Введение

2024, возможно, будет запомнен как один из годов, отмечающих ускорение угрозы квантового компьютера. Google, под руководством своего генерального директора Сундара Пичаи, наконец, представила свой квантовый чип, Willow, через громкий твит!

Скотт Ааронсон, один из самых известных экспертов в мире в области квантовой физики, изменил свое сообщение для людей, спрашивающих, следует ли им беспокоиться о квантовых компьютерах. Онсменил мнение

... Возможно, в конечном итоге, кто-то должен будет задуматься о миграции от RSA, Диффи-Хеллмана и эллиптической криптографии к криптографии на основе решёток или другим системам, которые могут вероятно сопротивляться квантовым атакам, ...

в

Да, безусловно, переживай об этом сейчас. Имей план.

Виталик уже написал окак провести хард-форк для сохранения средств большинства пользователей в чрезвычайной ситуации с квантами. Кроме того, несколько дней назад он подчеркнул в подкастчетыре основных компонента Ethereum, потенциально уязвимые для квантовых атак. Они:

1. Подписи транзакций Ethereum (в частности, с использованием ECDSA)
2. BLS подписи в консенсусе
3. Выборочная доступность данных (использование обязательств KZG)
4. Деревья Веркле (если они поставляются с Бандерснетч)

Внимательный читатель мог заметить, что у этих четырех точек есть что-то общее - да, это мои любимые эллиптические кривые. К сожалению, проблема дискретного логарифма для эллиптических кривых (ECDLP) решается алгоритмом Шора, знаменитым квантовым алгоритмом.

В этой краткой заметке мы собираемся проанализировать возможную постквантовую замену для первого пункта, а именно потенциальную постквантовую подпись транзакции Ethereum.

Какая PQ подпись?

Теперь легитимный вопрос: какие пост-квантовые (PQ) подписи мы должны использовать? К счастью, нам не нужно слишком много думать об этом прямо сейчас. Жэнфей Чжан, бывший криптограф Фонда Эфириума, уже написал об этом Процесс стандартизации криптографии после квантового перехода NIST 26. Если мы проанализируем три возможных варианта подписи (два из которых используют криптографию на основе решетки), становится ясно (по крайней мере, на данный момент), что Falcon кажется самым перспективным кандидатом. Вычисления для верификатора должны быть примерно такими же, как и для других схем подписи на основе решетки (например, Dilithium), то есть ограничены БПФ. Однако, Соколимеет более компактный размер подписи.

Отправьте!!

Теперь, когда мы 'определились' с подписью, которую будем использовать, следующий вопрос: как мы ее отправим? Сейчас существует большое разделение: одно предполагает жесткий форк, а другое - нет. Давайте немного углубимся.

Способ абстракции учетной записи

Первый подход, о котором мы поговорим, пожалуй, самый элегантный и многообещающий, связан с Абстракцией Аккаунта (AA). Он был поддержан Джастином Дрейком и Виталиком в различных случаях.

Для людей, не знакомых с ним, AA — это предлагаемое улучшение, чтобы сделать экосистему Ethereum более гибкой и удобной для пользователя за счет изменения способа управления транзакциями и счетами. Он перемещает определенные функции, традиционно зарезервированные для учетных записей, принадлежащих внешним лицам (EOA), в смарт-контракты, эффективно «абстрагируясь» от различий между учетными записями EOA и учетными записями смарт-контрактов.

Разработчики Ethereum предложили различные варианты внедрения AA, включая ERC-4337. Это практическое решение, которое достигает AA без необходимости обновления слоя консенсуса. Оно использует механизм, называемый объектами пользовательской операции, и вводит отдельный слой Bundler для обработки транзакций.

Добавление Falcon в качестве подписи транзакции Ethereum в этом сценарии означает написание контракта-верификатора Falcon, который отвечает за проверку действительности объектов User Operation перед их выполнением контрактом Entry Point.

Может показаться, что все это солнце и радуга, но есть по крайней мере одна существенная проблема. Кодирование Falcon в Solidity может быть не лучшим опытом (и, вероятно, это довольно затратно на газ). Кроме того, есть еще более неприятные проблемы, такие как тот факт, что Falcon работает с 13-битными числами, в то время как Solidity поддерживает только U256. Последнее является проблемой, которую можно решить, добавив SIMDиEVMMAXв EVM.

• Плюсы: Это элегантное и гибкое решение.
• Недостатки: Высокие затраты на газопотребление.

Путь разделения цепи

Метод, который мы здесь обсуждаем, вероятно, является технически самым простым. Он вдохновлен предыдущей работой, выполненной Мариусом Ван Дер Вайденом, и существенно связан с введением новоготип транзакцииподписано подписями Falconвместо подписей BLS. Самая большая проблема здесь заключается в том, что, таким образом, мы тесно связаны (через новый EIP) с предпочтительной схемой подписи мастера.

Итак, чтобы подвести итог этому подходу

• Плюсы: Легко писать код и быстро.
• Недостатки: Не гарантируется будущая совместимость.

Гибридный

На самом деле, привлекательным подходом было бы взять лучшее из двух вышеуказанных методов и объединить их в один. Вкратце, мы могли бы использовать AA аналогичным образом, что и RIP-7212но, конечно, нам понадобится новый RIP для Falcon. Это может предоставить время для экспериментов с функцией в rollups и определить, является ли Falcon истинно предпочтительным вариантом. Однако важно отметить, что такой подход не решает исходную проблему введения новой схемы подписи на уровне L1.

• Преимущества: Легко кодировать и быстро.
• Недостатки: Временный (не решает проблему использования L1).

Заключение

Рост квантовых вычислений требует срочных мер для защиты Ethereum, особенно его транзакционных подписей, уязвимых для алгоритма Шора. Falcon, схема на основе решетки, является сильным кандидатом благодаря своей эффективности и компактности. Стратегии развертывания, включая Абстракцию счета, жесткие разделы или гибридный подход, каждая из которых предлагает определенные преимущества и компромиссы. Тщательная оценка необходима для обеспечения надежности Ethereum в отношении квантовых угроз, сохраняя при этом масштабируемость и удобство использования.

Отказ от ответственности:

1. Эта статья перепечатана с [ethresear]. Все авторские права принадлежат оригинальному автору [asanso]. Если есть возражения против этой перепечатки, пожалуйста, свяжитесь с Gate Learnкоманда и они оперативно справятся с этим.
2. Отказ от ответственности: взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционным советом.
3. Переводы статьи на другие языки выполняются командой gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.