Исследователи Ethereum предлагают схему подписи SPHINCS- для постквантовых кошельков

Краткое содержание

• В публикации Ethereum Research предлагается SPHINCS-, бессостоятельная схема верификации постквантовых подписей, оптимизированная для EVM.
• В дизайне стандартные функции SHAKE256 заменяются на нативный для EVM KECCAK256, что позволяет реализовать верификацию на Solidity без изменений протокола или прекомпайлов.
• Вариант C13 описывается как требующий около 127 000 газа для верификации при размере подписи 3 704 байта.
• Предложение является нестандартным и находится на стадии исследования, но вносит вклад в растущую дискуссию о постквантовой безопасности Ethereum.

Исследователи Ethereum изучают новую конструкцию постквантовой подписи, которая может позволить кошелькам проверять квантово-устойчивые подписи напрямую в Ethereum Virtual Machine без необходимости изменений протокола.

Предложение, опубликованное на Ethereum Research 12 июня, представляет SPHINCS- (произносится как «СФИНКС минус») — эффективную бессостоятельную схему верификации постквантовых подписей, разработанную для совместимости с EVM. В публикации автором указан nicocsgy, а также выражена особая благодарность Виталику Бутерину и другим участникам.

Постквантовые подписи для кошельков Ethereum

Основная проблема заключается в том, что современные блокчейн-кошельки полагаются на криптографические допущения, которые в конечном итоге могут быть ослаблены достаточно мощными квантовыми компьютерами. Эта угроза не является немедленной, но исследователи и криптографы Ethereum всё чаще обсуждают, как аккаунты со временем могут перейти на квантово-устойчивые схемы подписей.

SPHINCS- разработан с учётом практического ограничения: он должен работать внутри EVM в её текущем виде. Вместо того чтобы требовать новых прекомпайлов или изменений на уровне протокола, предложение заменяет стандартные хеш-функции SLH-DSA, такие как SHAKE256, на KECCAK256, который является нативным для Ethereum.

Такой выбор дизайна позволяет реализовать логику верификации на Solidity. Другими словами, предложение не требует немедленного изменения базового протокола Ethereum. Оно исследует, насколько далеко можно продвинуть верификацию постквантовых кошельков с использованием существующих инструментов EVM.

Меньший бюджет подписей — ниже стоимость

Публикация также сокращает бюджет подписей до диапазона, более релевантного для блокчейн-кошельков. Вместо нацеливания на стандартные 2^64 подписей на ключ, SPHINCS- фокусируется на бюджете между 2^14 и 2^20 подписей на ключ.

Аргумент заключается в том, что обычным адресам Ethereum не нужно астрономическое количество подписей. В публикации говорится, что 99,9-й процентиль среднего годового количества транзакций Ethereum на адрес после слияния (The Merge) составляет около 431, что предполагает возможность использования более эффективных параметров, специфичных для кошельков, по сравнению с общими стандартами широкого назначения.

Для своего варианта C13 предложение сообщает о стоимости верификации около 127 000 газа и размере подписи 3 704 байта. Это сравнивается со стандартным SLH-DSA-SHA2-128-24, который, согласно публикации, требует 142 000 газа при размере подписи 3 856 байт и около 1,07 миллиарда вызовов хеш-функции для подписания.

Всё ещё исследование, а не стандарт

Предложение тщательно отмечает компромиссы. SPHINCS- является нестандартным и не строго соответствует параметрам FIPS 205, поскольку использует Keccak и ограниченный бюджет подписей. Это означает, что к нему следует относиться как к исследованию, а не как к готовому стандарту для аккаунтов Ethereum.

Существуют также практические ограничения для кошельков. В публикации говорится, что варианты C11 и C12 совместимы с аппаратными кошельками, но время подписания на защищённом элементе ST33K1M5 указано как 390 секунд и 47,5 секунд соответственно. Это подчёркивает разрыв между теоретической эффективностью верификации и реальным пользовательским опытом.

Тем не менее, направление важно. Долгосрочная безопасность аккаунтов Ethereum, вероятно, потребует нескольких подходов, включая новые схемы подписей, инструменты абстракции аккаунтов, пути миграции и лучший пользовательский интерфейс кошельков.

Почему это важно

Постквантовая безопасность по-прежнему является проблемой, смотрящей в будущее, но блокчейн-сети не могут ждать, пока квантовые атаки станут практичными, чтобы начать думать о миграции. Обновления кошельков, стандарты, обучение пользователей и координация в экосистеме могут занять годы.

SPHINCS- не решает всю эту проблему. Но он даёт исследователям Ethereum ещё одну конкретную конструкцию для тестирования: бессостоятельный, нативный для EVM путь верификации постквантовых подписей, который может работать без ожидания изменений на базовом уровне.