Виталик Бутерин разрабатывает квантовое обновление для Ethereum с целью замены основной криптографии

Сооснователь Ethereum Виталик Бутерин в четверг призвал к масштабной перестройке криптографической основы сети, предупредив, что прогресс в квантовых вычислениях может сломать ключевые части протокола, и предложил многоэтапный план их замены.

В посте на X Бутерин выделил четыре уязвимых области: подписи BLS на уровне консенсуса, инструменты обеспечения доступности данных, известные как KZG-коммитменты, схему подписей ECDSA, используемую стандартными пользовательскими аккаунтами, а также системы доказательств с нулевым разглашением, применяемые в приложениях и сетях второго уровня.

По его словам, каждую из этих проблем можно решать поэтапно, предлагая специализированные решения для каждого уровня протокола. «Важный вопрос на этом этапе — выбор хеш-функции, — написал Бутерин. — Это может стать "последней хеш-функцией Ethereum", поэтому важно сделать правильный выбор».

Этот пост появился на фоне того, что Ethereum Foundation объявил пост-квантовую безопасность одним из высших приоритетов.

Квантовые компьютеры представляют угрозу для Ethereum, Bitcoin и всей криптоиндустрии, поскольку со временем могут взломать криптографию с открытым ключом, которая защищает кошельки и подписывает транзакции, позволяя злоумышленникам получать приватные ключи из публичных и переводить средства.

Чтобы напрямую противостоять этой проблеме, Ethereum Foundation в январе создал специальную постквантовую команду, а в начале этого месяца представил план обновлений из семи форков под названием “Strawmap”, который предусматривает интеграцию квантово-устойчивых подписей и криптографии, дружественной к STARK, в протокол консенсуса сети до 2029 года.

На уровне консенсуса Бутерин предложил заменить подписи BLS — криптографические доказательства, которые валидаторы используют для утверждения блоков — на варианты, основанные на хешах, которые, по мнению исследователей, более устойчивы к квантовым атакам. Он также предложил использовать STARK — разновидность доказательств с нулевым разглашением — для сжатия множества подписей валидаторов в одну аттестацию.

Что касается доступности данных, Бутерин отметил наличие компромиссов. Ethereum использует KZG-коммитменты для проверки правильности структуры и доступности данных блока. STARK могли бы выполнять аналогичную функцию, однако им не хватает математического свойства — линейности, которое необходимо для двумерной выборки доступности данных.

«Это приемлемо, но логистика становится сложнее, если вы хотите поддерживать распределённый выбор blob,» — написал Бутерин.

Пользовательские аккаунты и системы доказательств сталкиваются со значительным ростом стоимости при использовании квантово-устойчивой криптографии. Проверка подписи ECDSA сегодня обходится примерно в 3 000 газа, тогда как квантово-устойчивая подпись на основе хеша потребует около 200 000 газа.

Разница еще больше при верификации доказательств: проверка ZK-SNARK стоит 300 000–500 000 газа, тогда как квантово-устойчивый STARK — около 10 миллионов газа, что слишком дорого для большинства приватных и layer-2-приложений.

«Решение снова заключается в рекурсивной агрегации подписей и доказательств на уровне протокола», — отметил Бутерин, ссылаясь на Ethereum Improvement Proposal 8141.

Согласно EIP-8141, каждая транзакция будет содержать «кадр валидации», который можно заменить STARK-доказательством правильного исполнения. Все кадры валидации в блоке затем можно агрегировать в одно доказательство, что позволит сохранить небольшой след на блокчейне, даже если отдельные подписи станут крупнее.

Бутерин отметил, что этап доказательства может происходить на уровне mempool, а не при производстве блока, при этом узлы распространяют валидные транзакции каждые 500 миллисекунд вместе с доказательством корректности.

«Это выполнимо, но потребуется много инженерной работы», — отметил он.