ヴィタリック・ブテリン、Ethereumのコア暗号を置き換えるための量子アップグレードを計画

Ethereum共同創設者のVitalik Buterinは木曜日、量子コンピューティングの進歩がプロトコルの中核部分を破壊する可能性があると警告しつつ、ネットワークの暗号基盤の大幅な見直しを呼びかけ、段階的にそれらを置き換える計画を示した。

Xへの投稿で、Buterinは脆弱な4つの領域、すなわちコンセンサスレイヤーのBLS署名、KZGコミットメントと呼ばれるデータ可用性ツール、標準ユーザーアカウントで使われるECDSA署名スキーム、およびアプリケーションやレイヤー2ネットワークで用いられるゼロ知識証明システムを特定した。

それぞれはプロトコルの各レイヤーごとに専用のソリューションで段階的に対処できると彼は述べている。「この前段階で重要なのは、ハッシュ関数の選定です」とButerinは書いている。「これは『Ethereum最後のハッシュ関数』になるかもしれないので、慎重に選ぶことが重要です。」

この投稿は、Ethereum Foundationがポスト量子セキュリティを最優先事項に引き上げた中で行われた。

量子コンピュータは、Ethereum、Bitcoin、さらにはより広範な暗号業界にとって脅威となる。なぜなら、最終的にはウォレットを保護しトランザクションに署名する公開鍵暗号を破ることが可能となり、攻撃者が公開鍵から秘密鍵を導き出して資金を移動できてしまうからだ。

この問題に真正面から向き合うため、Ethereum Foundationは1月にポスト量子専任チームを立ち上げ、今月初めには「Strawmap」と呼ばれる7段階のアップグレード計画を発表した。この計画は、量子耐性署名とSTARKに適した暗号技術を2029年までにネットワークのコンセンサス設計に統合することを目指している。

コンセンサスレイヤーでは、Buterinは検証者がブロックを承認するために使用する暗号証明であるBLS署名を、量子攻撃により強いと考えられるハッシュベースの代替案に置き換えることを提案した。また、多くの検証者署名を1つの証明に圧縮できるゼロ知識証明の一種であるSTARKを使うことも提案している。

データ可用性について、Buterinはトレードオフがあると述べた。Ethereumは、ブロックデータが適切に構造化され利用可能であることを確認するためにKZGコミットメントに依存している。STARKも同じ機能を果たせるが、2次元データ可用性サンプリングを可能にする線形性と呼ばれる数学的性質が欠けている。

「これは問題ないですが、分散型のblob選択をサポートしたい場合は運用がより難しくなります」とButerinは書いている。

ユーザーアカウントや証明システムは、量子耐性暗号技術の下で大幅なコスト上昇に直面する。現在のECDSA署名の検証は約3,000ガスだが、ハッシュベースの量子耐性署名では約200,000ガスが必要となる。

証明の場合はさらに差が大きい。ZK-SNARKの検証は30万〜50万ガスだが、量子耐性のSTARKでは約1,000万ガスとなり、ほとんどのプライバシーおよびレイヤー2アプリケーションには高すぎるコストとなる。

「解決策は再び、プロトコルレイヤーでの再帰的署名および証明集約です」とButerinは述べ、Ethereum Improvement Proposal 8141を指摘した。

EIP-8141の下では、各トランザクションには「バリデーションフレーム」が含まれ、正しく実行されたことを検証するSTARKで置き換えることができる。ブロック内のすべてのバリデーションフレームは単一の証明に集約可能となり、個々の署名が大きくなってもオンチェーンのフットプリントを小さく保てる。

Buterinは、この証明ステップはブロック生成中ではなくmempoolレイヤーで行うことができ、ノードは有効なトランザクションを500ミリ秒ごとに有効性証明とともに伝播できると述べた。

「対応可能ですが、エンジニアリング作業は多いです」と彼は述べている。