Vitalik Buterin przedstawia plan kwantowego ulepszenia Ethereum w celu zastąpienia kluczowej kryptografii

Współzałożyciel Ethereum, Vitalik Buterin, we czwartek wezwał do szerokiej przebudowy kryptograficznych fundamentów sieci, ostrzegając, że postępy w dziedzinie komputerów kwantowych mogą złamać kluczowe elementy protokołu, jednocześnie przedstawiając wieloetapowy plan ich zastąpienia.

W poście na platformie X Buterin wskazał cztery podatne obszary: podpisy BLS na warstwie konsensusu, narzędzia do dostępności danych znane jako zobowiązania KZG, schemat podpisu ECDSA używany przez standardowe konta użytkowników oraz systemy zero-knowledge proof stosowane przez aplikacje i sieci warstwy 2.

Każdy z tych problemów można rozwiązywać krok po kroku, zapewniając dedykowane rozwiązania na każdej warstwie protokołu. „Ważnym zagadnieniem jest wybór funkcji skrótu,” napisał Buterin. „Może to być ‘ostatnia funkcja skrótu Ethereum’, dlatego należy dokonać mądrego wyboru.”

Post pojawił się w momencie, gdy Fundacja Ethereum podniosła bezpieczeństwo post-kwantowe do rangi najwyższego priorytetu.

Komputery kwantowe zagrażają Ethereum, Bitcoin oraz całemu sektorowi kryptowalut, ponieważ mogą w przyszłości złamać kryptografię klucza publicznego zabezpieczającą portfele i podpisującą transakcje, umożliwiając atakującym wyprowadzenie kluczy prywatnych z ujawnionych kluczy publicznych i przenoszenie środków.

Aby stawić czoła temu problemowi, Fundacja Ethereum w styczniu powołała dedykowany zespół Post-Quantum, a na początku tego miesiąca ogłosiła plan siedmiu aktualizacji o nazwie „Strawmap”, który zakłada wprowadzenie odpornych na kwanty podpisów i kryptografii przyjaznej STARK do projektu konsensusu sieci do 2029 roku.

Na warstwie konsensusu Buterin zaproponował zastąpienie podpisów BLS — kryptograficznych dowodów, których walidatorzy używają do zatwierdzania bloków — alternatywami opartymi na funkcjach skrótu, które według naukowców są bardziej odporne na ataki kwantowe. Zasugerował także wykorzystanie STARK, rodzaju zero-knowledge proof, do kompresji wielu podpisów walidatorów w jedno poświadczenie.

Jeśli chodzi o dostępność danych, Buterin podkreślił, że pojawią się kompromisy. Ethereum opiera się na zobowiązaniach KZG, aby weryfikować, że dane bloków są prawidłowo ustrukturyzowane i dostępne. STARK mogą spełniać tę samą funkcję, ale brakuje im właściwości matematycznej zwanej liniowością, która umożliwia dwuwymiarowe próbkowanie dostępności danych.

„To jest akceptowalne, ale logistyka staje się trudniejsza, jeśli chcemy obsługiwać rozproszony wybór blobów,” napisał Buterin.

Konta użytkowników i systemy dowodzenia spotykają się z dużym wzrostem kosztów przy kryptografii odpornej na komputery kwantowe. Weryfikacja dzisiejszego podpisu ECDSA kosztuje około 3 000 gazu, podczas gdy podpis odporny na kwanty oparty na funkcji skrótu kosztowałby około 200 000 gazu.

Różnica jest jeszcze większa w przypadku dowodów: ZK-SNARK kosztuje 300 000 do 500 000 gazu za weryfikację, w porównaniu do około 10 milionów gazu za odporny na kwanty STARK — koszt zbyt wysoki dla większości aplikacji prywatnościowych i warstwy 2.

„Rozwiązaniem jest ponownie rekurencyjna agregacja podpisów i dowodów na poziomie protokołu,” stwierdził Buterin, wskazując na Ethereum Improvement Proposal 8141.

W ramach EIP-8141 każda transakcja zawierałaby „ramkę walidacyjną”, którą można zastąpić STARK potwierdzającym poprawność wykonania. Wszystkie ramki walidacyjne w bloku mogłyby zostać zagregowane w jeden dowód, utrzymując niewielki ślad on-chain nawet przy rosnących rozmiarach pojedynczych podpisów.

Buterin powiedział, że etap dowodzenia mógłby odbywać się na warstwie mempool zamiast podczas produkcji bloku, a węzły propagowałyby poprawne transakcje co 500 milisekund wraz z dowodem ważności.

„To jest wykonalne, ale wymaga dużo pracy inżynieryjnej,” dodał.