이더리움(ETH) 거래 서명의 양자 내성 확보
Vitalik Buterin, Justin Drake, Renaud Dubois, Marius Van Der Wijden 및 Zhenfei Zhang과의 유익한 토론에 감사드립니다.
소개
2024년은 양자 컴퓨터 위협이 가속화되는 해로 기억될 것입니다. 선다르 피차이 CEO가 이끄는 구글이 마침내 큰 소리로 트윗을 통해 양자 칩 윌로우를 공개했습니다!
세계에서 가장 유명한 양자 전문가 중 한 명인 스콧 아론슨은 사람들에게 양자 컴퓨터에 대해 걱정해야 하는지 묻는 메시지를 바꿨습니다. 그는 이전에는
... 언젠가는 누군가가 RSA, 디피-헬만, 타원 곡선 암호학에서 격자 기반 암호 또는 양자 공격에 견딜 수 있는 다른 시스템으로 마이그레이션해야 할 필요가 있을 것 같습니다.
라고 말했지만, 이제는
네, 단호하게 지금 이 문제에 대해 걱정하세요. 계획을 세우세요.
라고 말합니다. 비탈릭은 이미 양자 비상 상황에서 대부분의 사용자 자금을 구하기 위한 하드 포크 방법에 대해 작성했습니다. 또한 며칠 전 팟캐스트에서 양자 공격에 취약할 수 있는 이더리움의 4가지 주요 구성 요소를 강조했습니다. 그것들은 다음과 같습니다:
- ECDSA를 사용하는 이더리움 거래 서명
- 합의에서 BLS 서명
- KZG 약정을 활용하는 데이터 가용성 샘플링
- Bandersnatch와 함께 제공되는 Verkle 트리
주의 깊은 독자라면 이 4가지 포인트에 공통점이 있다는 것을 알아차렸을 것입니다. 네, 바로 제가 사랑하는 타원 곡선입니다. 불행히도 타원 곡선의 이산 대수 문제(ECDLP)는 유명한 양자 알고리즘인 Shor's Algorithm에 의해 깨집니다.
이 짧은 메모에서는 첫 번째 포인트, 즉 잠재적인 양자 내성 이더리움 거래 서명의 대체 방안을 분석하겠습니다.
어떤 양자 내성 서명을 사용할까?
이제 합법적인 질문은 어떤 양자 내성(PQ) 서명을 사용해야 할까요? 다행히도 지금 당장 선택해야 한다면 너무 많이 고민할 필요가 없습니다. 이전 이더리움 재단 암호화 전문가인 Zhenfei Zhang은 NIST 양자 내성 암호화 표준화 프로세스에 대해 이미 작성했습니다. 3가지 가능한 서명 선택(2가지는 격자 기반 암호화 활용)을 분석하면 Falcon이 가장 유망한 후보로 보입니다. 검증자의 계산은 Dilithium과 같은 다른 격자 기반 서명 체계와 대략 같을 것입니다(FFT에 의해 제한됨). 그러나 Falcon은 더 작은 서명 크기를 가지고 있습니다.
실행하자!
이제 사용할 서명에 '합의'했으니, 다음 질문은 어떻게 배포할 것인가? 입니다. 여기에는 큰 이분법이 있습니다: 하나는 하드 포크를 의미하고, 다른 하나는 그렇지 않습니다. 좀 더 깊이 살펴보겠습니다.
계정 추상화 방식
논의할 첫 번째 접근 방식은 아마도 가장 우아하고 유망한 계정 추상화(AA)입니다. 저스틴 드레이크와 비탈릭이 여러 차례 옹호했습니다.
AA에 익숙하지 않은 사람들을 위해 설명하면, AA는 이더리움 생태계를 더 유연하고 사용자 친화적으로 만들기 위해 거래와 계정 관리 방식을 변경하는 제안된 개선 사항입니다. 외부 소유 계정(EOA)에 전통적으로 예약된 기능을 스마트 계약으로 이동시켜 EOA와 스마트 계약 계정 간의 차이를 '추상화'합니다.
이더리움 개발자들은 ERC-4337을 포함하여 AA 구현을 위한 다양한 제안을 소개했습니다. 이는 합의 계층 업그레이드 없이 AA를 달성하는 실용적인 솔루션입니다. 사용자 작업 객체와 별도의 번들러 계층을 사용하여 거래를 처리합니다.
이 시나리오에서 이더리움 거래 서명으로 Falcon을 추가하는 것은 Falcon 검증기 계약을 코딩하는 것을 의미합니다. 이 계약은 엔트리 포인트 계약에서 실행되기 전에 사용자 작업 객체의 유효성을 확인합니다.
이것이 모든 것이 완벽할 것 같지만, 적어도 하나의 중요한 근본 문제가 있습니다. Solidity에서 Falcon을 코딩하는 것이 최선의 경험이 아닐 수 있으며(그리고 아마도 상당한 가스 비용이 들 것입니다). 더 나쁜 문제는 Falcon이 13비트 숫자를 다루지만 Solidity는 U256만 지원한다는 것입니다. 후자는 SIMD와 EVMMAX를 EVM에 추가하여 해결할 수 있는 문제입니다.
- 장점: 우아함.
- 단점: 가스 비용이 많이 듭니다.
하드 포크 방식
여기서 논의하는 방법은 기술적으로 아마도 가장 간단할 것입니다. 이는 Marius Van Der Wijden이 이전에 수행한 작업에서 영감을 받은 것입니다. 이는 BLS 서명 대신 Falcon 서명으로 새로운 거래 유형을 도입하는 것입니다. 여기서 가장 큰 문제는 이렇게 하면 새로운 EIP를 통해 선호하는 마스터 서명 체계에 강하게 묶이게 된다는 것입니다.
- 장점: 우아하고 유연한 솔루션입니다.
- 단점: 가스 소비가 많습니다.
하이브리드
정말 유혹적인 접근 방식은 위의 두 가지 방법의 장점을 결합하는 것입니다. 간단히 말해, RIP-7212와 유사한 방식으로 AA를 활용할 수 있지만, 물론 Falcon을 위한 새로운 RIP가 필요할 것입니다. 이를 통해 롤업에서 기능을 실험하고 Falcon이 진정 가는 길인지 결정할 시간을 벌 수 있습니다. 그러나 이 접근 방식은 L1 수준에서 새로운 서명 체계를 도입하는 원래 문제를 해결하지 않는다는 점에 유의해야 합니다.
- 장점: 코딩하기 쉽고 빠릅니다.
- 단점: 임시적입니다(L1 사용 사례를 해결하지 않음).
결론
양자 컴퓨팅의 부상은 Shor's Algorithm에 취약한 이더리움의 거래 서명을 보호하기 위한 긴급한 조치를 요구합니다. 격자 기반 서명 체계인 Falcon은 효율성과 작은 크기로 인해 강력한 후보로 부상했습니다. 계정 추상화, 하드 포크 또는 하이브리드 접근 방식 등의 배포 전략은 각각 고유한 장단점을 제공합니다. 이더리움이 양자 위협에 강력하게 대응하면서도 확장성과 사용성을 유지할 수 있도록 신중한 평가가 필수적입니다.
