L2 시퀀서를 위한 최소 포스트 양자 VRF를 향하여(하이브리드 암호화 메모리풀을 보완)
하이브리드 암호화 메모리풀(HEM)에 대한 최근 논의는 이더리움이 무작위성과 적대적 모델을 처리하는 방식에 근본적인 차이가 있음을 보여줍니다. 이 글에서는 L2 시퀀서, AA 번들러, zk-prover 할당과 같은 단일 운영자 또는 소규모 위원회 신뢰 도메인을 특별히 대상으로 하는 보완적인 암호화 기본 요소, 즉 최소 결정론적이고 PQ 검증 가능한 VRF를 살펴봅니다.
목적은 임계값 기반 L1 비콘 작업과 경쟁하는 것이 아니라, 가벼운 기본 도구가 해당 작업에 적합한 도구일 수 있는 경우를 명확히 하는 것입니다.
1. 적대적 모델: L1 대 L2
글로벌 L1 난수 비콘의 경우 적대적 선택 공간은 다음과 같습니다.
Choices_L1 ≈ 2^k 제안자가 기부금을 보류할 수 있으므로 위원회 규모가 k 인 경우입니다.
예측 불가능한 RANDAO는 이를 대략 다음과 같이 요약합니다.
Choices_threshold ≈ k + 1이러한 감소는 다음과 같은 경우 에만 의미가 있습니다.
적대자는 다당제입니다.
참여는 비허가형(Permissionless) 합니다.
원천징수는 경제적으로 합리적이다.
이와 대조적으로 일반적인 L2 신뢰 도메인은 매우 다르게 동작합니다.
시퀀서 세트는 종종 단일 연산자(또는 2~5개 노드)입니다.
운영자는 이미 배치 주문을 제어하고 있습니다.
지연 예산은 밀리초 미만입니다.
순차적 일관성이 중요합니다.
Liveness 상실은 치명적이다.
따라서 효과적인 적대적 선택 공간은 다음과 같습니다.
Choices_L2 ≈ 1우리가 이것을 받아들이면 암호화 요구 사항이 상당히 바뀌게 됩니다.
이러한 환경에서 스레스홀드(Threshold)/DKG 솔루션은 보안 개선보다 더 취약해질 수 있습니다.
2. L2에 스레스홀드(Threshold) VRF 및 DKG가 과도할 수 있는 이유
하이브리드 암호화 메모리풀은 공개 선택권을 제거하고 상태 루트의 예측 불가능성을 개선하도록 설계된 임계값 기반 메커니즘을 제안합니다. 이는 전역 적대적 모델에 강력한 설계입니다.
그러나 L2 컨텍스트의 스레스홀드(Threshold) 체계는 다음을 도입합니다.
DKG 또는 무음 설정 회전 복잡성,
>t 온라인 위원회 구성원에 대한 의존성,
다중 지점 Liveness 실패,
L2 파이프라인과 호환되지 않는 지연 오버헤드
각 회전마다 다시 암호화해야 합니다.
이러한 실패 모드는 종종 L2 롤업에서 사용되는 결정적 시퀀싱 및 증명 파이프라인과 호환되지 않습니다.
이는 L2 운영자의 신뢰 모델에 맞는 훨씬 더 간단한 기본 방식을 살펴보는 계기가 되었습니다.
3. 소규모 신뢰 도메인을 위한 최소 PQ 준비 VRF
이 구조는 의도적으로 단순하게 만들어졌습니다.
임계값 편향이 불가능하지도 않고, 무작위성 신호도 아니며, 적대적인 다자간 엔트로피를 해결하도록 설계되지도 않았습니다.
그 목적은 다음과 같습니다.
L2 상태 전환의 결정론적 재현성,
빠르고 운영자-현지 약속
PQ 검증 가능한 과거 감사 가능성,
DKG가 없고, 위원회가 없고, Liveness 결합이 없습니다.
주어진:
개인 고엔트로피 시드
(봉인되거나 신뢰할 수 있는 엔트로피 소스에서 파생됨, 구현 정의),공개 메시지 메시지 (배치 ID, 도메인 구분 기호).
VRF와 유사한 출력:
Y = H(s, msg) 여기서 H 는 표준 대칭 원시로 구성된 결정론적 해시 체인입니다.
(예: keccak256 → SHAKE256 → BLAKE2s → keccak512)
정확한 파이프라인은 구현에 따라 정의되며 PRF로 처리됩니다.
보조 증명 구성 요소:
최소 메타데이터(체인에 대한 해시 커밋 포함)를 포함하는 커밋
π고전적인 검증 가능한 서명:
σ_cl = Sign_secp256k1(Y)양자 이후 서명:
σ_pq = Sign_MLDSA65(Y || π)
확인:
PQ 서명 확인:
MLDSA65 .Verify (pub_pq, Y || π, σ_pq)다시 계산:
Y' = H(s, msg)(선택 사항) 이더리움 가상 머신(EVM) 호환성을 위해
σ_cl확인하세요.다음 경우에만 수락:
Y' == Y
속성:
결정론적
곡선 없음
대칭 해시 전용
스레스홀드(Threshold) 암호화 없음
Liveness 커플링 없음
PQ 감사 가능
지연 시간 <1ms 가능
이는 기존 VRF보다 검증 가능한 PRF 에 더 가깝지만 L2 운영 요구 사항을 충족합니다.
4. 하이브리드 암호화 메모리 풀과의 관계
다음 두 가지 기본 원칙은 분리된 위협 모델을 다룹니다.
HEM은 다음을 제공합니다.
사용자에 의한 선택적 공개 제거,
암호화된 거래 MEV 벡터에 대한 저항성,
상태 루트에 대한 L1 수준 예측 불가능성
편견 없는 비콘 열망과의 호환성,
글로벌 다자간 환경에 필요한 스레스홀드(Threshold) 속성입니다.
결정론적 PQ-VRF는 다음을 제공합니다.
재현 가능한 시퀀싱 무작위성,
결정론적 배치 → 증명 → 결제 동작,
고전 암호학과는 별개로 PQ 검증이 가능한 기록
위원회가 없고, DKG도 없고,
단일 운영자 도메인에 가장 적합한 동작입니다.
따라서 두 기본 요소는 경쟁하는 것이 아니라 보완적 입니다.
HEM은 전역적 적대적 무작위성을 안정화합니다.
최소 PQ-VRF는 지역적 결정론적 역할을 안정화합니다.
5. L2/AA/zk-prover 네트워크의 잠재적 관련성
많은 L2 시스템은 암묵적으로 다음을 요구합니다.
재현성 > 편향성 없음,
결정론 > 엔트로피,
감사 가능성 > 예측 불가능성,
단순성 > 글로벌 조정,
PQ 장수 > 고전적 곡선 가정.
밀봉된 시드, 결정론적 동작, PQ 검증 가능한 커밋먼트를 갖춘 가벼운 기본형이 가장 간단하고 정확한 솔루션일 수 있습니다.
특히:
시퀀서 회전
배치 ID 선택
zk-prover 할당
애그리게이터/번들러 스케줄링
스레스홀드(Threshold) 무작위성을 전혀 정당화하지 못할 수도 있습니다.
6. 열린 질문(토론용)
(1)
단일 운영자 도메인이 적대적 모델이 단일 행위자로 축소되더라도 여전히 스레스홀드(Threshold) 무작위성을 채택해야 한다는 것을 시사하는 이론적 결과가 있습니까?
(2)
HEM의 암호화된 상태 루트 예측 불가능성을 L2에서 안전하게 사용할 수 있을까요? 아니면 롤업 파이프라인의 타이밍 및 Liveness 제약으로 인해 L2 무작위성을 L1과 구조적으로 분리해야 할까요?
(3)
편향성이 중요하지 않지만 재현성과 과거 검증 가능성이 필요한 영역에서 결정론적 PQ 검증 가능 VRF가 스레스홀드(Threshold) VRF보다 엄격하게 열등합니까?
(4)
암호화된 메모리 풀의 예측 불가능성과 결합하면 통합된 PRF 기반 설계가 두 가지 역할을 모두 포괄할 수 있을까요? 아니면 문제 도메인이 근본적으로 직교적일까요?
7. 요약
이 게시물에서는 다음과 같은 환경에 대한 최소 VRF 유사 기본 요소를 제안합니다.
위원회는 불필요한 취약성을 도입합니다.
편견 없음은 중요하지 않습니다.
결정론적 순서가 필수적입니다.
PQ 감사 가능성이 필요합니다.
대기 시간 예산이 매우 부족합니다.
신뢰 도메인은 본질적으로 중앙 집중화되어 있습니다.
이는 스레스홀드(Threshold) 무작위성이나 하이브리드 암호화 메모리풀을 대체하는 것이 아닙니다.
이는 다른 적대적 모델을 위해 설계된 보완물 입니다.
커뮤니티의 피드백, 특히 스레스홀드(Threshold) 과 결정론적 구성의 장기적 수렴(또는 발산)에 대한 피드백을 크게 환영합니다.
