BIP 360: マークルルートへの支払い(P2MR)
著者: ハンター・ビースト、イーサン・ハイルマン、イザベル・フォクセン・デューク ステータス: ドラフト タイプ: スタンダードトラック 作成日: 2024年12月17日
概要
BIP 360は、Taproot(P2TR)に存在する量子脆弱性のある鍵パス支払いメカニズムを除去することで量子耐性を提供する新しいSegWitバージョン2出力タイプ、Pay-to-Merkle-Root(P2MR)を提案している。以前のドラフトではP2QRH、P2TSHと呼ばれていたが、設計をより正確に反映するためP2MRに改名された。
量子の脅威
ビットコインのセキュリティは、secp256k1曲線上の楕円曲線デジタル署名アルゴリズム(ECDSA)とSchnorr署名に依存している。十分に強力な量子コンピュータがショアのアルゴリズムを実行すると:
- 公開鍵から秘密鍵を導出 — 離散対数問題を破る
- 署名を偽造 — 公開鍵が露出している誰のコインも使用可能に
公開鍵が露出するケース:
- 支払い後にアドレスを再利用した場合(歴史的に最も一般的)
- P2PK出力が使用されている場合(初期のビットコイントランザクション、サトシのコインを含む)
- Taproot(P2TR)出力は公開鍵をハッシュせず直接含んでおり、使用前から露出している
設計
P2MRはTaproot(P2TR)と同様に動作するが、決定的な違いがある:内部鍵コンポーネントなしに、スクリプトツリーのマークルルートのみにコミットする。これにより、Taproot出力を楕円曲線暗号に対する量子攻撃に対して脆弱にしている鍵パス支払いが除去される。
P2TRとの主な違い:
- 鍵パス支払いなし — 量子脆弱性のあるコンポーネントを排除
- SegWitバージョン2 — メインネットアドレスは
bc1zで始まる - 32バイトのウィットネスプログラム — スクリプトツリーのマークルルートに直接コミット
- より小さなコントロールブロック — 1 + 32mバイト(P2TRの33 + 32mバイトに対し、mはツリーの深さ)
セキュリティモデル
P2MRは長時間露出攻撃に対する保護を提供する — 攻撃者が露出した公開鍵に対して量子攻撃を計算するための十分な時間を持つケースである。トランザクションのブロードキャストから承認までの短い窓における短時間露出攻撃には対応しない。
完全な量子耐性を実現するには、将来の提案でポスト量子署名アルゴリズムをスクリプトツリーのリーフ自体に組み込む必要がある。
意義
BIP 360は、デプロイ可能なソフトフォークとしてビットコインの量子耐性に向けた最初の具体的なステップを表す。ビットコインの署名スキーム全体を一度に置き換えようとするのではなく、最も脆弱なコンポーネント(鍵パス)を除去しつつTaprootのスクリプトパス機能を保持するという実用的な第一歩を踏み出している。この段階的アプローチにより、ポスト量子署名標準が完全に成熟するのを待つことなく、長時間露出攻撃に対する量子耐性を獲得できる。