原文
Towards Native Post-Quantum Private ETH — Pierre (2026-06-24)
@winderica、@mmjahanara、Kenny Paterson、Varun Maram、@keewooleeの皆様からの貴重なご提案とフィードバックに感謝いたします。
HNDLを超えて
L1ストローマップは、L1ネイティブなポスト量子 (PQ)プライベート転送を北極星として示す道筋を提示しました。今日、本番環境に展開されているプライバシーソリューションは、楕円曲線ベースのプリミティブ、または不十分なハードウェア仮定に依存しています。一部の意見では、現時点ではハーベスト・ナウ・デクリプト・レイター (HNDL) 攻撃からの保護でプライベート転送プロトコルには十分であるとされています。しかし、暗号的に関連する量子コンピュータが展開されれば、攻撃者は検出不可能な攻撃を実行し、壊滅的な資金損失を引き起こす可能性があります。そのような状況では、いかなる回復メカニズム(例えばターンスタイル)も、ユーザーのプロトコルへの信頼が永久に損なわれない限り、重要なソーシャルレイヤーの調整を必要とするでしょう。
この投稿では、L1にポスト量子プライバシーを組み込むために必要となる暗号学的作業の種類を簡潔に説明しようと試みます。これは単純なことではありません。Sapling(約62万のシールドされたZEC、今日の価格で約2億5000万ドル相当)がそのプリミティブのインスタンス化に関して行った選択を見ると、HNDL攻撃からユーザーを保護することや、単に証明システムを切り替えるだけでは、ポスト量子シールドETHを提供するために必要な作業を正確に説明できない理由がわかります。
古典的な暗号プリミティブを使用しながら、ポスト量子ターンスタイルに備えるだけでは不十分でしょう。ターンスタイルは本質的に反応的、非遡及的、非予防的な技術であり、攻撃者がコインの価値を破壊する能力を防ぐものではありません。また、ターンスタイルには時間がかかり、決して完全に完了することはありません。偽造が行われなかったとユーザーが確率的に確信できるのは、何年も先になるでしょう。さらに、ターンスタイルはユーザーのトランザクション能力を停止させることで、ユーザーに大きな影響を与えます。これらは全体として、本質的にソーシャルレイヤーの防御メカニズムであり、プロトコルからの真の離脱を妨げます。
| 用途 | プリミティブ | セキュリティ要件 | インスタンス化 |
|---|---|---|---|
| ノートプレーンテキストの暗号化 | 非対称暗号 | IND-CCA2およびIK-CCA2 | DHAES |
| 支出承認 | 再ランダム化可能署名 | SURK-CMA | Jubjub上のRedDSA |
| 非インフレ(および非改ざん性) | 署名鍵から検証鍵への単一形態性を持つ署名 | 非適応型SU-CMA、鍵単一形態性 | Jubjub上のRedDSA |
| ノートへのコミット | コミットメントスキーム | バインディングと隠蔽 | ウィンドウ付きペダーセンコミットメント(隠蔽はOK) |
| 値へのコミット | 線形準同型コミットメントスキーム | バインディングと隠蔽 | 準同型ペダーセンコミットメント(隠蔽はOK) |
| 多様化アドレス | 多様化ハッシュ | リンク不可能性 | グループハッシュJubjub曲線 |
| 証明 | SNARK | 統計的ゼロ知識 (zk)、完全性、知識健全性 | BLS12-381上のGroth16(zkはOK) |
ZCashのSaplingのポスト量子対応状況に関する非網羅的な表。これはSaplingの証明システム(Halo2、Pasta曲線)、鍵素材の導出、ナリファイア計算式を変更したOrchardにも適用されますが、Orchardは間もなく非推奨となります。
この投稿では、量子攻撃者に対処する場合のみを考慮します。ステートレス互換性と検証コストの問題に対する解決策は、別の記事で評価します。
証明システム
ハッシュベースの証明システムは、高速かつ十分に理解されている段階に達しています。格子ベースのシステムを活用しないということは、私たちのシールドプールプロトコルが、SNARKフレンドリーな格子ベース準同型(証明並列化の能力を含む)を使用して、ユーザーが最終残高出力を証明する能力を提供しない可能性が高いことを意味します。
しかし、これは問題ありません。証明並列化は、ノート統合や複数受取人への送信におけるジョイン・スプリットステートメントの不適切さを克服する方法として考案されました。今日、ハッシュベースのSNARK(WHIR、STIR)の進歩により、より大きな回路を証明し、従来の2入力/出力設定から脱却することが可能になり、そのような証明並列化戦略の関連性は低下しています。したがって、ノートのマークルパスとコミットメント、入出力値、ナリファイアの導出、支出承認署名の有効性に対するチェックを強制する、実績のあるジョイン・スプリットzkSNARKステートメントがあれば、既存のプロトコルと同等のUXで、必要なコア機能を実現できるはずです。
このステートメントのインスタンス化は、ナリファイアとノートコミットメントに選択するハッシュ関数に決定的に依存します。使用できるSNARKフレンドリーなハッシュ候補はいくつかあります。Poseidonに関する最近の研究は、注意が必要であり、統合するにはさらなる暗号解析研究が必要であることを示唆しています(こちらとこちらを参照)。その他の選択肢としては、BLAKE3のような算術化フレンドリーではないハッシュを使用することも含まれます。
秘密の配布
暗号化
トランザクション検出とは、受信者が自分宛の公開暗号文を検出できることを指します。これはDoS耐性があり、リンク不可能性を提供し、信頼点を最小限に抑え、リソース制約のあるデバイスでも実用的であることを確認する必要があります。主なタスクは、鍵合意 (KA) を鍵カプセル化メカニズム (KEM) に置き換えることです(両者は共有鍵素材生成アルゴリズムにおけるランダム性の寄与方法が異なります)。現在、NIST PQCプロセスはKEMのみを標準化しており、ポスト量子KAは対象外です。
Kyberは、私たちの主要なKEM候補です。しかし、比較的最近まで、暗号学は、その匿名性(別名ANO-CCA、攻撃者がカプセル化された鍵がどの受信者宛であるかを判断できないこと)と、そこから派生したPKEスキームのポスト量子設定での匿名性を確立する必要がありました。Kyberは当初、ネストされたハッシュを使用するより複雑な藤崎-岡本 (FO) 変換を持っていました。しかし、NISTは最終的にこれを簡素化することを決定し、研究者がそのANO-CCAセキュリティを確立する能力を容易にしました。研究により、ネストされたハッシュに対してもANO-CCAセキュリティ証明が得られることが最終的に示されました。全体として、現在のNIST標準ML-KEMは、KEM-DEMパラダイムで適切なDEMと組み合わせることで、匿名で堅牢なPKEを提供します。
匿名性とは直交しますが、匿名性と密接に関連して、秘密の配布に使用されるスキームは堅牢性も満たす必要があります。これにより、当事者がそれが暗号文の意図された受信者であると判断できるようになります。つまり、試行復号が誤らないことを保証します。これは自然な特性ではありません。例えば、任意のプレーンテキストmに対して、任意のClassic McEliece秘密鍵でmに復号される暗号文cを構築できることが示されました。しかし、ML-KEMは堅牢であることが判明しているため、この状況はそれほど深刻ではありません。
これはHNDL攻撃の暗号化側のみを解決することに注意してください。完全な防御には、ノートコミットメントとナリファイアを量子安全なプリミティブでインスタンス化する必要があります。
ハイブリッドスキーム
古典的アルゴリズムとポスト量子アルゴリズムを組み合わせたハイブリッド暗号スキームは、秘密を配布するために使用される非対称暗号スキーム(ここでは非対称鍵交換プロトコルと対称暗号スキームを組み合わせるという意味での「ハイブリッド」公開鍵暗号スキーム)を構築するために、当初は保守的なセキュリティスタンスを取るために必要となる可能性が高いでしょう。純粋なポスト量子対ハイブリッド(例:ML-KEMと従来のECDHグループの組み合わせ)、CFRG定義対NIST定義の楕円曲線、異なるセキュリティレベル(NISTカテゴリ3対カテゴリ5)など、いくつかの軸で柔軟性があります。対称暗号部分は今日と類似したままであるべきですが、より長い鍵長を使用するかどうかを評価する必要があります。
復号
しかし、プライバシー保護プロトコルの復号トライレマ、すなわち匿名性、低遅延、少ない帯域幅使用量の問題が残っています。ポスト量子スキームへの切り替えは、このトライレマをさらに重要にします。
北極星は、秘匿メッセージ取得 (OMR) を大規模に展開することでしょう。このような構成は量子安全ですが、手がかり(すなわち、必要なオンチェーンコスト)と検出鍵のサイズがすでに高すぎて、信頼できるL1候補にはなりません。また、サーバーコストは最先端の構成でも依然として主要なボトルネックであり、近い将来にそのような技術をどのように活用できるかは不明確です。秘匿メッセージ検出 (OMD、秘匿的にインデックスを取得するためのOMRの制限されたバージョン) とPIRを組み合わせてペイロードをフェッチすることで、検出と取得を分離するオプションがあります。これら2つのタスクを分離することで、サーバーはOMRの集中的な計算要件から解放されます。それでも、これら2つを組み合わせても、今日の手がかりサイズは減少しません。
一つの潜在的な道筋は、ファジーメッセージ検出 (FMD) アルゴリズムを活用することです。これらは、素朴なスキャンに比べて無視できない改善を提供し、計算要件を大幅に低減しながら、小さな手がかりサイズを維持します。しかし、FMDのポスト量子バージョンは、手がかりのサイズが1桁大きくなります。また、このオーバーヘッドは、FMDが様々な統計的攻撃を受けやすいことから、控えめな確率的プライバシー保証という代償を伴います。AztecのタグインデックスやStarknetプライバシーレイヤーのチャネルなど、他の最近のアプローチでは、共有秘密鍵を使用して2者間のトランザクションを順次インデックス付けし、その後のすべての交換をリンク不可能な状態に保ちます。この制限は、初期化ステップでアリスがボブと対話する意図があることを開示する必要があることです。
暗号文を送信するために帯域外チャネルに頼るという選択肢は常にあり、これによりトランザクションから完全に削除することが可能になります。
したがって、ポスト量子コンテキストでは、今日、試行復号を使用するよりも良い方法はないかもしれません。古典的なコンテキストでも、今日のほとんどのプライバシー保護プロトコルは、認証タグと組み合わせた試行復号の一種を使用しています。帯域幅コストを削減するために、ZCashライトクライアントは、コンパクトにフォーマットされたトランザクションをダウンロードして、試行復号を使用して状態を同期します。匿名性を提供するために、意図されたトランザクションを検出すると、ユーザーは正しいクエリされたものと並行してデコイリクエストを挿入することを推奨されます。イーサリアムの場合、PIRとネットワーク匿名性と組み合わせることで、この経路が今日のトライレマに対する最良のポスト量子ソリューションとなるかもしれません。
署名
改ざん可能なzkSNARKの場合、トランザクションのハッシュに署名し、それをzkSNARKステートメントにバインドするために、エフェメラル鍵ペアが必要になるかもしれません。良い点は、署名がワンタイムであるため、選択メッセージ攻撃 (SU-CMA) 下での非適応型強力偽造不可能性セキュリティで十分であることです。また、バインディング署名は回路内検証を必要としないため、ハッシュベースのスキームと比較して署名サイズがはるかに小さい格子ベースのスキーム(または、格子を本当に使いたくない場合はワンタイムハッシュベース署名)を使用できる可能性があります。
支出承認スキームの場合、署名スキームの選択は、実際にこれらの署名を生成する必要があるハードウェアウォレットによって制約されます。実際、一部の人々は、あるハッシュのプリイメージの知識証明を選択することを提案しており、これにより署名を算術化したり、どのスキームを使用するかを決定したりする手間を省くことができます。しかし、将来のウォレットインフラが再帰的ポスト量子zkSNARKの証明をサポートし標準化するか、また特定のスキームがL1に組み込まれるものと互換性があるかは不明確です。これはまた、長年にわたって行われてきたすべてのウォレット強化作業、およびハードウェアウォレットでの署名生成が伴う様々な攻撃ベクトルを放棄することを意味します。
ステートフル性に関して、ほとんどのハードウェアウォレットは不揮発性メモリを搭載しており、ステートフル署名とステートレス署名の両方をサポートできることに注意してください。ステートフルな設計は、より短い署名と潜在的な最適化を提供します。しかし、署名者が定期的で予測可能な間隔で署名しない場合、ステートフル性はいくつかの問題を引き起こします。ユーザーは鍵をバックアップする必要がありますが、バックアップを使用すると状態の再利用につながり、偽造が可能になります。
SNARK化に適したステートレスなハッシュベース署名スキームはいくつかあり、これに関してビットコイン向けに研究も行われています。一つの選択肢は、小さな署名検証予算を提供するパラメータセットでSPHINCS+を使用することです。特に興味深いパラメータセットは、ファームウェア署名のために検討されているものを再利用することでしょう。これはSPHINCS-の設計に影響を与えました。
ワンタイム署名 (OTS) スキームの鍵ペアを何度も使用するトリックも考えられます。完全に隠蔽するzkSNARKを考えてみましょう。OTSは証人の一部としてzkSNARK内に隠されたままなので、支出証明の偽造は、秘密鍵の知識なしに新しいトランザクションハッシュに対して有効なOTSを生成することに帰着し、回路外でOTSが公開されない限り、これは依然として困難です。しかし、これはプライバシーと資金損失の両方を保護するために、支出承認署名が絶対に公開されないことを要求する異なる脅威モデルを意味します。
鍵素材
擬似乱数関数 (PRF) のみを使用して鍵素材を設計することが可能です。適切に選択されたPRFは量子安全です。これは、例えばZCashプロトコルの初期バージョンであるSproutの戦略でした。格子ベースのプリミティブは、多様化アドレス機能の再設計に役立つかもしれませんが、そのような設計が実際にどのように機能し、ハッシュベースの証明システムとどの程度互換性があるかは不明確です。
強化
ETHは何十億ドルもの価値を確保しているため、プライベート共有状態のようなものを可能にするエキゾチックなプリミティブについては議論を避けました。より複雑な暗号化と機能を考慮しない理由は3つあります。(1) 離脱を念頭に置いてプロトコルを設計したい、(2) 下流の形式検証作業を容易にしたい、(3) 今日何十億ドルもの価値を確保している、すでに理解され本番環境に展開されているプリミティブを再利用したい、というものです。
考慮すべき追加の保護策として、段階的なプール上限解除を設計することも考えられます。プロトコルレベルで定義されるこの段階的な上限解除は、組み込まれたプールの初期段階における壊滅的な規模の損失を最小限に抑えるために、預金量を徐々に増やすことで構成されます。
7件の投稿 - 3人の参加者