Aptos propose un AIP-137 pour introduire des signatures post-quantiques pour une sécurité renforcée

En résumé

Aptos a proposé l’AIP-137 pour ajouter des signatures post-quantum SLH-DSA optionnelles au niveau du compte, répondant aux risques à long terme liés à l’informatique quantique sans affecter les comptes existants.

La blockchain de couche 1 Aptos a introduit la mise à niveau de signature post-quantum AIP-137, conçue pour activer de manière optionnelle la prise en charge des signatures numériques post-quantum au niveau du compte, afin de répondre aux risques potentiels futurs liés à l’informatique quantique.

La proposition n’affecte pas les comptes existants et vise à implémenter le schéma de signature basé sur le hash SLH-DSA, standardisé sous FIPS 205. L’AIP-137 suggère SLH-DSA-SHA2-128s2 comme première option de signature post-quantum pour les comptes Aptos, un schéma récemment reconnu par le NIST comme sécurisé contre l’informatique quantique, reposant uniquement sur la fonction de hachage SHA2-256 pour la sécurité classique et quantique.

Elle adopte une approche prudente pour se préparer à l’émergence de ordinateurs quantiques cryptographiquement pertinents (CRQCs), qui pourraient apparaître dans les cinq à cinquante prochaines années. Son objectif privilégie la sécurité plutôt que l’efficacité, tout en maintenant une complexité d’intégration faible. SLH-DSA est considéré comme idéal car il dépend exclusivement des fonctions de hachage, déjà fiables dans l’écosystème Aptos, contrairement à des schémas post-quantiques plus complexes nécessitant des sauvegardes classiques supplémentaires et augmentant la complexité de mise en œuvre.

Si elle est adoptée, cette mise à niveau obligerait les nœuds complets, validateurs, indexeurs, portefeuilles, ainsi que les SDK et outils CLI d’Aptos à supporter la création, la gestion et la vérification de ces nouvelles signatures. Inversement, le rejet de la proposition pourrait laisser l’écosystème vulnérable face à des menaces technologiques imprévues, tandis que son approbation permettrait à la gouvernance d’activer les comptes post-quantiques selon les besoins, permettant aux utilisateurs de migrer à leur discrétion.

Aptos évalue les options de signatures post-quantiques, en privilégiant la sécurité

Bien que d’autres schémas de signatures post-quantiques puissent offrir des tailles de signatures plus petites et des temps de vérification plus rapides, la famille SLH-DSA standardisée dans FIPS-2052 est considérée comme la plus prudente d’un point de vue sécurité, car elle dépend uniquement de la sécurité déjà établie de SHA2-256. Cela en fait un choix fiable pour se protéger contre d’éventuelles attaques classiques sur des schémas supposés sécurisés contre l’informatique quantique, comme cela a été le cas par le passé lorsque des schémas candidats tels que Rainbow, basé sur la cryptographie multivariée, ont été cassés sur du matériel standard malgré leur statut de finalistes NIST. SLH-DSA est donc attrayant pour les utilisateurs de blockchain qui privilégient la prudence maximale et souhaitent éviter de se reposer sur des hypothèses non testées ou des paramètres agressifs de schémas post-quantiques plus efficaces mais moins établis.

À l’avenir, Aptos pourrait également envisager de supporter un schéma de la famille ML-DSA (FIPS-2045), qui offre environ la moitié de la taille combinée de la clé publique et de la signature de SLH-DSA et des temps de vérification plus rapides, surpassant Ed25519. Cependant, sa sécurité repose sur le problème d’apprentissage avec erreurs (MLWE), qui est moins prudent. Une autre option, Falcon, présente une taille combinée de la clé publique et de la signature d’environ 1,5 KiB avec des vitesses de vérification comparables ou supérieures à Ed25519. Ses inconvénients incluent la dépendance à l’arithmétique en virgule flottante, ce qui augmente la complexité de mise en œuvre, et des hypothèses de sécurité basées sur la difficulté du problème SIS sur des réseaux NTRU, ce qui en fait une alternative moins prudente.

Esquisse de la feuille de route de la transition post-quantique avec déploiement préliminaire en devnet prévu pour début d’année prochaine

Un scénario envisage que qu’un CRQC n’émergera pas dans les cinq prochaines années, mais qu’un nombre significatif d’utilisateurs d’Aptos adoptera le schéma SLH-DSA. Cela pourrait temporairement réduire l’efficacité du réseau, bien que l’impact soit gérable : des schémas post-quantiques plus efficaces peuvent être introduits et les coûts en gaz pour SLH-DSA ajustés pour encourager la migration des utilisateurs. Alternativement, si un CRQC apparaît plus tôt que prévu, les utilisateurs utiliseront déjà le schéma post-quantum ou pourront effectuer une transition rapidement une fois la menace évidente. Dans l’ensemble, la proposition offre le potentiel de protéger le réseau contre les surprises technologiques, avec un risque relativement faible d’impact négatif sur la performance si des options post-quantiques plus rapides sont introduites rapidement.

La mise en œuvre proposée inclut l’ajout du support dans la crate aptos-crypto, l’intégration d’une logique de vérification de signature contrôlée par des fonctionnalités dans la VM Aptos, la mise à jour du SDK TypeScript pour dériver les clés à partir de mnémoniques, l’ajustement des prix du gaz, l’activation de la gestion des clés via CLI, la prise en charge par l’indexeur, et la publication de documentation pour les développeurs. Bien qu’il n’y ait pas d’urgence immédiate pour déployer sur les réseaux principaux dans l’année à venir, un déploiement préliminaire en devnet est prévu pour début d’année prochaine afin de permettre les tests et une adoption progressive.