んでいます。

格子ベースの署名スキームにおける実装の安全性は、楕円曲線ベースのスキームよりも挑戦的です：ML-DSAにはより多くの敏感な中間値があり、非自明な拒否サンプリングロジックにはサイドチャネルと障害保護が必要です。Falconは定常時間の浮動小数点演算に関する懸念を増加させます；実際、Falconの実装に対して複数のサイドチャネル攻撃が行われ、秘密鍵が復元されています。

これらの問題は直接的なリスクを構成し、暗号学的に意味のある量子コンピュータというより遠い脅威とは全く異なります。

性能が優れたポスト量子暗号スキームを展開する際には、慎重に行動することが完全に合理的です。歴史的に、Rainbow（MQベースの署名スキーム）やSIKE/SIDH（同源に基づく暗号スキーム）などの主要な候補は、古典的なコンピュータ上で破られました——つまり、量子コンピュータではなく、今日のコンピュータで破られたのです。

これはNISTの標準化プロセスの後期段階で発生しました。これは科学が健全に機能していることを示していますが、早急な標準化と展開が逆効果をもたらす可能性があることも示しています。

前述のように、インターネットインフラは署名の移行を慎重に進めています。インターネットの暗号化の移行が始まると長い時間がかかることを考えると、これは特に注目に値します。MD5やSHA-1ハッシュ関数（これらは数年前に技術的に廃止されました）の移行は、実際には数年かかり、全体のインフラストラクチャで実施され、特定の文脈では現在も進行中です。これらのスキームが完全に破られた場合でも、単に将来の技術の影響を受けやすいというだけではなく、この状況が発生しました。

ブロックチェーンとインターネットインフラの比較における独自の課題

幸いなことに、オープンソースの開発者コミュニティによって積極的に維持されているブロックチェーン（例えば、イーサリアムやソラナ）は、従来のネットワークインフラよりもアップグレードの速度が速いです。一方、従来のネットワークインフラは頻繁な鍵のローテーションの恩恵を受けており、これにより攻撃面が早く移動するため、初期の量子コンピュータが狙える速度よりも速く移動します——これはブロックチェーンにはない贅沢な条件です。なぜなら、トークンとそれに関連する鍵は無期限に露出する可能性があるからです。

しかし、全体として、ブロックチェーンは署名の移行に関してインターネットが取った慎重なアプローチに従うべきです。どちらのシナリオも署名に対するHNDL攻撃の影響を受けず、鍵の保存時間に関係なく、未成熟なポスト量子スキームへの早急な移行のコストとリスクは依然として非常に大きいです。

ブロックチェーン特有の課題は、早急な移行を特に危険で複雑にします：例えば、ブロックチェーンは署名スキームに対して独自の要求を持っており、特に大量の署名を迅速に集約する能力が求められます。現在、BLS署名が広く使用されているのは、非常に迅速な集約を実現できるからですが、ポスト量子安全特性は持っていません。研究者たちは、SNARKに基づくポスト量子署名の集約を探求しています。この作業は非常に有望ですが、まだ初期段階にあります。

SNARKに関しては、現在コミュニティは主にハッシュに基づく構造方法に焦点を当てており、ポスト量子時代の主流選択肢と見なしています。しかし、大きな変化が近づいています：私は、今後数ヶ月から数年の間に、格子に基づく選択肢が非常に魅力的な代替案になると信じています。これらの代替案は、ハッシュに基づくSNARKよりも多くの点で優れており、証明の長さを大幅に短縮することができます——格子に基づく署名がハッシュに基づく署名よりも短いのと同様です。

現在のより大きな課題：実装の安全性

今後数年内に、実装の脆弱性は暗号学的