Ключевые выводы:
- Виталик Бутерин отобразил четыре квантовых риска.
- Ethereum может заменить BLS и KZG.
- Рекурсивная агрегация STARK направлена на сокращение расходов.
26 февраля соучредитель Ethereum Виталик Бутерин опубликовал дорожную карту квантовой устойчивости, в которой указал исправления для четырех уязвимых компонентов сети. По его словам, долгосрочному квантовому риску подвержены подписи консенсуса, доступность данных, учетные записи, принадлежащие внешним пользователям, и доказательства нулевой осведомленности.
Предложение устанавливает поэтапный план по укреплению Ethereum до появления крупномасштабных квантовых машин.
Квантовые вычисления перешли от теории к прикладным исследованиям, что поднимает вопросы о стойкости криптографии. Ethereum опирается на эллиптическую кривую и криптографию на основе пар, которую современные машины не могут сломать.
Однако Бутерин утверждает, что подготовка должна начаться заранее, поскольку изменения протокола требуют координации, тестирования и обновления сети валидаторов и разработчиков.
Консенсусные подписи Сдвиг лица хэш-функции
Виталик Бутерин написал на сайте X, что в настоящее время уровень консенсуса Ethereum зависит от подписей Боне-Линна-Шахама, которые квантовые алгоритмы могут ослабить. Он предложил заменить их подписями на основе хэша в рамках “бережливого” дизайна консенсуса.
Эта модель будет объединять подписи с помощью доказательств STARK, чтобы сохранить эффективность и отказаться от криптографии, основанной на сопряжении”.
Сооснователь Ethereum предупредил, что выбор следующей хэш-функции чреват долгосрочными последствиями. Обычное хэширование не соответствовало целям Ethereum по пропускной способности.
Poseidon2 недавно подвергся критике со стороны ученых, в то время как Poseidon1 избежал этих опасений, но работал медленнее. Он также предложил BLAKE3 в качестве альтернативы, основанной на традиционной криптографии.
Такой переход позволит уменьшить зависимость от алгебраических конструкций, уязвимых для алгоритма Шора. Тем не менее, это потребует скоординированного обновления клиентов и тщательного планирования обратной совместимости. Прежде чем окончательно утвердить Lean, он предложил сделать промежуточный шаг с меньшим количеством подписей на слот, чтобы облегчить давление на реализацию.
Компромиссы между доступностью данных и безопасностью учетных записей
Бутерин объяснил, что в настоящее время Ethereum использует обязательства Кате-Заверухи-Гольдберга для проверки данных блобов. Эта структура позволяет использовать кодирование стирания и двумерную выборку доступности данных. По его словам, замена ее на доказательства на основе STARK технически возможна, но потребует значительных инженерных усилий.
KZG предлагает свойства линейности, которые упрощают проверку распределенных сгустков. Системам STARK не хватало этого свойства, что усложняло такие модели масштабирования, как двумерная выборка. Поэтому дорожная карта Ethereum была направлена на максимизацию одномерной выборки, а не на агрессивное увеличение пропускной способности.
Что касается учетных записей пользователей, Бутерин указал на подписи алгоритма цифровой подписи на эллиптических кривых (ECDSA) как на еще одну потенциальную угрозу. Он выступил за добавление собственной абстракции учетных записей, чтобы учетные записи могли использовать квантово-устойчивые алгоритмы. По текущим оценкам, для проверки подписи на основе хэша требуется около 200 000 газов, что значительно превышает сегодняшние затраты.
Решетчатые сигнатуры остаются еще более тяжелыми в вычислительном плане. Однако он сослался на работу над векторными математическими прекомпиляторами, которые могут существенно снизить расход газа. Долгосрочное решение проблемы включает в себя рекурсивное агрегирование на уровне протокола, позволяющее сжать проверку подписи в одно доказательство.
Агрегация рекурсивных доказательств как основная стратегия
Бутерин написал на сайте Ethereum Research, что квантово-резистентные доказательства гораздо дороже, чем текущие лаконичные неинтерактивные аргументы знания с нулевым знанием. Типичная проверка SNARK потребляет от 300 000 до 500 000 газа, в то время как проверка STARK может достигать 10 миллионов газа. Такой профиль затрат делает прямую замену непрактичной для протоколов конфиденциальности и систем второго уровня.
Предложенное им решение основывается на фреймах проверки, представленных в Предложении по усовершенствованию Ethereum 8141. Транзакции выполняли бы проверку подписи внутри изолированных фреймов, к которым не могли бы получить доступ внешние контракты. Создатели блоков или участники сети могли бы затем заменить эти фреймы рекурсивным STARK, проверяющим все операции в совокупности.
Вместо того, чтобы проверять каждое доказательство по отдельности на цепочке, одно агрегированное доказательство будет проверять тысячи одновременно. Он предложил, чтобы узлы могли генерировать доказательства на уровне mempool через фиксированные интервалы времени, снижая накладные расходы на пропускную способность и предотвращая раздувание блоков. Этот дизайн был направлен на перенос тяжелых вычислений за пределы цепи, сохраняя при этом детерминированную проверку.
Исследователь Ethereum Foundation Джастин Дрейк ранее, в августе 2025 г., представил “Lean Ethereum” как основу для квантовой безопасности. Дорожная карта Бутерина соответствует этому направлению, но расширяет его до счетов и доказательств прикладного уровня. Таким образом, предложение связало консенсус, данные и изменения в исполнении в один скоординированный переход к безопасности.
В дорожной карте Ethereum также упоминается текущая работа над “Strawmap”, направленная на сокращение времени слотов и уменьшение задержек при завершении. Бутерин сказал, что он ожидает постепенного сокращения задержки подтверждения наряду с усовершенствованием криптографии. Эта связь указывает на то, что развитие производительности и безопасности будет происходить параллельно, а не последовательно.
Непосредственно следующий шаг заключается в выборе хэш-функции и развертывании ранней абстракции счета. Разработчики, вероятно, будут обсуждать компромиссы в ходе предстоящего обсуждения Предложения по улучшению Ethereum. В дорожной карте не указана фиксированная дата активации, но эксперименты на уровне протокола могут появиться во время следующего цикла обновления.
