ハクソク

世界を動かす技術を、日本語で。

エイプリルフールではない量子コンピューティングの衝撃的な発表

54日前原文(scottaaronson.blog)

概要

  • 今週、量子コンピュータ(QC)に関する2つの画期的発表があったことを紹介
  • Caltechによる新しい耐障害性技術とGoogleによるShorのアルゴリズム低オーバーヘッド実装
  • 特にGoogleはゼロ知識証明で成果を公開し、前例のない方法を採用
  • これらの進展で暗号資産の安全性が従来より早く危機に晒される可能性
  • 量子耐性暗号への早急な移行の重要性を強調

量子コンピュータ最新「爆弾」発表

  • 今週、 Caltech および Google から量子コンピュータ分野で 2つの重要発表
  • Caltech(John Preskillら)は 高レート符号 を用いた 低オーバーヘッド耐障害性手法 を発表
    • 特に neutral-atomアーキテクチャtrapped ions のような非局所操作可能な環境で有効
  • Googleは Shorのアルゴリズム による 256ビット楕円曲線暗号の低オーバーヘッド実装 を公開
    • 詳細は ゼロ知識証明 でのみ公開し、攻撃者への情報漏洩を防止
  • ゼロ知識証明で新数学的成果を発表するのは 初の事例
    • 16世紀の数学者による「解法決闘」的な歴史的先例
  • 他グループが小さい回路の存在を知れば、すぐに同等の発見に至る可能性

量子コンピュータ進展の影響

  • 今回の成果は 量子計算の基本原理 を変えるものではないが、 必要なリソース数 を大幅に削減
  • 両発表を合わせると、例えば Bitcoin署名 などが従来より早く量子攻撃に晒される恐れ
  • Caltechの推定では 25,000個の物理キュービット で十分とされ、1年前の 数百万個 から大幅減少
    • これにより攻撃可能時期が 数年早まる可能性
  • これらの進展は 量子耐性暗号 への早期移行を促進する強い動機

公開方針と社会的議論

  • Googleの ゼロ知識証明による公開 は、 FrischとPeierls の原子核連鎖反応量計算非公開に例えられる
    • ただし、暗号・サイバーセキュリティ専門家からは「 公開が原則」との反論
      • 公開によって量子脆弱なシステム利用者に危機感を与える必要性
  • ジャーナリストからコメント依頼が殺到するも、筆者は多忙のためブログ記事で対応
  • ブログのコメントポリシーは 2024年7月から変更
    • すべてのコメントは筆者への個人的メッセージとして扱い、 選別・編集後のみ公開
    • 不満がある場合は他のインターネット媒体で発信可能

まとめと呼びかけ

  • 量子計算進展により 暗号資産の安全性 が従来より早く脅かされる現実
  • 量子耐性暗号への移行 を今すぐ検討・実施すべき状況
  • 今後も質問や追加情報はコメント欄で受け付ける方針

Hackerたちの意見

関連: Googleに関する議論、量子脆弱性を責任を持って開示して暗号通貨を守る https://news.ycombinator.com/item?id=47582418

D-Waveの株が何か価値のあるものになることを願ってるよ。量子コンピューティングはめっちゃクールそうだけど、実際に役立つものが生まれるかはちょっと懐疑的なんだ。間違ってたらいいなと思ってるし、面白そうだし、いくつか本も読んだりシミュレーターで遊んだりしたから、完全に無知ってわけじゃないけど、量子全体がちょっとバポウェアみたいに感じてるんだよね。まあ、D-Waveの株持ってるから、量子が思った通りにクールになってくれるのが一番いいんだけど。

今日、IBMクラウドから量子コンピューティングの時間をレンタルできるよ: https://www.ibm.com/quantum/products https://quantum.cloud.ibm.com/docs/en/guides/plans-overview 使ったことはないけど、アイデア自体は面白いね。

私も持ってるよ。量子コンピューティングの原理は完全に理にかなってる。問題は、厄介なエンジニアリングの障害だね。今後、あるいは近い将来、どこかの会社が実用的な規模で成功させると思う。それは巨大な影響を持つだろうけど、量子コンピュータを効果的に活用するには時間がかかると思う。残念ながら、GoogleやIBMもこの分野で取り組んでいて、資金力があるからね。彼らが成功するかもしれないし、成功しなくても、成功する会社を買収することを決めるかもしれない。これらの株(IONQ、RGTI、QBTS、XNDU)は、次の5年から20年の間に番号が呼ばれるような、考える人のロトチケットみたいなものだと思う(おそらく20年に近い)。何が起こるか見るために、手頃な量で持っておく価値はあると思う。大きく当たるかもしれないし、いろんな理由で消えてしまうかもしれない。途中で、ちょっとしたハイプによる市場の甘い急上昇もあって、そこが modest profit を得るチャンスになるだろうね。今年の初めにIONQ、RGTI、QBTSで既に起こったことだし、パタゴニアベストを着た人たちが何かにワクワクするときには、また起こるだろうね。

D-Waveは、私が知る限りでは、これらのブレークスルーが適用されるタイプの量子コンピュータを作っていないと思う。たとえスケールアップしてもね。

量子コンピュータって、基本的な計算すらできるのかな?これが問題だったと思うんだけど、もしかしたらポイントを見逃してるかも。

基本的な計算はできないよ…ただ難しいやつだけ :)

これが足かせだったと思う。そうじゃないけど…

いい質問だね。今のところ答えは「いいえ」だよ。量子コンピュータは、今は非常に短くてシンプルなアルゴリズムしか動かせない。なぜなら、作られているキュービットがノイズだらけだから。エラー訂正がたくさん必要で、コミュニティはそれに取り組んでいるんだ。普通のコンピュータとは違って、量子コンピュータは数を掛け算するのと同じくらい簡単に因数分解できるんだよ。だから、大きな整数を掛け算できるようになったら、その結果を因数分解してRSA暗号を壊すこともできるようになる。この記事は、最先端の状態と進展の見通しをよく示しているよ。「量子コンピュータはなぜ21を因数分解できないのか?」 https://algassert.com/post/2500

ここでの「基本的な数学」って、算数とかその辺のことだと思う。解決策はあるけど、今の機械はノイズが多いんだよね。V. Vedral、A. Barenco、A. Ekertの論文「量子ネットワークによる基本的な算術演算」、Physical Review A 54, 147 (1996)。

これについて驚くべきことの一つは、ビットコインコミュニティが何年もかけて、量子コンピュータが完全に壊れる以外の何かになると主張しようとしたことだね。確かに、適切な特性を持つウォレットなら、ペイ・トゥ・スクリプト・ハッシュを壊すには、かなり良い量子コンピュータか、良いアルゴリズム、またはマイナーの悪意が必要だけど、それは全体の仕組みが量子コンピュータによって完全に壊れているという事実に対するかなり弱い言い訳だと思う。P2SHウォレットを「救う」ために使える信頼できるポスト量子証明プロトコルなんて存在するのかな?

暗号的に関連する量子コンピュータが存在した後にP2SHウォレットを救うための最良の提案は、脆弱なウォレットが取引を1日前に事前コミットすることを要求することだと思う。事前コミットメントは公開鍵を明らかにしない。実際の取引の一部として公開鍵を公開する必要があるとき、攻撃者は少なくとも1日間は取引をリダイレクトできない。なぜなら、まだ指摘できる有効な事前コミットメントを持っていないから。

明るい点としては、量子コンピュータが実際に登場する時期がはっきり分かる指標ができるってことだね。

ビットコインが破られたら、あなたの銀行の暗号化やその他すべても破られることになるよ。私が知る限り、量子コンピュータはまだ7x3=21を正直に因数分解できないから、大丈夫だよ。それに、5x3=15もどうだったか微妙だしね。 https://news.ycombinator.com/item?id=45082587 ビットコインは256ビットの暗号化を使っているから、5x3=15とは全然違う世界だよ。

ビットコインコミュニティは、量子コンピュータが完全に破壊的なものになる以外の何かだと主張しようとしてきた。具体的に誰がそう主張しているの? サトシは2010年にbitcointalkで、量子コンピュータが実現可能ならアップグレードが必要だって言ってたよ。

俺がクレイジーだと思うかもしれないけど、ビットコインが壊れたら、もっと安全な分散型台帳よりも中央集権型の台帳に移行する可能性が高いと思う。ビットコインに投資してる人たちは、元々のミッションなんて気にしてないし、ただ資産の価格だけが気になるんだよね。

ここでの問題は「will」って言葉だね。だって、彼らは存在しないから。

私は超伝導量子コンピュータチップを作っている会社で働いていたんだけど(だから、この記事の「爆弾発言」とはあまり関係ないかも)。私のチームは、量子コンピュータを制御して、量子ジョブやアルゴリズムを実行し、パラメータをキャリブレーションするためのソフトウェアスタックを設計していたんだ。私たちがやっている仕事と、業界の現状を説明するために2回試みたよ:1. PyConでのトーク: https://youtu.be/tT1YLP5T71Y 2. 無料の電子書籍「ソフトウェアエンジニアのための量子コンピューティング」 https://leanpub.com/quantum-computing-for-software-engineers 数ヶ月前に辞めた会社は、今年IPOを計画している。ほとんどの量子企業と同じように、純粋なIPOではなくSPAC合併になる予定だよ。他のコメントで言及されている上場企業もほとんどがSPACだね。

もし彼らが上場するなら、すでに何らかの量子コンピューターチップを販売してるんじゃないかな。でも、実際に誰が買うんだろう?昨日、新しい論文が出て、ショアのアルゴリズムが1万キュービット(数百万ではなく)で現実的な暗号を破れる可能性があることを示してたけど、俺の知る限り、量子ハードウェアはその目標にもまだほど遠い。実際に市場はどれくらい大きくなり得るのか?大学や他の量子コンピュータ企業に実際のハードウェアで遊んでもらうために出荷するのはいいけど、結局誰かが損をすることになる。チェーンの最後には利益なんてゼロだよ。[1] https://arxiv.org/html/2603.28627v1

P2SHのプレコミットメントアプローチは賢いけど、24時間の遅延の懸念は本物だね。ライトニングチャネルが決済をバッチ処理するのと同じように、遅延を分散させるために救出作業をバッチ処理できるか気になるな。

これを文脈で考えると、ショアのアルゴリズムに関する改善が続いていて、未来がかなり近づいてきてるんだ。2022年には、マイクロソフトの人たちが因数分解を実装するのに1,000万個以上の物理キュービットが必要だと見積もってたけど、今は1,000倍の改善が達成されてる。確かにまだ数年はかかるけど、こんな進展があって不満を持つ人なんていないでしょ? msの論文: https://arxiv.org/abs/2211.07629

つまり、実現不可能なことが少しだけ実現可能になったって主張してるけど、今のところまだ不可能ってことだね。いいね。

要するに、これは可能だという証拠があって、継続的なエンジニアリングの進展が見られてるってこと。これをしばらく追ってきたけど、今の段階で量子コンピューティングが「まだ不可能」って言うのは、GTA VIがまだ不可能だって言ってるのと同じように思える。

AIの予測不可能性による混乱だけじゃなく、量子コンピュータの予測不可能性による混乱もあって、ちょっと心地いい感じ。

注意してほしいのは、エラー訂正の論文での主要なメカニズムは「選択的量子観測」だってこと。つまり、利用可能なリソースを全部使う必要はなくて、選択的にエラーを訂正すればいいってこと。最近、量子カオスでも似たようなアイデアが探求されていて、システムはまだカオスだけど、補助システムで局所化が観測できるんだ。https://arxiv.org/abs/2512.22169v3

関連する現象は量子ゼノ効果だね。https://en.wikipedia.org/wiki/Quantum_Zeno_effect ゼノ効果は、選択的な状態というよりも、選択的な観察によって現れるんだ。