Вы можете подумать, что сделать Ethereum квантово-устойчивым — это просто вопрос замены вашего закрытого и открытого ключа (что само по себе уже не тривиально!), но на самом деле для достижения квантовой безопасности необходимо переосмыслить криптографическую основу на каждом уровне системы. Давайте рассмотрим некоторые проблемы, над которыми работали исследователи и команды клиентов (ожидается краткость и упрощения)... Фонд: Подписи BLS Начнем с криптографической основы: валидаторы Ethereum в настоящее время используют так называемые подписи BLS для подписания блоков и голосования по состоянию цепи. С ~1M валидаторов, создающих подписи каждые 12 секунд, сети нужны эти подписи, которые быстро проверяются, компактны и могут быть проверены любым человеком на любом устройстве. BLS имеет критическую суперсилу: агрегация. Тысячи индивидуальных подписей валидаторов математически объединяются в компактную подпись, которая доказывает, что все подписали. Это делает сеть легковесной — вместо того, чтобы транслировать десятки тысяч подписей, вы отправляете всего одну. Каждый узел может быстро ее проверить. Проблема: Квантовые компьютеры ломают BLS Но квантовые компьютеры ломают BLS. Замена должна быть: (1) квантово-устойчивая, (2) быстро проверяемая на легковесных устройствах, (3) достаточно компактная для сетей с ограниченной пропускной способностью и (4) агрегируемая среди десятков тысяч валидаторов. Ни одна существующая постквантовая схема не предлагает все четыре свойства изначально. Решение: leanSig и leanMultisig Исследователи работали над leanSig: схемой подписи на основе хеширования (в частности, на основе XMSS), которая устойчива к квантовым атакам и оптимизирована для нужд Ethereum. Она использует изменяемые хеш-функции, такие как Poseidon2, достигает компактных представлений и предназначена для быстрой проверки — критически важной для легковесных клиентов. Но leanSig сама по себе все еще не агрегируема, как BLS. Так как же мы агрегируем подписи? Вместо того, чтобы пытаться сделать хеш-подписи агрегируемыми изначально, исследователи придумали leanMultisig, который использует zkVM для создания агрегации. Агрегаторы могут выполнять все проверки подписей внутри zkVM и создавать компактное SNARK-доказательство: "Я проверил все эти подписи leanSig, и они действительны." Это доказательство становится агрегированной подписью — крошечной, быстрой для проверки, квантово-устойчивой. Начинаются каскадные проблемы... Кто становится агрегатором? Генерация zkVM-доказательств для тысяч подписей в реальном времени требует серьезной вычислительной мощности. Если только высокопроизводительные машины могут агрегировать, вы рискуете централизацией: агрегация становится специализированной ролью, доступной только хорошо обеспеченным операторам. Как сохранить децентрализованную агрегацию, когда барьер для оборудования выше? Взрыв пропускной способности Проблемное пространство расширяется не только до подписания и агрегации. Постквантовые, основанные на хешировании подписи могут быть в 10-50 раз больше, чем BLS. Даже с компрессией zkVM вы передаете значительно больше данных. Валидаторам нужна лучшая пропускная способность. Сетевые протоколы нуждаются в оптимизации. Каждый байт имеет значение на глобальном уровне. ...