Ethereum (ETH) の研究者は、ウォレットがEVM内部で量子耐性署名を検証できるようにするポスト量子署名設計である SPHINCS- を提案している。
重要ポイント:
- SPHINCS- は、Ethereumウォレットのセキュリティ向けに構築された研究段階の署名検証スキーム。
- この提案は、既存のEVM内で動作させるため、標準的なSHAKE256の代わりにKECCAK256を使用。
- C13バリアントは、ガスコストがおよそ127,000、署名サイズは3,704バイトとされている。
Ethereumウォレット
この提案は6月12日にEthereum Research上で公開され、著者として nicocsgy がクレジットされており、Vitalik Buterin らへの謝辞が記されている。
提案は、SPHINCS-(「スフィンクス・マイナス」と発音)を、Ethereum Virtual Machine 向けに最適化されたステートレスなポスト量子署名検証スキームとして紹介している。
問題は長期的だが、性質としては直接的だ。
現在のブロックチェーンウォレットは、将来的に強力な量子コンピュータによって弱体化されうる暗号学的前提に依存しているため、Ethereumの研究者たちは、そのような攻撃が現実的になる前に移行経路をテストしている。
SPHINCS- は、現状のEVMを前提として構築されており、Ethereumにプリコンパイルの追加やベースプロトコルの変更を求めない設計になっている。
この提案では、標準的な SLH-DSA のハッシュ関数(SHAKE256 を含む)を、Ethereumですでにネイティブに利用可能で Solidity の検証ロジックでも使える KECCAK256 に置き換えている。
関連記事: Anthropic Shuts Claude Fable 5 And Mythos 5 After US Government Order
量子セキュリティ
投稿では、1鍵あたり2^64署名という広い標準ターゲットを維持するのではなく、通常のブロックチェーンウォレットに収まるよう署名バジェットを絞り込んでいる。
SPHINCS- は、1鍵あたり2^14〜2^20署名の範囲に焦点を当て、通常のEthereumアドレスには無制限の署名バジェットは不要だと主張している。
投稿によると、Merge以降のEthereumトランザクションの年間99.9パーセンタイル平均は、アドレスあたり約431件であり、よりウォレット特化のパラメータを支持するデータとなっている。
C13バリアントについては、検証コストが約127,000ガス、署名サイズが3,704バイトと記載されている。
これは SLH-DSA-SHA2-128-24 と比較されており、投稿によれば後者は142,000ガス、3,856バイトの署名サイズに加え、署名処理に約10億7,000万回のハッシュ呼び出しを要するとされている。
この設計は標準ではない。
投稿は、Keccakの使用や署名バジェットの制限により、SPHINCS- は FIPS 205 に厳密には準拠しておらず、ハードウェアウォレットでの署名も依然として実務上の課題として残ると述べている。
C11およびC12バリアントはハードウェアウォレットと互換性があるとされるが、ST33K1M5 セキュアエレメントでの署名時間はそれぞれ390秒と47.5秒と記載されており、検証効率だけではユーザー体験の問題を解決できないことが示されている。
Ethereumのポスト量子に関する取り組みは、新しい署名スキーム、アカウント抽象化、移行計画、ウォレット設計など複数のトラックで進められている。アカウントセキュリティの変更をユーザーとインフラ全体で調整するには数年を要しうるためだ。
次に読む: ChatGPT Hits One Billion Monthly App Users As Public AI Sentiment Turns Mixed