Как дизайн квантово-устойчивого кошелька может защитить пользователей Ethereum с помощью временных ключей и абстракции аккаунтов...

Исследователи предлагают новую архитектуру квантово-защищенного кошелька, которая повторно использует существующие инструменты Ethereum для снижения риска будущих квантовых атак без изменения консенсуса или примитивов подписи.

Квантовые риски для кошельков Ethereum и ECDSA

Угроза, которую представляет квантовые вычисления для эллиптической криптографии, становится все более конкретной, несмотря на отсутствие пока криптографически релевантной машины. Однако алгоритм Шора уже показывает, насколько эффективно он может решать задачу дискретного логарифма и, следовательно, взломать ECDSA.

Фонд Ethereum запустил специальные инициативы по исследованию пост-квантовых решений, а более широкий план PQ уже разработан. Более того, разработчики по всему экосистему исследуют альтернативы, которые могут укрепить Ethereum до появления крупномасштабного квантового оборудования.

На Ethereum внешне управляемый аккаунт (EOA), который никогда не отправлял транзакцию, фактически является квантово-устойчивым, поскольку его публичный ключ скрыт за хэшем. Однако после подписи транзакции публичный ключ становится навсегда раскрыт в блокчейне, и такой адрес фактически теряет квантовую устойчивость.

Ограничения текущих усилий по пост-квантовой подписи

Несколько проектов стремятся внедрить схемы пост-квантовой подписи в EVM, среди них выделяются Falcon и Poqeth. Эти решения важны для долгосрочной безопасности. Однако проверка на блокчейне остается дорогой: одна проверка Falcon стоит более 1 миллиона газа, тогда как хэш-основанные подписи сейчас требуют около 200 тысяч газа.

Эти затраты могут снизиться, если в будущем будут добавлены предложения EIP-8051 и EIP-8052 в EVM. Кроме того, эффективность по газу — не единственный барьер: стандартизация, интеграция с аппаратными кошельками и проверенная устойчивость к классическим криптографическим атакам остаются сложными задачами для любого нового стандарта подписи ETH.

Даже если бы надежная пост-квантовая подпись была технически готова, стандартизация заняла бы время, а полная замена ECDSA потребовала бы изменений в протоколе. Вместо полного отказа от ECDSA, предложенная здесь схема делает каждую ключевую пару ECDSA одноразовой, используя её ровно один раз.

Проектирование квантовой безопасности через эфемерные ключевые пары

Основная идея использует абстракцию аккаунта для разделения постоянной идентичности пользователя и ключа подписи. Умный контракт-кошелек сохраняет статическую ончейн-идентичность, а адрес авторизованного подписанта меняется после каждой транзакции, создавая эфемерные ключевые пары.

Этот дизайн не мешает квантовому компьютеру восстановить приватный ключ, связанный с прошлой транзакцией. Однако он гарантирует, что любой восстановленный ключ будет бесполезен для будущих операций, поскольку умный контракт уже перешел к новому подписанту.

Основной рабочий процесс прост и естественно вписывается в логику умных контрактов. Более того, он использует только существующую инфраструктуру и не требует изменений в протоколе Ethereum.

Поток транзакций и ротация ключей ECDSA

Предложенная схема включает четыре четких шага для каждой транзакции:

Пользователь добавляет новый адрес в calldata своего userOp.

Умный контракт-кошелек проверяет userOp и текущего подписанта.

UserOp выполняется как обычно, например, при переводе токенов.

В конце умный контракт обновляет разрешенного подписанта на новый адрес.

После выполнения старый приватный ключ, даже если его восстановить, не сможет больше подписывать что-либо значимое для этого кошелька. Вся информация о новом ключе хранится только в виде хэш-значения, что делает его квантово-устойчивым до следующей транзакции.

На практике пользовательский опыт можно улучшить, генерируя последовательность новых адресов с помощью деривационного пути BIP44. Этот метод уже широко используется в популярных кошельках, что снижает сложность реализации и обеспечивает автоматическую ротацию ключей ECDSA.

Практическая реализация на Ethereum

Эту архитектуру можно реализовать с минимальными изменениями базового дизайна SimpleWallet. Всё, что нужно — это логика для парсинга следующего адреса подписанта из calldata и функция, которая обновляет владельца умного контракта-кошелька.

Уже существует прототип, показывающий, что ротация подписантов может завершиться даже при откате userOp. Более того, это решает важную проблему: если ротация происходила только при успешном выполнении, откат транзакции оставлял бы текущего подписанта уязвимым.

При текущей реализации примерные затраты на транзакцию — около 136 тысяч газа для перевода ERC20. Это примерно на 100 тысяч газа больше по сравнению со стандартным переводом токенов на той же цепочке. Такой накладной расход значительно ниже стоимости проверки большинства пост-квантовых подписей на блокчейне сегодня.

Профиль затрат и преимущества Ethereum с учетом абстракции аккаунтов

Затраты газа только на логику ротации подписанта при использовании существующего кошелька на базе абстракции аккаунтов еще ниже и практически незначительны в контексте сложных DeFi-операций. Более того, пользователи получают все преимущества Ethereum, такие как пакетные операции и гибкие правила валидации.

Поскольку адрес кошелька остается постоянным, а подписанты меняются, эта схема сохраняет стабильную ончейн-идентичность для децентрализованных приложений, обозревателей и контрагентов. Однако она меняет модель безопасности: пользователи должны обеспечить безопасное создание и хранение ключей, чтобы справляться с постоянной сменой ключей.

Использование механизмов социального восстановления для ротации ключей

Альтернативный способ достижения аналогичного поведения — использование функций социального восстановления, уже присутствующих во многих умных кошельках. Если нет специальных ограничений, пользователь может установить свой собственный адрес в качестве доверенного лица для восстановления и запускать процедуру восстановления после каждой транзакции.

Этот подход фактически осуществляет ротацию контроля на новый ключ через механизм восстановления. Однако он обходится чуть дороже по газу, поскольку механизм, предназначенный для экстренного восстановления, переиспользуется для рутинных операций. Плюс в том, что пользователи могут внедрять такую квантово-устойчивую структуру без необходимости развертывать собственные ончейн-архитектуры.

Эксперименты показывают, что дополнительные затраты газа на такую операцию — около 30 тысяч, тогда как базовая архитектура без восстановления требует примерно 110 тысяч газа. Разработчики кошельков могут настраивать эти параметры в зависимости от приоритетов безопасности и удобства.

Риск утечки в мемпуле и оставшиеся уязвимости

Авторы признают ключевую уязвимость: риск утечки в мемпуле в период ожидания, пока транзакция не будет подтверждена. В этот момент публичный ключ пользователя виден в мемпуле, и квантово-способный злоумышленник теоретически может восстановить приватный ключ и выполнить фронтраннинг транзакции.

При текущих возможностях квантовых вычислений такой сценарий не считается критичным, поскольку у злоумышленника есть очень короткое время для выполнения вычислений. Однако, чтобы максимально снизить риск, можно использовать приватные мемпулы, что практически исключит утечку на уровне мемпула.

Кроме того, развертывание этой архитектуры на Layer 2 помогает снизить риск. L2-сети обычно имеют более короткое время подтверждения и другие механизмы последовательности, что сокращает окно, в течение которого публичный ключ может быть раскрыт злоумышленнику.

Роль в более широкой стратегии пост-квантовой защиты

Эта схема должна рассматриваться как дополнение к более широкой стратегии защиты Ethereum от квантовых угроз. Она не претендует на звание лучшего квантово-защищенного кошелька и не заменяет необходимость внедрения нативных пост-квантовых схем в протокол.

Она решает одну конкретную проблему: долгосрочную экспозицию публичного ключа, которую может использовать алгоритм Шора на уровне исполнения. Более того, она использует только существующую инфраструктуру и привычные шаблоны умных контрактов, что позволяет быстро внедрять без ожидания новых EIP или стандартов подписи.

Перспективы квантово-защищенных транзакций на Ethereum

Предложенная схема квантово-защищенного кошелька обеспечивает безопасность на уровне исполнения, вращая пары ключей ECDSA после каждой транзакции и сохраняя стабильный адрес контракта. Она не требует изменений протокола и добавляет примерно 100 тысяч газа по сравнению с базовым переводом — это лишь небольшая часть стоимости проверки пост-квантовых схем сегодня.

Она не заменяет будущие схемы пост-квантовой подписи, которые остаются важными для долгосрочного и полного решения на Ethereum. Однако, устраняя долгосрочную экспозицию публичных ключей, она предлагает практическую, постепенную защиту, которую пользователи и разработчики кошельков могут внедрять уже сегодня, а приватные мемпулы обеспечивают максимально эффективную защиту от оставшихся утечек на уровне мемпула.