Vitalik Buterin traccia l'aggiornamento quantistico per Ethereum per sostituire la crittografia di base

Il cofondatore di Ethereum, Vitalik Buterin, giovedì ha invocato una revisione su larga scala delle fondamenta crittografiche della rete, avvertendo che i progressi nel calcolo quantistico potrebbero compromettere parti fondamentali del protocollo, e delineando un piano in più fasi per sostituirle.

In un post su X, Buterin ha individuato quattro aree vulnerabili: le firme BLS a livello di consenso, gli strumenti di disponibilità dei dati noti come KZG commitments, lo schema di firma ECDSA utilizzato dagli account utente standard e i sistemi di zero-knowledge proof utilizzati da applicazioni e reti di secondo livello.

Ognuna potrebbe essere affrontata passo dopo passo, ha detto, con soluzioni dedicate a ogni livello del protocollo. “Una cosa importante a monte di tutto ciò è la scelta della funzione hash,” ha scritto Buterin. “Questa potrebbe essere ‘l’ultima funzione hash di Ethereum’, quindi è importante scegliere con attenzione.”

Il post arriva mentre la Ethereum Foundation ha elevato la sicurezza post-quantistica a massima priorità.

I computer quantistici minacciano Ethereum, Bitcoin e l’intero settore crypto perché potrebbero in futuro violare la crittografia a chiave pubblica che protegge i wallet e firma le transazioni, permettendo agli attaccanti di ricavare le chiavi private dalle chiavi pubbliche esposte e spostare i fondi.

Per affrontare direttamente questo problema, la Ethereum Foundation ha lanciato a gennaio un team dedicato al Post-Quantum e, all’inizio di questo mese, ha pubblicato un piano di upgrade in sette fasi, chiamato “Strawmap”, che integrerà firme resistenti ai quanti e crittografia STARK-friendly nel design del consenso della rete entro il 2029.

A livello di consenso, Buterin ha proposto di sostituire le firme BLS—le prove crittografiche che i validatori usano per approvare i blocchi—con alternative basate su hash, che i ricercatori ritengono più resistenti agli attacchi quantistici. Ha anche suggerito di utilizzare gli STARK, un tipo di zero-knowledge proof, per comprimere molte firme dei validatori in una singola attestazione.

Per la disponibilità dei dati, Buterin ha affermato che ci sarebbero dei compromessi. Ethereum si affida ai KZG commitments per verificare che i dati dei blocchi siano strutturati e disponibili correttamente. Gli STARK potrebbero svolgere la stessa funzione, ma mancano di una proprietà matematica chiamata linearità che consente il campionamento bidimensionale della disponibilità dei dati.

“Va bene, ma la logistica diventa più complessa se si vuole supportare la selezione distribuita dei blob,” ha scritto Buterin.

Gli account utente e i sistemi di prova affrontano forti aumenti di costo con la crittografia resistente ai quanti. La verifica della firma ECDSA attuale costa circa 3.000 gas, mentre una firma resistente ai quanti basata su hash costerebbe circa 200.000 gas.

La differenza è ancora maggiore per le prove: una ZK-SNARK costa tra 300.000 e 500.000 gas per essere verificata, rispetto ai circa 10 milioni di gas necessari per uno STARK resistente ai quanti—una spesa troppo elevata per la maggior parte delle applicazioni di privacy e di secondo livello.

“La soluzione ancora una volta è l’aggregazione ricorsiva di firme e prove a livello di protocollo,” ha detto Buterin, facendo riferimento all’Ethereum Improvement Proposal 8141.

Con l’EIP-8141, ogni transazione includerebbe un “validation frame” che può essere sostituito da uno STARK che ne verifica la corretta esecuzione. Tutti i validation frame in un blocco potrebbero quindi essere aggregati in una sola prova, mantenendo ridotta l’impronta on-chain anche se le singole firme diventano più grandi.

Buterin ha detto che il passo di prova potrebbe avvenire a livello di mempool piuttosto che durante la produzione del blocco, con i nodi che propagano le transazioni valide ogni 500 millisecondi insieme a una prova di validità.

“È gestibile, ma c’è molto lavoro di ingegneria da fare,” ha detto.