Як дизайн квантово безпечного гаманця може захистити користувачів Ethereum за допомогою ефемерних ключів та абстракції облікових записів...

Вчені пропонують нову архітектуру квантово безпечного гаманця, яка повторно використовує сучасні інструменти Ethereum для зменшення ризику майбутніх квантових атак без зміни консенсусу або примітивів підпису.

Квантовий ризик для гаманців Ethereum та ECDSA

Загроза, яку становить квантове обчислення для криптографії на основі еліптичних кривих, стає більш конкретною, хоча криптографічно релевантна машина ще не існує. Однак алгоритм Шора вже показує, наскільки ефективно він може розв’язувати задачу дискретного логарифму і, відповідно, зламати ECDSA.

Фонд Ethereum запустив спеціальні дослідження у сфері пост-квантової криптографії, і був намічений ширший план дій у цій галузі. Більше того, розробники по всій екосистемі досліджують альтернативи, які могли б зміцнити Ethereum до появи масштабного квантового апаратного забезпечення.

На Ethereum зовнішній обліковий запис (EOA), який ніколи не відправляв транзакцію, фактично є квантово стійким, оскільки його публічний ключ прихований за хешем. Однак, як тільки EOA підписує транзакцію, публічний ключ стає назавжди відкритим у мережі, і ця адреса фактично вважається вразливою з точки зору квантової стійкості.

Обмеження поточних зусиль у сфері пост-квантових підписів

Кілька проектів прагнуть впровадити схеми пост-квантових підписів у EVM, з Falcon і Poqeth як яскравими прикладами. Ці рішення є важливими для довгострокової безпеки. Однак перевірка на ланцюгу залишається дорогою — коштує понад 1 мільйон газу за перевірку Falcon, тоді як хеш-орієнтовані підписи наразі коштують близько 200 тисяч газу.

Ці витрати можуть знизитися, якщо у майбутньому до EVM будуть додані пропозиції EIP-8051 і EIP-8052. Крім того, ефективність використання газу — не єдина перешкода: стандартизація, інтеграція з апаратними гаманцями та перевірена стійкість до класичних криптографічних атак залишаються складними бар’єрами для будь-якого нового стандарту підпису ETH.

Навіть якщо міцний пост-квантовий підпис буде технічно готовий, стандартизація займе час, а повна заміна ECDSA вимагатиме змін у протоколі. Замість повного відкидання ECDSA, тут пропонується зробити кожен ключ ECDSA одноразовим, використовуючи його лише один раз.

Проектування квантово безпечних епhemeral ключів

Основна ідея базується на абстракції облікового запису, яка розділяє постійну ідентичність користувача від ключа підпису. Смарт-контракт-гаманець зберігає статичну ідентичність у мережі, тоді як адреса авторизованого підписувача змінюється після кожної транзакції, фактично створюючи епhemeral ключові пари.

Цей дизайн не заважає квантовому комп’ютеру відновити приватний ключ, пов’язаний із минулою транзакцією. Однак він гарантує, що будь-який відновлений ключ буде марним для майбутніх операцій, оскільки смарт-контракт вже перейшов до нового підписувача.

Основний робочий процес простий і природно вписується у логіку смарт-контракт-гаманця. Крім того, він використовує лише існуючу інфраструктуру і не вимагає змін у базових правилах протоколу Ethereum.

Потік транзакцій і ротація ключів ECDSA

Запропонована схема виконує чотири чіткі кроки для кожної транзакції:

Користувач додає нову адресу до calldata свого userOp.

Смарт-контракт-гаманець перевіряє userOp і поточного підписувача.

userOp виконується як зазвичай, наприклад, для переказу токенів.

Нарешті, смарт-контракт оновлює свого авторизованого підписувача на нову адресу.

Після виконання старий приватний ключ, навіть якщо його відновити, не зможе підписати нічого значущого для цього гаманця знову. Лише нова адреса зберігається у смарт-контракті, що відкриває лише хеш-значення і зберігає новий ключ квантово стійким до наступної транзакції.

На практиці покращити досвід користувача можна, генеруючи послідовність нових адрес за допомогою дериваційного шляху BIP44. Цей метод уже є стандартом у популярних гаманцях, тому він зменшує накладні витрати на реалізацію і дозволяє автоматичну ротацію ключів ECDSA під капотом.

Практична реалізація на Ethereum

Цю архітектуру можна реалізувати, внесши незначні зміни до базового дизайну SimpleWallet. Все, що потрібно — це логіка для парсингу наступної адреси підписувача з calldata і функція, яка оновлює власника смарт-контракт-гаманця відповідно.

Вже існує прототип, який демонструє, що ротація підписувачів може бути завершена навіть при скасуванні userOp. Більше того, це вирішує ключову проблему: якщо ротація відбувалася лише при успіху, скасована транзакція все одно розкривала б поточного підписувача і робила гаманець вразливим.

З поточною реалізацією зразкові транзакції показують вартість близько 136 тисяч газових одиниць для ERC20-переказу. Це означає додаткові витрати менше ніж 100 тисяч газу порівняно зі стандартним переказом токенів на цій же мережі. Надмірні витрати значно нижчі за вартість перевірки більшості пост-квантових підписів на ланцюгу сьогодні.

Профіль витрат і переваги Ethereum з абстракцією облікового запису

Витрати газу лише на логіку ротації підписувача, при інтеграції у існуючий гаманець на основі абстракції облікового запису, ще менші і майже не відчутні в контексті складних взаємодій DeFi. Більше того, користувачі отримують усі переваги Ethereum, такі як пакетні операції та гнучкі правила валідації.

Оскільки адреса гаманця залишається сталою, а підписувачі змінюються, цей дизайн зберігає стабільну ідентичність у мережі для децентралізованих додатків, дослідників і контрагентів. Однак він змінює модель безпеки: користувачі повинні переконатися, що їхні налаштування генерації та зберігання ключів можуть безпечно обробляти безперервний потік нових ключів.

Використання механізмів соціального відновлення для ротації ключів

Альтернативним способом досягти подібної поведінки є повторне використання функцій соціального відновлення, вже присутніх у багатьох смарт-контрактних гаманцях. Якщо конкретні обмеження не забороняють, користувач може встановити свою власну адресу як охоронця відновлення і запускати процедуру відновлення після кожної транзакції.

Цей підхід фактично ротає контроль на новий ключ через механізм відновлення. Однак він коштує трохи більше газу, оскільки механізм для аварійного відновлення переорієнтований для рутинного використання. Перевага в тому, що користувачі можуть застосовувати цю квантово-стійку структуру без розгортання власних архітектур у мережі.

Експерименти показують, що додаткові витрати газу для такої операції становлять приблизно 30 тисяч газу, тоді як загальні накладні витрати базової архітектури без відновлення — близько 110 тисяч газу. Крім того, розробники гаманців можуть налаштовувати ці параметри залежно від пріоритетів безпеки та зручності користування.

Ризик витоку у мемпулі та залишкові вразливості

Автори визнають ключову вразливість, яку цей підхід не повністю усуває: ризик витоку у мемпулі під час очікування майнінгу транзакції. У цей період публічний ключ користувача видно у мемпулі, і квантово здатний зловмисник теоретично може відновити приватний ключ і випередити транзакцію.

З урахуванням сучасних можливостей квантових обчислень, цей сценарій наразі не є критичним, оскільки у зловмисника буде дуже короткий час для виконання обчислень. Однак, щоб бути максимально обережними, можна маршрутизувати транзакції через приватні мемпули, що практично усуне цю проблему.

Крім того, розгортання цієї архітектури на мережах Layer 2 допомагає зменшити ризик. L2 зазвичай мають коротший час підтвердження і інші механізми послідовності, що зменшує період, коли публічний ключ відкритий для зловмисника.

Розміщення у ширшому контексті стратегій протидії квантовим загрозам

Цей дизайн слід розглядати як додатковий інструмент у ширшому арсеналі заходів протидії квантовим загрозам в Ethereum. Він не претендує бути найкращим квантово безпечним гаманцем у абсолюті і не замінює довгострокову потребу у нативних пост-квантових підписах у протоколі.

Замість цього, він вирішує одну конкретну проблему: довгострокове відкриття публічного ключа, яке алгоритм Шора міг би використати на рівні виконання. Крім того, він використовує лише існуючу інфраструктуру і знайомі шаблони смарт-контрактів, що дозволяє швидко розгортати без очікування нових EIP або стандартів підпису.

Перспективи квантово безпечних транзакцій на Ethereum

Запропонована схема квантово безпечного гаманця забезпечує безпеку на рівні виконання, ротацією пар ключів ECDSA після кожної транзакції, зберігаючи стабільну адресу смарт-контракту. Вона не вимагає змін у протоколі і додає близько 100 тисяч газу до базового переказу — це лише частина від поточних витрат на пост-квантову перевірку.

Вона не замінює майбутні схеми пост-квантових підписів, які залишаються важливими для повного довгострокового рішення в Ethereum. Однак, усуваючи довгострокове відкриття публічного ключа, вона пропонує практичний, поступовий захист, який користувачі та розробники гаманців можуть застосовувати вже сьогодні, а приватні мемпули забезпечують найсильніший захист від залишкових витоків у мемпулі.