Исследователи Ethereum предлагают схему подписи SPHINCS для постквантовой криптографии

Исследователи Ethereum предложили SPHINCS- — статeless-схему проверки подписи постквантового уровня, оптимизированную для Ethereum Virtual Machine, — в посте, опубликованном в Ethereum Research 12 июня. Предложение, автором которого указан nicocsgy с благодарностью Vitalik Buterin и другим участникам, вводит дизайн, который заменяет стандартные функции хэширования SHAKE256 на EVM-совместимые KECCAK256, чтобы обеспечить реализацию на Solidity без необходимости изменений протокола или появления новых precompiles. Схема затрагивает потенциальную будущую угрозу, которую достаточно мощные квантовые компьютеры могут представлять для текущих криптографических допущений криптокошельков, предлагая исследовательский подход к устойчивой к квантам верификации кошельков с использованием уже существующей инфраструктуры EVM.

SPHINCS- заменяет SHAKE256 на KECCAK256 для совместимости с EVM

Предложение заменяет стандартные хэш-функции SLH-DSA, такие как SHAKE256, на KECCAK256, являющийся нативным для Ethereum. Такой выбор позволяет реализовать логику верификации на Solidity без необходимости новых precompiles или изменений на уровне базового слоя Ethereum. В посте говорится, что SPHINCS- (произносится «SPHINCS минус») спроектирован с учётом практического ограничения работы внутри EVM в том виде, в каком она существует сегодня.

Вариант C13 проверяет за 127 000 gas с подписью 3 704 байта

Вариант C13 для SPHINCS- описан как выполняющий проверку примерно за 127 000 gas с подписью объёмом 3 704 байта. В посте это сравнивается со стандартом SLH-DSA-SHA2-128-24, который стоит 142 000 gas с подписью 3 856 байта и требует примерно 1,07 миллиарда вызовов хэша для подписи. В предложении эти метрики приводятся в рамках технического анализа производительности.

Предложение нацелено на сокращённый бюджет подписи для сценариев использования кошельков

SPHINCS- сокращает бюджет подписи до диапазона между 2^14 и 2^20 подписями на ключ вместо нацеливания на стандартные 2^64 подписи на ключ. В посте говорится, что средний годовой 99,9-й перцентиль транзакций Ethereum после Merge составляет около 431 на адрес, что предполагает возможность использования параметров, более эффективных именно для кошельков, чем широкие стандарты общего назначения. В предложении утверждается, что обычным адресам Ethereum не требуется астрономическое число подписей.

Время подписи аппаратных кошельков для вариантов C11 и C12

В посте указано, что варианты C11 и C12 совместимы с аппаратными кошельками: времена подписи на защищённом элементе ST33K1M5 составляют 390 секунд и 47,5 секунды соответственно. Эти цифры приводятся как часть обсуждения практических ограничений кошельков в рамках предложения.

Нестандартный дизайн отмечен как работа стадии исследования

В предложении отмечается, что SPHINCS- является нестандартным и не соответствует параметрам FIPS 205 в строгом смысле, поскольку использует Keccak и ограниченные бюджеты подписей. В посте говорится, что с этим решением следует обращаться как с исследованием, а не как с завершённым стандартом аккаунта Ethereum. Предложение описывается как вклад в растущую дискуссию Ethereum о постквантовой безопасности.

FAQ

Что предложили исследователи Ethereum 12 июня?

Исследователи Ethereum предложили SPHINCS-, статeless-схему проверки подписи постквантового уровня, оптимизированную для Ethereum Virtual Machine, в посте, опубликованном в Ethereum Research 12 июня. Предложение было написано nicocsgy с благодарностью Vitalik Buterin и другим участникам.

Как SPHINCS- обеспечивает совместимость с EVM?

SPHINCS- заменяет стандартные хэш-функции SLH-DSA, такие как SHAKE256, на KECCAK256, который является нативным для Ethereum. Такой дизайн позволяет реализовать логику верификации на Solidity без необходимости новых precompiles или изменений протокольного уровня на базовом слое Ethereum.

Какие метрики производительности сообщаются для варианта C13?

Вариант C13 для SPHINCS- описан как выполняющий проверку примерно за 127 000 gas с подписью объёмом 3 704 байта. В посте это сравнивается со стандартом SLH-DSA-SHA2-128-24, который стоит 142 000 gas с подписью 3 856 байта.