ビタリック・ブテリン、Ethereumの量子アップグレードをコア暗号技術の置換にマッピング

要点

• ブテリンは、量子攻撃に脆弱な暗号技術に依存する4つのイーサリアムコンポーネントを指摘した。
• 計画では、BLS、KZG、ECDSAをハッシュベース、格子ベース、STARKベースのシステムに置き換える。
• 再帰的集約は、量子安全な署名や証明による高いガスコストを削減することを目的としている。

イーサリアムの共同創設者ビタリック・ブテリンは木曜日、ネットワークの暗号基盤の抜本的な見直しを呼びかけ、量子コンピュータの進歩がコア部分を破壊する可能性を警告するとともに、それらを置き換える多段階の計画を示した。
X（旧Twitter）に投稿した中で、ブテリンは4つの脆弱な箇所を特定した：コンセンサス層のBLS署名、データ可用性ツールとして知られるKZGコミットメント、標準的なユーザーアカウントで使用されるECDSA署名スキーム、アプリケーションやレイヤー2ネットワークで使用されるゼロ知識証明システム。
それぞれ段階的に対処可能であり、プロトコルの各層に専用の解決策を導入できると述べた。「この上流で重要なのはハッシュ関数の選択だ」とブテリンは書いている。「これが『イーサリアムの最後のハッシュ関数』になる可能性もあるため、慎重に選ぶことが重要だ。」

この投稿は、イーサリアム財団がポスト量子セキュリティを最優先事項に引き上げたタイミングでのものだ。

量子コンピュータは、ウォレットを保護し取引に署名する公開鍵暗号を最終的に破る可能性があるため、イーサリアム、ビットコイン、そしてより広範な暗号業界に脅威をもたらす。攻撃者は公開鍵から秘密鍵を導き出し、資金を移動させることができる。
この問題に正面から対処するため、イーサリアム財団は1月に専任のポスト量子チームを立ち上げ、今月初めには「ストローマップ」と呼ばれる7つのフォークアップグレード計画を発表した。これにより、量子耐性の署名とSTARKに適した暗号技術を2029年までにネットワークのコンセンサス設計に統合する。

コンセンサス層では、ブテリンは検証者がブロックを承認するために使用する暗号証明のBLS署名を、ハッシュベースの代替に置き換えることを提案した。研究者はこれを量子攻撃に対してより耐性があると見ている。また、ゼロ知識証明の一種であるSTARKを用いて、多数の検証者署名を一つの証明に圧縮することも提案した。

データ可用性については、トレードオフが存在するとブテリンは述べた。イーサリアムは、ブロックデータが適切に構造化されていることと可用性を検証するためにKZGコミットメントに依存している。STARKは同じ機能を果たせるが、二次元データの可用性サンプリングを可能にする線形性という数学的性質を欠いている。
「これは問題ないが、分散型のブロブ選択をサポートしたい場合は、ロジスティクスがより複雑になる」とブテリンは書いた。

ユーザーアカウントと証明システムは、量子耐性暗号の導入によりコストが大幅に増加する。現在のECDSA署名の検証には約3,000ガスが必要だが、ハッシュベースの量子耐性署名では約200,000ガスかかる。
証明のコストも高く、ZK-SNARKの検証には30万から50万ガス、量子耐性のSTARKでは約1,000万ガスが必要となり、多くのプライバシーやレイヤー2アプリケーションには高すぎる。
「解決策は再帰的な署名と証明のプロトコル層での集約だ」とブテリンは述べ、イーサリアム改善提案8141（EIP-8141）を指摘した。
EIP-8141の下では、各取引に「検証フレーム」が含まれ、これをSTARKで正しく実行されたことを検証できるようにする。ブロック内のすべての検証フレームは、単一の証明に集約でき、個別の署名が大きくなってもオンチェーンのフットプリントを小さく保つことができる。
ブテリンは、証明のステップはブロック生成時ではなくメモリプール層で行うことも可能だと述べ、ノードは有効な取引とともに有効性の証明を毎500ミリ秒で伝播させることができるとした。
「これは管理可能だが、多くのエンジニアリング作業が必要だ」と語った。