Ви можете подумати, що забезпечення квантової безпеки Ethereum — це просто перемикання приватного і публічного ключів (що саме по собі не є тривіальним!), але квантова безпека насправді вимагає переосмислення криптографічної основи на кожному рівні системи. Дозвольте нам провести вас через деякі проблеми, над якими працюють дослідники та клієнтські команди (очікувана стислість і спрощення)... Фонд: Підписи BLS Починаючи з криптографічної основи, валідатори Ethereum наразі використовують так звані BLS підписи для підписання блоків і голосування у стані ланцюга. З ~1M валідаторами, які створюють підписи кожні 12 секунд, мережа потребує, щоб ці підписи були швидкими для верифікації, компактними та перевіреними будь-ким на будь-якому пристрої. BLS має ключову суперсилу: агрегацію. Тисячі окремих підписів валідатора математично об'єднуються в компактний підпис, який доводить, що всі підписали. Це тримає мережу легкою — замість того, щоб транслювати десятки тисяч підписів, ви надсилаєте лише один. Кожен вузол може швидко це перевірити. Проблема: Квантові комп'ютери ламають BLS Але квантові комп'ютери ламають BLS. Заміна має бути: (1) квантово-стійкою, (2) швидкою для перевірки на легких пристроях, (3) достатньо компактною для мереж з обмеженою пропускною здатністю та (4) агрегованою серед десятків тисяч валідаторів. Жодна існуюча постквантова схема не пропонує всі чотири властивості нативно. Рішення: leanSig і leanMultisig Дослідники працюють над leanSig: схемою підписів на основі хешу (зокрема на основі XMSS), яка є квантово-стійкою та оптимізованою для потреб Ethereum. Він використовує налаштовувані хеш-функції, такі як Poseidon2, досягає компактних представлень і розроблений для швидкої верифікації — критично важливо для легких клієнтів. Але leanSig сам по собі все одно не можна агрегувати, як BLS. Отже, як ми збираємо підписи? Замість того, щоб намагатися напрямно агрегувати хеш-підписи, дослідники придумали leanMultisig, який використовує zkVM для створення агрегації. Агрегатори можуть запускати всі верифікації підписів у zkVM і створювати компактний SNARK-доказ: «Я перевірив усі ці leanSig-підписи, і вони дійсні.» Цей доказ стає агрегованим підписом — крихітним, швидким для перевірки, стійким до квантів. Починаються каскадні виклики... Хто стає агрегатором? Генерація zkVM-доказів для тисяч підписів у реальному часі вимагає значної обчислювальної потужності. Якщо агрегувати можуть лише топові машини, ризикуєте централізацією: агрегація стає спеціалізованою роллю, доступною лише добре забезпеченим операторам. Як утримати агрегацію децентралізованою, коли апаратна планка вища? Вибух пропускної здатності Проблема виходить за межі простого підписання та агрегування. Післяквантові хеш-підписи можуть бути у 10-50 разів більшими за BLS. Навіть із стисненням zkVM ви переміщуєте значно більше даних. Валідаторам потрібна краща пропускна здатність. Мережеві протоколи потребують оптимізації. Кожен байт має значення на глобальному рівні. ...