Виталик Бутерин связывает обновление квантовых технологий с Ethereum, чтобы заменить основную криптографию

Вкратце

• Виталик Бутерин указал на четыре компонента Ethereum, которые используют криптографию, уязвимую для квантовых атак.
• План предусматривает замену BLS, KZG и ECDSA на системы на основе хеш-функций, решетчатых структур или STARK.
• Рекурсивная агрегация направлена на снижение высоких затрат газа на квантово-устойчивые подписи и доказательства.

Соучредитель Ethereum Виталик Бутерин в четверг призвал к масштабной переработке криптографической основы сети, предупредив, что достижения в области квантовых вычислений могут сломать ключевые части протокола, и изложил многоэтапный план их замены. В посте на X Бутерин выделил четыре уязвимых области: подписи на уровне консенсуса BLS, инструменты доступности данных, известные как KZG-коммитменты, схема подписи ECDSA, используемая стандартными учетными записями пользователей, и системы нулевых знаний, используемые приложениями и сетями второго уровня. Каждую из них можно решить поэтапно, с помощью специальных решений на каждом уровне протокола. «Одним из важных аспектов является выбор хеш-функции», — написал Бутерин. «Это может стать «последней хеш-функцией Ethereum», поэтому важно выбрать её с умом.» Этот пост выходит на фоне того, что Фонд Ethereum повысил приоритет безопасности после квантовых технологий.

 Квантовые компьютеры угрожают Ethereum, Bitcoin и более широкой криптоиндустрии, поскольку они могут в конечном итоге взломать публично-ключевую криптографию, которая защищает кошельки и подписывает транзакции, позволяя злоумышленникам получать приватные ключи из открытых ключей и перемещать средства. Чтобы решить эту проблему, Фонд Ethereum в январе создал специальную команду по пост- квантовой криптографии, а в начале этого месяца выпустил план обновления с семью ветками, названный «Strawmap», который предусматривает интеграцию квантово-устойчивых подписей и криптографии, совместимой с STARK, в дизайн консенсуса сети до 2029 года. На уровне консенсуса Бутерин предложил заменить подписи BLS — криптографические доказательства, которые валидаторы используют для утверждения блоков — на альтернативы на основе хеш-функций, которые исследователи считают более устойчивыми к квантовым атакам. Он также предложил использовать STARK — тип доказательств нулевых знаний — для сжатия множества подписей валидаторов в одно подтверждение.

Для обеспечения доступности данных Бутерин отметил, что возможны компромиссы. Ethereum использует KZG-коммитменты для проверки правильной структуры и доступности данных блока. STARK могут выполнять ту же функцию, но у них отсутствует математическое свойство линейности, которое позволяет осуществлять выборку данных в двух измерениях. «Это допустимо, но логистика усложняется, если вы хотите поддерживать распределённый выбор блоков», — написал Бутерин. Учетные записи пользователей и системы доказательств сталкиваются с существенным ростом затрат при использовании квантово-устойчивой криптографии. Проверка подписи ECDSA сегодня стоит около 3000 газа, тогда как квантово-устойчивая подпись на основе хеш-функций обойдется примерно в 200 000 газа. Разница еще больше для доказательств: ZK-SNARK стоит от 300 000 до 500 000 газа для проверки, тогда как квантово-устойчивый STARK — около 10 миллионов газа, что слишком дорого для большинства приложений конфиденциальности и второго уровня. «Решение снова заключается в рекурсивной агрегации подписей и доказательств на уровне протокола», — отметил Бутерин, ссылаясь на предложение по улучшению Ethereum 8141. В рамках EIP-8141 каждая транзакция будет содержать «рамку проверки», которую можно заменить STARK, подтверждающим её правильное выполнение. Все рамки проверки в блоке могут быть объединены в одно доказательство, что уменьшит размер данных на цепочке, даже если подписи станут больше. Бутерин отметил, что этап доказательства может происходить на уровне мемпула, а не во время производства блока, при этом узлы будут распространять допустимые транзакции каждые 500 миллисекунд вместе с доказательством их валидности. «Это управляемо, но требует много инженерных усилий», — сказал он.