耐量子署名 day-1 統合の経済学
[!info] TL;DR
Circle Arc はメインネット day-1 の段階から SLH-DSA-SHA2-128s 耐量子署名を統合している(FIPS 205 標準)。stateful precompile 経由でスマートコントラクトに公開される。Gas economics の試算は、230K base gas + 7,856 バイトの署名 → 1 回の verify で約 380K の総 gas を要し、主要コストは calldata であって計算ではないことを示している。これはステーブルコインおよび機関チェーンにとっての「今後 10 年の保険」である。
NIST 後量子署名標準化プロセス:
- FIPS 203:ML-KEM(鍵カプセル化メカニズム、CRYSTALS-Kyber のアップグレード)
- FIPS 204:ML-DSA(デジタル署名アルゴリズム、CRYSTALS-Dilithium のアップグレード)
- FIPS 205:SLH-DSA(Stateless Hash-Based Signatures、SPHINCS+ のアップグレード)← Arc が採用
SLH-DSA-SHA2-128s と代替案の比較:
| 方式 | 署名サイズ | 速度 | セキュリティ仮定 | Arc が選定した理由 |
|---|---|---|---|---|
| ML-DSA-44 | 約 2.4 KB | 中程度 | 格基(lattice) | 署名は小さいが、格仮定は比較的新しい |
| SLH-DSA-SHA2-128s | 7.8 KB | 遅いが安定 | ハッシュ関数にのみ依存 | ✅ 保守的、最も成熟、耐量子学術界のコンセンサス |
| FALCON | 約 666 B | 速い | 格 + 浮動小数点 | 浮動小数点署名は実装誤りが生じやすい |
Arc 実装の詳細:
- Precompile アドレスと gas schedule はコード内に記述されている(
crates/precompiles/src/pq.rs:42-83) - Zero6 hardfork gate により制御される(optional な precompile であり、将来の強制ハードフォークを回避する)
- 伝統的な ECDSA / ED25519 と共存する(置換ではなく拡張のみを目的とする)
経済学的含意:
- 230K + calldata gas → L1 メインネットでは依然として負担可能(SNARK verify の 500K-1M gas より遥かに小さい)
- 主要コストは calldata(7,856 バイト)→ EIP-4844 blob 以降は大幅に低減される見込み
- 商業用途:機関カストディ署名、validator 署名、長期未来証明型コントラクト署名
汎用パターン:
- ステーブルコインおよび機関チェーンによる day-1 耐量子統合 = ブランドシグナル + 政府顧客フレンドリー + 長期保険
- 汎用チェーン(Base / Ethereum)は必要に応じて追加するスタンスであり、緊急性はない
- 完全分散型チェーン(Bitcoin)は、逆にアップグレードが最も困難であり、量子リスクが最も高い
タイムライン:
- 2024 年:NIST 標準化完了(FIPS 203 / 204 / 205)
- 2026 年:Arc メインネット day-1 統合
- 2027-2030 年:他チェーンが追随
- 約 2030 年以降:量子計算の脅威が臨界点に到達する(Grover / Shor アルゴリズムの実用化)
市場構造への含意:耐量子署名の day-1 統合は、Arc が他のステーブルコインチェーン(USDC on Ethereum / Tempo / Plasma)に対して「コンプライアンス + 長期保険」の次元で差別化優位を持つことを示す。短期的には市場の関心が限定的であろうが、2030 年以降は機関のチェーン選定基準の 1 つとなる。
出典: projects/blockchain-research-2026-05/ark/technology.md
Related
- Wiki Index
- Threshold BFT コンセンサスの Rust 化