Вступ

2024, ймовірно, буде запам'ятаний одним з років, що відзначили прискорення загрози квантового комп'ютера. Google, під керівництвом свого генерального директора Сундара Пічаї, нарешті представила свій квантовий чіп Willow через ворота.голосний твіт!

Скотт Ааронсон, один з найвідоміших квантових експертів у світі, змінив своє повідомлення для людей, які запитують, чи варто хвилюватися через квантові комп'ютери. Він перестав казати

... Можливо, зрештою, хтось повинен подумати про міграцію з RSA, Diffie-Hellman та криптографії на еліптичних кривих до криптографії на основі решіток або інших систем, які можуть витримати квантові атаки,...

до

Так, однозначно, турбуйтеся про це зараз. Майте план.

Віталік вже написав прояк здійснити хард-форк для збереження коштів більшості користувачів у випадку квантової надзвичайної ситуації. Також кілька днів тому він підкреслив у подкастчотири основні компоненти Ethereum, які потенційно вразливі до квантових атак. Вони:

1. Підписи транзакцій Ethereum (зокрема, з використанням ECDSA)
2. BLS підписи в консенсусі
3. Вибіркова доступність даних (використовуючи зобов'язання KZG)
4. Дерева Веркле (якщо поставляються з Бандерснатчем)

Уважний читач міг зауважити, що у цих чотирьох пунктах є щось спільне - так, це мої улюблені еліптичні криві. На жаль, проблему дискретного логарифма для еліптичних кривих (ECDLP) розбиває алгоритм Шора, відомий квантовий алгоритм.

У цій короткій нотатці ми збираємося проаналізувати можливу пост-квантову заміну для першої точки, а саме потенційний пост-квантовий підпис транзакції Ethereum.

Яку PQ підпис?

Зараз законна питання: які післяквантові (PQ) підписи ми повинні використовувати? На щастя, нам не потрібно думати над цим занадто багато, якщо ми мусимо вибрати прямо зараз. Женьфей Чжан, колишній криптограф Ethereum Foundation, вже написав про Процес стандартизації квантової криптографії NIST 26. Якщо ми проаналізуємо три можливих варіанти підпису (два з яких використовують криптографію на основі решітки), стає зрозуміло (принаймні наразі), що Falcon здається найбільш перспективним кандидатом. Обчислення для перевірки повинні бути приблизно такими ж, як і для інших схем підпису на основі решітки (наприклад, Dilithium), тобто обмежені FFT. Однак, Сокілмає менший розмір підпису.

Відправте його!!

Тепер, коли ми «визначилися» з підписом, який потрібно використовувати, наступне питання: як ми збираємося його відправити? Зараз існує велика дихотомія: одна має на увазі хардфорк, а інша – ні. Давайте копнемо трохи глибше.

Спосіб Абстракції Облікового Запису

Перший підхід, про який ми поговоримо, мабуть, найбільш елегантний та перспективний, передбачає Абстракцію облікового запису (AA). Його підтримували Джастін Дрейк та Віталік при різних обставинах.

Для людей, які не знайомі з цим, AA - це запропоноване вдосконалення, яке робить екосистему Ethereum більш гнучкою та зручною для користувачів шляхом зміни управління транзакціями та обліком. Воно переміщує певні функціональності, що традиційно зарезервовані для зовнішньо володіючих облікових записів (EOA), у смарт-контракти, ефективно «абстрагуючи» різницю між EOA та обліковими записами смарт-контрактів.

Розробники Ethereum запропонували різні варіанти впровадження AA, включаючи ERC-4337. Це практичне рішення, яке досягає AA без необхідності оновлення рівня консенсусу. Воно використовує механізм, що називається об'єктами користувача та вводить окремий рівень пакування для обробки транзакцій.

Додавання Falcon як підпису транзакції Ethereum у цьому сценарії означає написання контракту перевірки Falcon, який відповідає за перевірку правильності об'єктів операції користувача перед їх виконанням контрактом точки входу.

Зараз це може здатися сонячним світлом і веселкою, але є принаймні одна суттєва основна проблема. Кодування Falcon у Solidity може бути не найкращим досвідом (і, ймовірно, це досить дорого для газу). Крім того, є ще більш неприємні проблеми, такі як той факт, що Falcon має справу з 13-бітними числами, в той час як Solidity підтримує тільки U256. Останнє – це та проблема, яку можна вирішити, додавши SIMDіEVMMAXдо EVM.

• Переваги: Це елегантне і гнучке рішення.
• Недоліки: Це коштовне з точки зору споживання газу.

Шлях розділу

Метод, про який ми говоримо тут, ймовірно, технічно найпростіший. Він надихнутий попередніми роботами Маріуса Ван Дер Війдена і по суті полягає в тому, що вводиться новий тип транзакціїпідписано з використанням підписів Falconзамість підписів BLS. Найбільша проблема тут полягає в тому, що, роблячи це, ми тісно пов'язані (через новий EIP) з вибраною схемою підпису майстра.

Отже, підбиваючи підсумок цього підходу

• Переваги: Легко програмувати та швидко.
• Мінуси: Не майбутньоорієнтовані.

Гібридний

Дійсно спокусливим підходом було б взяти найкраще з двох наведених вище методів і об'єднати їх в один. У двох словах, ми могли б використовувати АА подібним чином, як RIP-7212але, звісно, нам знадобиться новий RIP для Falcon. Це може надати час для експериментів з функцією в rollups та визначення, чи дійсно Falcon - це шлях до успіху. Однак важливо зауважити, що цей підхід не вирішує вихідну проблему введення нової схеми підпису на рівні L1.

• Переваги: Легко програмувати та швидко.
• Недоліки: тимчасові (не вирішують проблему використання L1).

Висновок

Зростання квантового обчислення вимагає невідкладних заходів для забезпечення безпеки Ethereum, зокрема його підписів транзакцій, які вразливі до алгоритму Шора. Falcon, схема підпису на основі решітки, виходить як потужний кандидат завдяки своїй ефективності та компактному розміру. Стратегії розгортання, включаючи Абстракцію рахунків, хардфорки або гібридний підхід, кожен з них пропонує відмінні переваги та компроміси. Ретельна оцінка є необхідною, щоб забезпечити міцність Ethereum проти квантових загроз при збереженні масштабованості та зручності використання.

Відмова від відповідальності:

1. Цю статтю перепубліковано з [ Етрезер]. Усі авторські права належать оригінальному автору [.асансо]. Якщо є заперечення проти цього передруку, будь ласка, зв'яжіться з Ворота Навчаннякоманда, і вони оперативно розберуться з цим.
2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, належать виключно автору і не є жодною інвестиційною порадою.
3. Переклади статті на інші мови виконуються командою gate Learn. Якщо не зазначено інше, заборонено копіювання, розповсюдження або плагіат перекладених статей.