Comment une conception de portefeuille à l'épreuve du quantique peut protéger les utilisateurs d'Ethereum avec des clés éphémères et une abstraction de compte...

Les chercheurs proposent une nouvelle architecture de portefeuille sécurisée contre la quantique, réutilisant les outils Ethereum actuels pour atténuer les attaques quantiques futures sans toucher aux primitives de consensus ou de signature.

Risque quantique pour les portefeuilles Ethereum et ECDSA

La menace que représente l’informatique quantique pour la cryptographie à courbe elliptique devient plus concrète, même si une machine cryptographiquement pertinente n’existe pas encore. Cependant, l’algorithme de Shor montre déjà à quel point il pourrait résoudre efficacement le problème du logarithme discret et donc casser l’ECDSA.

La Fondation Ethereum a lancé des initiatives de recherche dédiées à la post-quantique, et une feuille de route plus large pour la PQ a été esquissée. De plus, des développeurs de l’écosystème explorent des alternatives pour renforcer Ethereum avant l’arrivée de matériel quantique à grande échelle.

Sur Ethereum, un compte externe (EOA) qui n’a jamais envoyé de transaction est effectivement résistant à la quantique, car sa clé publique est cachée derrière un hash. Cela dit, une fois que l’EOA signe une transaction, la clé publique devient définitivement exposée sur la blockchain, et cette adresse est ainsi considérée comme vulnérable du point de vue de la résistance quantique.

Limitations des efforts actuels en signatures post-quantiques

Plusieurs projets visent à introduire des schémas de signatures post-quantiques dans l’EVM, avec Falcon et Poqeth comme exemples remarquables. Ces solutions sont essentielles pour la sécurité à long terme. Cependant, la vérification sur la blockchain reste coûteuse, dépassant 1 million de gas par vérification Falcon, tandis que les signatures basées sur des hash coûtent actuellement environ 200 000 gas.

Ces coûts pourraient diminuer si des propositions telles que EIP-8051 et EIP-8052 étaient intégrées à l’EVM à l’avenir. De plus, l’efficacité en gas n’est pas le seul obstacle : la normalisation, l’intégration avec les portefeuilles matériels et la résistance éprouvée aux attaques cryptographiques classiques restent des défis pour toute nouvelle norme de signature ETH.

Même si une signature post-quantique robuste était prête techniquement, la normalisation prendrait encore du temps, et le remplacement complet de l’ECDSA nécessiterait des modifications au niveau du protocole. Plutôt que de rejeter purement et simplement l’ECDSA, la conception décrite ici rend chaque clé ECDSA jetable, en l’utilisant une seule fois.

Conception de la sécurité quantique via des paires de clés éphémères

Le concept central exploite l’abstraction de compte pour séparer l’identité persistante de l’utilisateur de la clé de signature. Le portefeuille intelligent maintient une identité onchain statique, tandis que l’adresse du signataire autorisé tourne après chaque transaction, créant ainsi efficacement des paires de clés éphémères.

Ce design ne empêche pas un ordinateur quantique de récupérer la clé privée liée à une transaction passée. Cependant, il garantit que toute clé récupérée sera inutile pour les opérations futures, puisque le portefeuille intelligent aura déjà changé de signataire.

Le flux de travail de base est simple et s’intègre naturellement à la logique des portefeuilles de contrats intelligents. De plus, il n’utilise que l’infrastructure actuelle et ne nécessite aucune modification des règles du protocole Ethereum.

Flux de transaction et rotation des clés ECDSA

Le schéma proposé suit quatre étapes claires pour chaque transaction :

L’utilisateur ajoute une nouvelle adresse dans le calldata de leur userOp.

Le portefeuille intelligent valide le userOp et vérifie le signataire actuel.

Le userOp est exécuté comme d’habitude, par exemple pour effectuer un transfert de tokens.

Enfin, le portefeuille intelligent met à jour son signataire autorisé vers la nouvelle adresse.

Après exécution, la clé privée ancienne, même si récupérée, ne peut plus signer quoi que ce soit d’utile pour ce portefeuille. Seule la nouvelle adresse est stockée dans le portefeuille, ne révélant qu’une valeur dérivée du hash et maintenant la nouvelle clé résistante à la quantique jusqu’à la prochaine transaction.

En pratique, l’expérience utilisateur peut être améliorée en générant la séquence de nouvelles adresses via un chemin de dérivation BIP44. Cette méthode est déjà standard dans les portefeuilles largement utilisés, ce qui réduit la surcharge d’implémentation tout en permettant une rotation automatique des clés ECDSA en coulisses.

Mise en œuvre pratique sur Ethereum

Cette architecture peut être réalisée en apportant de légères modifications à un modèle de portefeuille SimpleWallet. Il suffit d’ajouter une logique pour analyser la prochaine adresse du signataire depuis le calldata et une fonction pour mettre à jour le propriétaire du portefeuille intelligent en conséquence.

Une preuve de concept existe déjà et démontre que la rotation du signataire peut être finalisée même lorsque le userOp échoue. De plus, cela résout un problème clé : si la rotation ne se produisait qu’en cas de succès, une transaction rejetée exposerait encore le signataire actuel et laisserait le portefeuille vulnérable.

Avec l’implémentation actuelle, des transactions d’exemple montrent des coûts d’environ 136 000 gas pour un transfert ERC20. Cela implique une surcharge en gas inférieure à 100 000 par rapport à un transfert standard sur la même chaîne. La surcharge est nettement inférieure au coût de vérification de la plupart des signatures post-quantiques surchain aujourd’hui.

Profil de coût et avantages de l’abstraction de compte sur Ethereum

Le coût en gas pour la seule logique de rotation du signataire, intégrée à un portefeuille basé sur l’abstraction de compte existante, est encore plus faible et presque négligeable dans le contexte plus large des interactions DeFi complexes. De plus, les utilisateurs bénéficient de tous les avantages habituels de l’abstraction de compte Ethereum, comme les opérations groupées et les règles de validation flexibles.

Parce que l’adresse du portefeuille reste constante tandis que les signataires changent, ce design préserve une identité onchain stable pour les dapps, explorateurs et contreparties. Cependant, il modifie le modèle de sécurité : les utilisateurs doivent s’assurer que leur génération et stockage de clés peuvent gérer en toute sécurité un flux continu de nouvelles clés.

Utilisation de mécanismes de récupération sociale pour la rotation des clés

Une autre méthode pour atteindre un comportement similaire consiste à réutiliser les fonctionnalités de récupération sociale déjà présentes dans de nombreux portefeuilles de contrats intelligents. À moins qu’une restriction spécifique ne l’interdise, un utilisateur peut définir sa propre adresse comme gardien de récupération et déclencher une procédure de récupération après chaque transaction.

Cette approche fait effectivement tourner le contrôle vers une nouvelle clé via la logique de récupération. Cependant, elle entraîne un coût en gas légèrement supérieur, car un mécanisme conçu pour la récupération d’urgence est réutilisé pour une utilisation routinière. L’avantage est que les utilisateurs peuvent adopter cette structure consciente de la quantique sans déployer d’architectures onchain personnalisées.

Des expériences suggèrent que le coût supplémentaire en gas pour cette opération basée sur la récupération est d’environ 30 000 gas, tandis que la surcharge totale de l’architecture de base sans récupération tourne autour de 110 000 gas. De plus, les développeurs de portefeuilles peuvent ajuster ces paramètres selon leurs priorités en matière de sécurité et d’expérience utilisateur.

Risque d’exposition dans le mempool et vulnérabilités restantes

Les auteurs reconnaissent une vulnérabilité clé que ce modèle ne supprime pas complètement : le risque d’exposition dans le mempool pendant la période d’attente avant que la transaction ne soit minée. Pendant cette fenêtre, la clé publique de l’utilisateur est visible dans le mempool, et un attaquant capable de quantique pourrait, en théorie, récupérer la clé privée et devancer la transaction.

Compte tenu des capacités quantiques actuelles, ce scénario n’est pas considéré comme alarmant immédiatement, car l’attaquant disposerait d’un délai très court pour effectuer le calcul. Cependant, si l’on veut être aussi prudent que possible, faire passer les transactions par des mempools privés peut éliminer virtuellement cette fuite au niveau du mempool.

De plus, déployer cette architecture sur des réseaux Layer 2 aide à atténuer le risque. Les L2 ont généralement des temps de confirmation plus courts et des mécanismes de séquencement différents, réduisant la fenêtre pendant laquelle la clé publique est exposée à un adversaire.

Positionnement dans la stratégie globale de mitigation post-quantique

Ce design doit être considéré comme un outil complémentaire dans le cadre plus large de la mitigation post-quantique sur Ethereum. Il ne prétend pas être le portefeuille quantique sécurisé ultime, ni remplacer le besoin à long terme de signatures post-quantiques natives dans le protocole.

Au contraire, il aborde une faiblesse spécifique : l’exposition à long terme de la clé publique que l’algorithme de Shor exploiterait au niveau de l’exécution. De plus, il utilise uniquement l’infrastructure actuelle et des modèles de contrats intelligents familiers, ce qui permet un déploiement sans attendre de nouvelles EIP ou normes de signatures.

Perspectives pour des transactions quantiques sûres sur Ethereum

Le schéma de portefeuille quantique sécurisé proposé assure une sécurité quantique au niveau de l’exécution en faisant tourner les paires de clés ECDSA après chaque transaction tout en conservant une adresse de contrat intelligent stable. Il ne nécessite pas de modifications du protocole et ajoute environ 100 000 gas par rapport à un transfert de base, une fraction des coûts actuels de vérification post-quantiques.

Il ne remplace pas les schémas de signatures post-quantiques à venir, qui restent essentiels pour une solution complète et à long terme sur Ethereum. Cependant, en éliminant l’exposition prolongée de la clé publique, il offre une défense pratique et progressive que les utilisateurs et développeurs de portefeuilles peuvent adopter dès aujourd’hui, avec des mempools privés fournissant la meilleure mitigation contre l’exposition résiduelle au niveau du mempool.