Віталік Бутерін пов'язує квантове оновлення з Ethereum для заміни основної криптографії

Коротко

• Віталік Бутерін зазначив чотири компоненти Ethereum, що залежать від криптографії і є вразливими до квантових атак.
• План передбачає заміну BLS, KZG та ECDSA на системи на основі хешів, решітки або STARK.
• Рекурсивна агрегація спрямована на зменшення високих витрат газу на квантово-стійкі підписи та докази.

Засновник Ethereum Віталік Бутерін у четвер закликав до широкої перебудови криптографічних основ мережі, попереджаючи, що прогрес у квантових обчисленнях може зламати ключові частини протоколу, і виклав багатоступенний план їх заміни. У дописі на X Бутерін визначив чотири вразливі сфери: підписи на рівні консенсусу BLS, інструменти доступності даних, відомі як KZG-комітменти, підписну схему ECDSA, яку використовують стандартні облікові записи користувачів, та системи доказів із нульовою довірою, що використовуються додатками і мережами рівня 2. Кожну з них можна вирішити поступово, з використанням спеціалізованих рішень на кожному рівні протоколу. «Одне важливе питання — вибір хеш-функції», — написав Бутерін. «Це може бути «останя хеш-функція Ethereum», тому важливо обрати її з розумом.» Цей допис з’явився на тлі підвищення пріоритету постквантової безпеки в Фонді Ethereum.

 Квантові комп’ютери становлять загрозу для Ethereum, Bitcoin та ширшої криптоіндустрії, оскільки вони потенційно зможуть зламати публік-ключову криптографію, що захищає гаманці та підписує транзакції, дозволяючи зловмисникам отримати приватні ключі з відкритих ключів і рухати кошти. Щоб протистояти цій проблемі, Фонд Ethereum у січні створив спеціальну команду Post-Quantum, а на початку цього місяця випустив план оновлення з семи гілок, під назвою «Strawmap», який передбачає інтеграцію квантово-стійких підписів і криптографії, дружньої до STARK, у дизайн консенсусу мережі до 2029 року. На рівні консенсусу Бутерін запропонував замінити підписи BLS — криптографічні докази, які валідатори використовують для підтвердження блоків — на альтернативи на основі хешів, які дослідники вважають більш стійкими до квантових атак. Також він запропонував використовувати STARK-и, тип доказів із нульовою довірою, для стиснення багатьох підписів валідаторів у один атестат.

Щодо доступності даних, Бутерін зазначив, що існують компроміси. Ethereum покладається на KZG-комітменти для перевірки правильності структури та доступності даних у блоці. STARK-и можуть виконувати ту ж функцію, але їм бракує математичної властивості під назвою лінійність, яка дозволяє вибірку двовимірних даних. «Це нормально, але логістика ускладнюється, якщо потрібно підтримувати розподілений вибір блобів», — написав Бутерін. Облікові записи користувачів і системи доказів зазнають значних витрат при застосуванні квантово-стійкої криптографії. Перевірка сучасного підпису ECDSA коштує близько 3000 газів, тоді як квантово-стійкий підпис на основі хешів — приблизно 200 000 газів. Різниця ще більша для доказів: ZK-SNARK коштує від 300 000 до 500 000 газів для перевірки, тоді як квантово-стійкий STARK — близько 10 мільйонів газів — це надто дорого для більшості додатків із приватністю і рівня 2. «Рішення знову полягає у рекурсивній агрегації підписів і доказів на рівні протоколу», — сказав Бутерін, посилаючись на пропозицію Ethereum EIP-8141. За EIP-8141, кожна транзакція матиме «рамку валідації», яку можна замінити на STARK, що підтверджує правильність її виконання. Усі рамки валідації у блоці можна об’єднати в один доказ, зберігаючи малий розмір на ланцюгу навіть при зростанні розміру окремих підписів. Бутерін зазначив, що етап підтвердження може відбуватися на рівні мемпулу, а не під час створення блоку, і вузли поширюватимуть дійсні транзакції кожні 500 мілісекунд разом із доказом їхньої валідності. «Це керовано, але потрібно багато інженерної роботи», — додав він.