Віталік Бутерін окреслив квантове оновлення Ethereum для заміни основної криптографії

Співзасновник Ethereum Віталік Бутерін у четвер закликав до широкої перебудови криптографічних основ мережі, попередивши, що досягнення в квантових обчисленнях можуть зламати ключові частини протоколу, та окреслив багатоступеневий план їхньої заміни.

У дописі на X Бутерін визначив чотири вразливі зони: підписи BLS на рівні консенсусу, інструменти забезпечення доступності даних, відомі як KZG commitments, схему підпису ECDSA, що використовується стандартними користувацькими акаунтами, і системи zero-knowledge proof, які використовують застосунки та мережі другого рівня.

Кожну з них, за його словами, можна вирішувати поетапно, з використанням спеціалізованих рішень на кожному рівні протоколу. “Важливий аспект тут — вибір хеш-функції,” написав Бутерін. “Це може бути ‘останньою хеш-функцією Ethereum’, тож важливо обрати її мудро.”

Цей допис з’явився на тлі того, що Ethereum Foundation підняв постквантову безпеку до найвищого пріоритету.

Квантові комп’ютери становлять загрозу для Ethereum, Bitcoin та ширшої криптоіндустрії, оскільки вони зрештою можуть зламати криптографію з відкритим ключем, яка захищає гаманці та підписує транзакції, дозволяючи зловмисникам виводити приватні ключі з відкритих і переміщати кошти.

Щоб безпосередньо протистояти цій проблемі, Ethereum Foundation у січні створив спеціальну команду Post-Quantum, а на початку цього місяця оприлюднив план з семи оновлень, названий “Strawmap”, який має інтегрувати квантово-стійкі підписи та STARK-friendly криптографію в дизайн консенсусу мережі до 2029 року.

На рівні консенсусу Бутерін запропонував замінити підписи BLS — криптографічні докази, які валідатори використовують для підтвердження блоків — на альтернативи на основі хеш-функцій, які дослідники вважають більш стійкими до квантових атак. Також він запропонував використовувати STARK — тип zero-knowledge proof — щоб стиснути багато підписів валідаторів в одне підтвердження.

Щодо доступності даних, Бутерін зазначив, що тут будуть компроміси. Ethereum використовує KZG commitments для перевірки правильності структури та доступності блокових даних. STARK може виконувати ту ж функцію, але їм не вистачає такої математичної властивості, як лінійність, яка дозволяє двомірне вибіркове тестування доступності даних.

“Це можливо, але логістика ускладнюється, якщо ви хочете підтримувати розподілений вибір блобів,” написав Бутерін.

Користувацькі акаунти та системи доказів зіштовхуються зі значним зростанням витрат при впровадженні квантово-стійкої криптографії. Перевірка сучасного підпису ECDSA коштує близько 3,000 gas, тоді як квантово-стійкий підпис на основі хеш-функцій обійдеться приблизно у 200,000 gas.

Різниця ще більша для доказів: перевірка ZK-SNARK коштує від 300,000 до 500,000 gas, порівняно з близько 10 мільйонів gas для квантово-стійкого STARK — це занадто дорого для більшості застосунків із захистом приватності та другого рівня.

“Рішенням знову є протокольна рекурсивна агрегація підписів і доказів,” сказав Бутерін, посилаючись на Ethereum Improvement Proposal 8141.

Згідно з EIP-8141, кожна транзакція включатиме “кадр валідації”, який можна замінити STARK, що підтверджує її коректне виконання. Усі кадри валідації в блоці можна буде агрегувати в один доказ, зберігаючи невеликий розмір on-chain навіть при зростанні індивідуальних підписів.

Бутерін зазначив, що етап доказу міг би відбуватися на рівні mempool, а не під час створення блоку, при цьому вузли розповсюджували б дійсні транзакції кожні 500 мілісекунд разом із доказом дійсності.

“Це можливо, але роботи для інженерів ще дуже багато,” сказав він.