ZK-ACE: Identity-Centric Zero-Knowledge Authorization for Post-Quantum Blockchain Systems

Die Arbeit stellt ZK-ACE vor, eine identitätszentrierte Zero-Knowledge-Autorisierungsschicht für Post-Quantum-Blockchains, die durch den Ersatz von Transaktionssignaturen zugunsten von identitätsgebundenen Beweisen die on-chain-Datenmenge um eine Größenordnung reduziert und gleichzeitig Sicherheit gegen Replay-Angriffe sowie Substitution gewährleistet.

Das Wesentliche

Hier ist eine einfache, bildhafte Erklärung des Papers ZK-ACE, als würde man es einem Freund beim Kaffee erzählen – ohne komplizierte Fachbegriffe.

Das große Problem: Der "Post-Quanten-Rucksack"

Stell dir vor, du möchtest eine Nachricht an deine Bank senden, um Geld zu überweisen. Normalerweise unterschreibst du das Formular mit einem digitalen Stempel (einer Signatur). Dieser Stempel ist klein, leicht und passt mühelos in deine Tasche.

Jetzt kommt die Zukunft: Quantencomputer. Diese neuen Super-Computer könnten unsere alten Stempel leicht knacken. Um sicher zu sein, müssen wir auf Post-Quanten-Stempel umsteigen. Das Problem? Diese neuen Stempel sind riesig. Sie sind nicht mehr wie ein kleiner Fingerabdruck, sondern wie ein schwerer, klobiger Rucksack, der 30 bis 40 Mal mehr wiegt als der alte.

Wenn jeder, der eine Transaktion macht, diesen schweren Rucksack mit sich herumtragen muss, wird die ganze Blockchain (das große Buch, in dem alle Transaktionen stehen) extrem langsam und teuer. Jeder muss den Rucksack heben, prüfen und für immer aufbewahren. Das ist wie wenn jeder Brief, den du schreibst, mit einem Ziegelstein im Umschlag verschickt werden müsste.

Die alte Lösung: Den Rucksack in eine Box stecken

Einige Leute sagten: "Lass uns den Rucksack nicht direkt zeigen, sondern in eine magische Kiste (einen Zero-Knowledge-Beweis) packen."
Die Idee war: Der Absender baut den Rucksack in die Kiste, schließt sie zu und sagt: "Ich schwöre, der Rucksack ist echt!" Die Bank prüft dann nur die Kiste.

Aber: Um den Rucksack in die Kiste zu packen, muss der Absender extrem viel Rechenarbeit leisten. Es ist, als müsste er den Rucksack erst in einen kleinen Karton zerlegen, jede Schraube einzeln vermessen und dann alles wieder zusammenbauen, nur damit er in die Kiste passt. Das ist für den Absender immer noch sehr anstrengend und teuer.

Die neue Lösung: ZK-ACE (Der "Identitäts-Ticket"-Ansatz)

Das Paper ZK-ACE sagt: "Warum überhaupt mit dem Rucksack herumlaufen? Wir brauchen gar keinen Rucksack mehr!"

Statt zu beweisen, dass ein riesiger Stempel echt ist, beweisen wir einfach nur, dass die richtige Person die Transaktion genehmigt hat.

Hier ist die Analogie:

1. Der Identitäts-Code (DIDP):
   Stell dir vor, jeder hat einen geheimen, unveränderlichen Master-Code (den Root Entropy Value). Dieser Code ist wie ein genetischer Fingerabdruck, den niemand kennt, außer dir. Aus diesem Code wird automatisch ein Ticket für die Blockchain generiert. Dieses Ticket ist klein und passt in die Tasche.

2. Das ZK-ACE-Ticket:
   Wenn du eine Transaktion machen willst, musst du nicht deinen riesigen Rucksack (die Signatur) zeigen. Stattdessen nutzt du deinen geheimen Master-Code, um ein magisches, unsichtbares Ticket zu erstellen.

   • Dieses Ticket beweist: "Ich bin die Person, die dieses Ticket besitzt."
   • Es beweist: "Ich habe diese spezifische Transaktion genehmigt."
   • Es beweist: "Ich habe das noch nie gemacht (keine Wiederholung)."

3. Die Magie (Zero-Knowledge):
   Das Wichtigste: Du zeigst der Bank niemals deinen Master-Code. Du zeigst nur das Ticket. Die Bank prüft das Ticket mit einem kleinen, schnellen Zaubertrick (dem Zero-Knowledge-Beweis).

   • Frage: "Bist du wirklich der Besitzer?"
   • Antwort (durch das Ticket): "Ja, ich bin es, aber ich verrate dir nicht, wie mein Code aussieht."

Warum ist das so genial?

• Kein Rucksack mehr: Die Blockchain muss nicht mehr den riesigen Post-Quanten-Stempel speichern. Sie speichert nur das winzige Ticket und den kleinen Beweis. Das spart enorm viel Platz und Geld.
• Schneller: Die Bank muss nicht mehr den schweren Rucksack prüfen. Sie prüft nur das kleine Ticket. Das geht viel schneller.
• Sicher: Selbst wenn jemand versucht, das Ticket zu kopieren oder zu fälschen, funktioniert es nicht, weil das Ticket an die Transaktion und die Zeit gebunden ist. Es ist wie ein Einweg-Ticket für einen Zug: Wenn du es benutzt hast, ist es ungültig.

Die zwei Arten, "Wiederholung" zu verhindern

Das Papier beschreibt zwei Methoden, um sicherzustellen, dass niemand dasselbe Ticket zweimal benutzt (wie bei einem Eintrittskarten-System):

1. Die Nummernliste (Nonce-Registry): Wie ein Notizbuch, in dem steht: "Person A hat Ticket Nr. 1 benutzt. Das nächste muss Nr. 2 sein." Das ist einfach, aber man sieht die Reihenfolge.
2. Die schwarze Liste (Nullifier-Set): Wie ein System, bei dem jedes Ticket, das benutzt wurde, in einen großen Mülleimer geworfen wird. Wenn jemand versucht, ein Ticket zu benutzen, das schon im Mülleimer liegt, wird es abgelehnt. Das ist privater, aber der Mülleimer wird mit der Zeit größer.

Zusammenfassung

ZK-ACE ist wie der Wechsel von einer Welt, in der jeder einen schweren Koffer mit sich herumschleppen muss, um sich auszuweisen, hin zu einer Welt, in der jeder nur ein kleines, unsichtbares Handy-Ticket zeigt.

• Das Problem: Post-Quanten-Sicherheitsstempel sind zu groß für die Blockchain.
• Die Lösung: Wir beweisen nicht den Stempel, sondern die Identität und die Genehmigung direkt.
• Das Ergebnis: Die Blockchain bleibt schnell, billig und sicher, auch für die Ära der Quantencomputer.

Es ist im Grunde eine clevere Umgehung: Anstatt den schweren Beweis zu tragen, tragen wir nur den Beweis, dass wir den Beweis haben können – und das ohne, dass jemand sieht, was wir eigentlich tun.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „ZK-ACE: Identity-Centric Zero-Knowledge Authorization for Post-Quantum Blockchain Systems" auf Deutsch.

1. Problemstellung

Die Einführung von Post-Quantum-Kryptographie (PQC), insbesondere gitterbasierten Signaturverfahren wie ML-DSA (Dilithium), stellt eine fundamentale Herausforderung für die Skalierbarkeit von Blockchain-Systemen dar.

• Datenvolumen: PQC-Signaturen sind deutlich größer als klassische Signaturen (z. B. ca. 2,4 KB für ML-DSA im Vergleich zu 64 Bytes für Ed25519). Dies führt zu einer ca. 30- bis 40-fachen Erhöhung der On-Chain-Daten pro Transaktion.
• Skalierungsengpass: In modernen Skalierungsarchitekturen (wie Rollups) werden Transaktionsdaten als „Calldata" oder „Blobs" auf der Basislayer gespeichert. Die großen Signaturen erhöhen die Kosten pro Transaktion drastisch und reduzieren den Durchsatz.
• Limitierung bestehender Ansätze: Ein gängiger Ansatz zur Lösung ist die Verifikation von PQC-Signaturen innerhalb von Zero-Knowledge (ZK)-Circuits, wobei nur ein kurzer Beweis On-Chain veröffentlicht wird. Dies verschiebt jedoch nur die Kosten von der On-Chain-Datenspeicherung zur Off-Chain-Berechnung. Da die Verifikation von Gitter-Signaturen komplexe algebraische Operationen (hohe Dimensionen, NTTs) erfordert, führt dies zu extrem großen Circuits (Millionen von Constraints) und hohen Beweisgenerierungskosten.

2. Methodik und Kernidee

Das Paper stellt ZK-ACE (Zero-Knowledge Authorization for Cryptographic Entities) vor, ein Autorisierungslayer, der das traditionelle signaturbasierte Modell fundamental neu denkt.

• Paradigmenwechsel: Anstatt die Korrektheit eines spezifischen PQC-Signatur-Objekts zu beweisen, beweist der Prover in Zero-Knowledge, dass eine Transaktion von einer Identität autorisiert wurde, die mit einer On-Chain-Verpflichtung (Commitment) übereinstimmt. Die Signatur als solches wird eliminiert.
• Deterministische Identitätsableitung (DIDP): Das System geht von einer Black-Box-Primitive namens DIDP aus. Diese leitet aus einem geheimen, hoch-entropischen Wurzelwert (Root Entropy Value, REV) deterministisch kontextspezifische Schlüssel ab. Der REV wird niemals gespeichert oder offengelegt.
• On-Chain-Modell:
  • Statt einer Signatur wird eine kompakte Identitätsverpflichtung (IDcom) gespeichert.
  • Pro Transaktion wird ein Zero-Knowledge-Beweis eingereicht, der die Autorisierung bestätigt.
  • Es werden keine PQC-Signatur-Objekte oder öffentlichen Schlüssel On-Chain übertragen.

3. Technische Spezifikation des ZK-Circuits

Der ZK-ACE-Circuit beweist die Existenz eines geheimen Witnesses (REV, salt, Ctx, nonce, aux) basierend auf folgenden Kern-Constraints:

1. Commitment-Konsistenz: H(REV || salt || domain) == IDcom. Der Prover kontrolliert den REV, der zur On-Chain-Identität passt.
2. Deterministische Ableitung: Der öffentliche Zielwert (target) muss konsistent mit der Ableitung H(Derive(REV, Ctx)) sein. Dies bindet die Autorisierung an einen spezifischen Kontext (Algorithmus, Domain).
3. Transaktionsbindung: Ein Autorisierungstoken wird berechnet: Auth = H(REV || Ctx || TxHash || domain || nonce). Dies bindet die Autorisierung an die spezifische Transaktion (TxHash).
4. Wiederspiel-Schutz (Replay Prevention): Entweder durch eine Nonce-Registrierung (Account-Modell) oder einen Nullifier (Privacy-Modell), um doppelte Ausgaben zu verhindern.
5. Domänentrennung: Sicherstellung, dass der Beweis nur im definierten Kontext (Chain/App) gültig ist.

Effizienz: Der Circuit benötigt nur ca. 1.100–1.400 R1CS-Constraints (basierend auf Poseidon-Hashes). Im Vergleich dazu erfordern Gitter-Signatur-Verifikationen im Circuit Millionen von Constraints.

4. Schlüsselbeiträge

1. ZK-ACE-Framework: Einführung einer Autorisierungsschicht, die PQC-Signatur-Objekte vollständig durch identitätsgebundene ZK-Beweise ersetzt.
2. Datenmodell: Ersetzung von Kilobyte-großen Signatur-Artefakten durch konstant große Verifikationsmaterialien (Commitment + Proof).
3. Formale Sicherheit: Definition und Beweis von vier Sicherheitskonzepten:
   • Authorization Soundness: Ein Angreifer ohne REV kann keinen gültigen Beweis erzeugen.
   • Replay Resistance: Verhinderung von Wiederverwendung von Autorisierungen.
   • Substitution Resistance: Verhinderung des Bindens eines gültigen Beweises an eine andere Transaktion.
   • Cross-Domain Separation: Verhinderung der Wiederverwendung von Beweisen über verschiedene Chains/Anwendungen hinweg.
4. Sicherheitsreduktionen: Die Sicherheit wird auf Standardannahmen reduziert (Wissens-Soundness des ZK-Systems, Kollisionsresistenz von Hash-Funktionen und Härte der Wiederherstellung des Identitäts-Wurzelwerts durch den DIDP).
5. Skalierbarkeit: Unterstützung von Batch-Aggregation und rekursiver Beweis-Komposition, was für High-Throughput-Systeme und Rollups essenziell ist.

5. Ergebnisse und Datenanalyse

Das Paper führt eine strukturelle Datenbuchhaltung durch, die keine experimentellen Benchmarks, sondern protocol-level Datenartefakte vergleicht:

• PQC-Signatur-Modell: Pro Transaktion ca. 3,7 KB bis 7,2 KB (Signatur + öffentlicher Schlüssel).
• ZK-ACE-Modell: Pro Transaktion ca. 320 bis 450 Bytes (32 Bytes Commitment + 128–256 Bytes Proof + ~160 Bytes Public Inputs).
• Ergebnis: Eine Reduktion der On-Chain-Autorisierungsdaten um eine Größenordnung von 10- bis 20-fach.
• Wichtig: Diese Reduktion entsteht nicht durch Komprimierung von Signaturen, sondern durch die vollständige Eliminierung der Signatur-Objekte aus dem Konsenspfad.

6. Bedeutung und Ausblick

• Post-Quantum-Readiness: ZK-ACE bietet einen praktikablen Weg, um Blockchains gegen Quantencomputer zu härten, ohne die Skalierbarkeit zu opfern.
• Kompatibilität: Das Design ist kompatibel mit Account-Abstraction (z. B. ERC-4337) und Rollup-Architekturen.
• Zukunftssicherheit: Da die Identitätsverpflichtungen proof-system-agnostisch sind, können Verifizierer und Prover-Systeme aktualisiert werden, ohne dass Identitäten rotiert werden müssen.
• Limitationen: Die Sicherheit hängt von der korrekten Implementierung des DIDP ab. Zudem bleibt die Beweisgenerierung (Prover-Cost) auf ressourcenbeschränkten Geräten eine Herausforderung, und Mechanismen für Identitätswiderruf müssen noch entwickelt werden.

Fazit: ZK-ACE löst das Skalierbarkeitsproblem von Post-Quantum-Signaturen auf Blockchains nicht durch Optimierung der Signaturverifikation, sondern durch eine semantische Verschiebung: Autorisierung wird als Nachweis einer Identität und nicht als Nachweis einer Signatur definiert. Dies ermöglicht eine effiziente, sichere und skalierbare Autorisierung für die Ära der Quantencomputer.