Le cofondateur d’Ethereum, Vitalik Buterin, a appelé jeudi à une vaste refonte des fondements cryptographiques du réseau, avertissant que les progrès de l’informatique quantique pourraient briser des parties essentielles du protocole, tout en établissant un plan en plusieurs étapes pour les remplacer.
Dans un article sur X, Buterin a identifié quatre domaines vulnérables : les signatures BLS de couche consensus, les outils de disponibilité des données connus sous le nom d’engagements KZG, le système de signature ECDSA utilisé par les comptes d’utilisateurs standard et les systèmes de preuve de connaissance nulle utilisés par les applications et les réseaux de layer 2.
Chacun pourrait être abordé étape par étape, a-t-il déclaré, avec des solutions dédiées à chaque couche du protocole. « Une chose importante en amont est de choisir la fonction de hachage », a écrit Buterin. « Il s’agit peut-être de ‘la dernière fonction de hachage d’Ethereum’, il est donc important de choisir judicieusement. »
Ce message intervient alors que la Fondation Ethereum a élevé la sécurité post-quantique au rang de priorité absolue.
Les ordinateurs quantiques menacent Ethereum, Bitcoin et l’industrie de la cryptographie dans son ensemble, car ils pourraient éventuellement briser la cryptographie à clé publique qui sécurise les portefeuilles et signe les transactions, permettant ainsi aux attaquants de dériver des clés privées à partir de clés publiques exposées et de déplacer des fonds.
Pour faire face à ce problème de front, la Fondation Ethereum a lancé une équipe post-quantique dédiée en janvier et a publié plus tôt ce mois-ci un plan de mise à niveau à sept branches, surnommé « Strawmap », qui intégrerait des signatures résistantes aux quantiques et une cryptographie compatible STARK dans la conception consensuelle du réseau jusqu’en 2029.
Au niveau du consensus, Buterin a proposé de remplacer les signatures BLS (les preuves cryptographiques utilisées par les validateurs pour approuver les blocs) par des alternatives basées sur le hachage, que les chercheurs considèrent comme plus résistantes aux attaques quantiques. Il a également suggéré d’utiliser les STARK, un type de preuve sans connaissance, pour compresser de nombreuses signatures de validateurs en une seule attestation.
Concernant la disponibilité des données, Buterin a déclaré qu’il y aurait des compromis à faire. Ethereum s’appuie sur les engagements de KZG pour vérifier que les données de bloc sont correctement structurées et disponibles. Les STARK pourraient remplir la même fonction, mais il leur manque une propriété mathématique appelée linéarité qui permet un échantillonnage bidimensionnel de la disponibilité des données.
« C’est bien, mais la logistique devient plus difficile si vous souhaitez prendre en charge la sélection de blobs distribués », a écrit Buterin.
Les comptes d’utilisateurs et les systèmes de preuve sont confrontés à de fortes augmentations de coûts en raison de la cryptographie résistante aux quantiques. La vérification de la signature ECDSA actuelle coûte environ 3 000 gaz, tandis qu’une signature résistante quantique basée sur le hachage coûterait environ 200 000 gaz.
La différence est plus grande pour les preuves : un ZK-SNARK coûte entre 300 000 et 500 000 gaz à vérifier, contre environ 10 millions de gaz pour un STARK à résistance quantique – une dépense trop élevée pour la plupart des applications de confidentialité et de layer 2.
« La solution est encore une fois la signature récursive au niveau du protocole et l’agrégation de preuves », a déclaré Buterin, pointant vers la proposition d’amélioration d’Ethereum 8141.
Selon EIP-8141, chaque transaction comprendrait une « trame de validation » qui peut être remplacée par un STARK vérifiant son exécution correcte. Toutes les trames de validation d’un bloc pourraient ensuite être regroupées en une seule preuve, ce qui permettrait de réduire l’empreinte en chaîne même si les signatures individuelles augmentent.
Buterin a déclaré que l’étape de preuve pourrait avoir lieu au niveau de la couche mémoire plutôt que pendant la production de blocs, les nœuds propageant des transactions valides toutes les 500 millisecondes, accompagnées d’une preuve de validité.
« C’est gérable, mais il y a beaucoup de travail d’ingénierie à faire », a-t-il déclaré.
