12 個ワードと 24 個ワードの違いを調査しました。BIP39 はワード生成アルゴリズムを定義しており、12 個のワードの生成に使用されるシードランダム数(ランダムエントロピー)は 128 ビットで、暗号学的セキュリティ強度は 2^128 です。一方、24 個のワードのシードランダム数は 256 ビットで、暗号学的セキュリティ強度は 2^256 です。
また、別の視点から見ると、2048 語のワードリストから 24 個のワードの組み合わせを選択すると、2048^24(2^256 に近い)になり、12 個のワードの組み合わせは 2048^12(2^128 に近い)になります。したがって、理論的には 24 個のワードの方が暴力的な衝突が難しく、セキュリティが高いと言えます。
しかし、有名な誕生日のパラドックスという理論があります。これは、部屋に 23 人以上いる場合、少なくとも 2 人の誕生日が同じ確率が 50%を超えるというものです。60 人以上の場合、この確率は 99%を超えます。
誕生日のパラドックスは暗号学に大きな影響を与えます。具体的には、ハッシュ関数の出力長が n ビットの場合、要素数が 2^(n/2) に達すると、2 つの要素のハッシュ値が同じになる確率は約 50%です。つまり、256 ビットのハッシュ関数の暗号学的セキュリティ強度はビット数の半分であり、つまり 2^128 です。これはちょうど 12 個のワードの暗号学的セキュリティ強度と同じです。現在、ほとんどの公共チェーンは取引署名前に 256 ビットのハッシュ関数を使用しています。
攻撃者が異なる 2 つの入力データのハッシュ値を見つけることができれば、取引署名段階でこの脆弱性を利用して衝突攻撃を行うことができます。例えば、すでにチェーンに上がっている送金取引を取り上げ、ハッシュ値を衝突させる(元の取引を変更して、受信アドレスを変更するなど)偽の取引を作成することができます。
つまり、最も脆弱な部分はワードやプライベートキーではなく、取引署名のハッシュアルゴリズム部分にあります(または両方の難易度はほぼ同じです)。攻撃者はワードを衝突させるよりも、取引のハッシュ値を衝突させる方が良いです(もちろん、どちらもほぼ不可能です)。
したがって、ワードが多いほど安全というわけではありません。12 個のワードがちょうど十分であり、その暗号学的セキュリティ強度は 2^128 です。ワードの数を増やしても、暗号学的セキュリティ強度は向上しません。むしろ、さらに多くのワードは保存の難しさを増加させる可能性があります。