Vitalik: Cách bảo vệ tiền của người dùng trong trường hợp xảy ra các cuộc tấn công lượng tử bất ngờ

Tác giả: Vitalik Buterin; Người biên soạn: Deng Tong, Golden Finance

Giả sử ngày mai có thông báo rằng máy tính lượng tử đã xuất hiện và những kẻ xấu đã có quyền truy cập vào chúng và có thể sử dụng chúng để đánh cắp người dùng ' quỹ. Ngăn chặn điều này xảy ra là mục tiêu của mật mã kháng lượng tử (ví dụ: chữ ký Winternitz, STARK) và một khi việc trừu tượng hóa tài khoản được thực hiện, bất kỳ người dùng Bạn có thể chuyển sang sơ đồ chữ ký kháng lượng tử theo điều kiện của riêng mình. Nhưng điều gì sẽ xảy ra nếu chúng ta không có nhiều thời gian như vậy và sự thay đổi lượng tử đột ngột xảy ra trước đó rất lâu?

Tôi nghĩ rằng chúng tôi thực sự đã sẵn sàng tạo một bản fork khôi phục rất đơn giản để giải quyết tình huống này. Blockchain sẽ phải hard fork và người dùng sẽ phải tải xuống phần mềm ví mới, nhưng rất ít người dùng sẽ bị mất tiền.

Những thách thức chính của máy tính lượng tử như sau. Địa chỉ Ethereum được định nghĩa là keccak(priv_to_pub(k))[12:], trong đó k là khóa riêng và priv_to_pub là phép nhân đường cong elip chuyển đổi khóa riêng thành khóa chung. Với máy tính lượng tử, phép nhân đường cong elip trở nên thuận nghịch (vì đây là bài toán logarit rời rạc), nhưng việc băm vẫn an toàn. Nếu người dùng chưa thực hiện bất kỳ giao dịch nào bằng tài khoản của họ thì chỉ có địa chỉ được hiển thị công khai và họ đã an toàn. Tuy nhiên, nếu người dùng thực hiện một giao dịch, chữ ký của giao dịch đó sẽ tiết lộ khóa chung, trong thế giới hậu lượng tử cho phép tiết lộ khóa riêng. Vì vậy hầu hết người dùng đều dễ bị tổn thương.

Nhưng chúng ta có thể làm tốt hơn. Nhận thức quan trọng là, trên thực tế, hầu hết các khóa riêng của người dùng đều là kết quả của một loạt các phép tính băm. Nhiều khóa được tạo bằng BIP-32  tạo ra mỗi địa chỉ từ một chuỗi giá trị băm bắt đầu bằng cụm từ gốc chính. Nhiều phương pháp tạo khóa không phải BIP-32 hoạt động tương tự, chẳng hạn như: Nếu người dùng có ví não, thì đó thường là một chuỗi hàm băm (hoặc KDF có độ khó trung bình) được áp dụng cho một số mật khẩu.

Điều này có nghĩa là Cấu trúc tự nhiên của EIP là phục hồi sau các trường hợp khẩn cấp lượng tử bằng cách hard fork chuỗi:< / mạnh>

1. Khôi phục vụ trộm quy mô lớn rõ ràng đầu tiên Tất cả các khối sau khối;

2. Các giao dịch dựa trên EOA truyền thống bị vô hiệu hóa;

3. Các giao dịch mới đã được thêm vào loại để cho phép các giao dịch từ ví hợp đồng thông minh (ví dụ: một phần của RIP-7560) nếu chưa có sẵn;

4. Để thêm loại giao dịch hoặc mã opcode mới, bạn có thể. Nó cung cấp bằng chứng STARK rằng (i) tiền ảnh riêng x, (ii) hàm băm ID 1 <= i < k từ danh sách k hàm băm được phê duyệt, (iii) địa chỉ công khai A sao cho keccak (priv_to_pub(hashes[i](x)) )[12:] = A. STARK cũng chấp nhận hàm băm của mã xác minh mới này làm tài khoản đầu vào công khai. Nếu bằng chứng vượt qua, mã tài khoản của bạn sẽ được chuyển sang mã xác minh mới và bạn sẽ có thể sử dụng nó làm ví hợp đồng thông minh kể từ thời điểm đó.

Vì lý do hiệu quả sử dụng Gas (xét cho cùng, STARK rất lớn), chúng ta có thể biến STARK thành bằng chứng lô, chứng minh rằng N STARK thuộc loại trên (phải là STARK- of- STARK, thay vì trực tiếp chứng minh nhiều tuyên bố, vì x của mỗi người dùng cần được giữ bí mật với người tổng hợp).

Về nguyên tắc,cơ sở hạ tầng để triển khai một hard fork như vậy có thể bắt đầu vào ngày mai, cho phép Ethereum hoạt động tốt. chuẩn bị trong trường hợp trường hợp khẩn cấp lượng tử xảy ra.