ビットコインのドラフトBIP 360は、量子耐性に向けた推進の中でP2MRを導入

ビットコインの開発者は、長期的な量子リスクを低減しつつTaprootのスクリプトの柔軟性を維持することを目的とした提案型出力タイプ「Pay-to-Merkle-Root（P2MR）」を導入するために、ドラフトのBIP 360を更新しました。この提案は、Taprootのキーパスによる支出を完全に排除し、現代のビットコインアドレスの中で将来の量子攻撃に最もさらされやすい部分に焦点を当てています。

P2MRは量子耐性ビットコインへの保守的な第一歩となり得る

ビットコイン改善提案（BIP）360は、まだ審査中で未だ有効化されていませんが、P2MRを、公開鍵を含まずTapscriptツリーのメルクリルートに直接コミットすることで、Pay-to-Taproot（P2TR）の量子耐性の代替案として提案しています。実際には、スクリプトパスのみを使用するTaproot出力のように動作します。

この違いは重要です。なぜなら、Taprootのキーパス支出は公開鍵を露出させるためです。現在の暗号技術では、公開鍵から秘密鍵を導き出すことは計算上不可能とされています。しかし、十分に強力な量子コンピュータがShorのアルゴリズムを実行すれば、楕円曲線暗号を逆算できる可能性があります。P2MRは、その露出した公開鍵を単純に排除することで、このリスクを回避します。

重要なのは、P2MRは新しい署名方式やオペコードを導入しません。完全なTapscript（BIP 342）機能とメルクリル化された抽象構文木（MAST）スタイルのスクリプトツリー（リーフバージョン、コントロールブロック、付属データを含む）を保持しつつ、内部公開鍵を省略します。ウォレットは既存のTaprootコードの多くを再利用可能です。

出力は引き続き32バイトのハッシュで、「TapBranch」とタグ付けされ、P2WSHと同等の128ビットの衝突耐性を提供します。開発者はこれを、暗号学的な大規模改修ではなく、量子耐性への保守的な第一歩と位置付けています。

この提案はすでに複数回の書き換えと名称変更を経ています。最初は2024年に「P2QRH（Pay to Quantum Resistant Hash）」として草案され、2025年末には「P2TSH（Pay-to-Tapscript-Hash）」に変更され、その後コミュニティのフィードバックを受けて、出力が何にコミットしているかをより正確に反映するために「P2MR（Pay-to-Merkle-Root）」に落ち着きました。

現時点では、BIP 360はドラフトのプルリクエストの状態であり、マージや有効化は予定されていません。ビットコイン開発者のメーリングリストやコミュニティフォーラムで議論が続いています。

なぜ量子コンピュータの懸念が存在するのか

ビットコインの主要な量子脆弱性は署名方式にあります。公開鍵をオンチェーンに露出させるアドレスは最も脆弱であり、Shorのアルゴリズムを用いれば、理論上、公開鍵から秘密鍵を導き出すことが可能です。

従来のPay-to-Public-Key（P2PK）アドレスは公開鍵をロックスクリプトに直接埋め込み、約170万BTCを保持しているため、長距離攻撃のターゲットになりやすいです。再利用されたPay-to-Public-Key-Hash（P2PKH）アドレスも、支出時に公開鍵が明らかになると脆弱になります。Taprootのキーパス支出もまた、改変された公開鍵を露出させます。

リスクにさらされているビットコインの推定量はさまざまです。ある分析では、供給の20%から50%が特定の定義の下で露出する可能性があるとされる一方、他の見解では、市場に大きな混乱をもたらすほどの割合はごくわずかだとしています。暗号学的に重要な量子コンピュータの実現には数年から数十年かかると予測されていますが、不確実性が議論を呼んでいます。

P2MRは、メモリプールのウィンドウ内での短期的な露出リスクを解決しませんし、ポスト量子署名も導入しません。代わりに、開発者が「長期露出」リスクと呼ぶ、長年にわたり公開された鍵を持つコインの脅威に対処します。

実質的には、P2MRは、特に長期保有者やLightning、BitVM、Arkスタイルのプロトコルに参加するユーザーが、最も明白な楕円曲線暗号の露出を排除しつつ、Taprootのスクリプトの利点を維持できるように資金を移行させることを可能にします。これは進化的なものであり、革命的なものではありません。

段階的なソフトフォークを好むネットワークにとって、その意図は意図的です。量子コンピュータの警告は遠い未来の話かもしれませんが、BIP 360は、開発者たちが少なくとも出口を確認し、冷静に、体系的に、暗号学的な準備を整えていることを示しています。

よくある質問 ❓

• ビットコインのBIP 360におけるP2MRとは何ですか？

P2MR（Pay-to-Merkle-Root）は、Taprootのキーパス支出を排除しつつ、完全なTapscript機能を保持する提案型出力タイプです。

• なぜ一部のビットコインアドレスは量子攻撃に脆弱なのですか？

公開鍵をオンチェーンに露出させるアドレスは、Shorのアルゴリズムを用いて秘密鍵を導き出せる可能性があるため、脆弱です。

• BIP 360はポスト量子署名を導入しますか？

いいえ、これは新しい署名方式やオペコードを追加しない保守的な措置です。

• 現在、ビットコインのBIP 360は有効ですか？

いいえ、まだドラフトのプルリクエストの段階であり、正式な有効化の予定はありません。