ZK-ACE: Identity-Centric Zero-Knowledge Authorization for Post-Quantum Blockchain Systems

El artículo presenta ZK-ACE, un protocolo de autorización centrado en la identidad que elimina los objetos de firma poscuántica voluminosos en las transacciones de blockchain al reemplazarlos por declaraciones de autorización de conocimiento cero vinculadas a identidades, logrando así una reducción de un orden de magnitud en los datos visibles para el consenso y garantizando seguridad contra reutilización y suplantación.

Lo esencial

¡Claro que sí! Imagina que el mundo de las criptomonedas y los blockchain es como una gran ciudad digital donde todos tienen que verificar que las transacciones son legítimas.

Hasta ahora, para entrar a esta ciudad o hacer un pago, tenías que mostrar una llave maestra gigante. El problema es que, para protegernos de las futuras computadoras cuánticas (que serán súper poderosas), esas llaves se han vuelto enormes: del tamaño de un libro de teléfono entero (varios kilobytes). Si todos tuvieran que llevar un libro de teléfono en el bolsillo cada vez que hacen una compra, la ciudad se colapsaría por el tráfico y el espacio.

Aquí es donde entra ZK-ACE, la solución que propone el paper. Vamos a explicarlo con una analogía sencilla.

1. El Problema: El "Pasaporte de Ladrillos"

Imagina que el sistema actual te pide que, para comprar un café, presentes un pasaporte de ladrillos.

• Tamaño: El pasaporte pesa 5 kilos (eso es la firma post-cuántica).
• Verificación: El barista (la red blockchain) tiene que levantar ese pasaporte pesado, abrirlo página por página y verificar que no esté falsificado.
• Resultado: La fila se hace eterna, el barista se cansa y la ciudad se llena de basura (datos innecesarios).

2. La Solución de ZK-ACE: El "Credencial Mágico"

ZK-ACE dice: "Oye, no necesitamos que muestres el pasaporte de ladrillos. Solo necesitamos que demuestres, sin mostrar nada, que eres quien dices ser y que tienes permiso para comprar ese café".

En lugar de llevar el pasaporte pesado, usas un Credencial Mágico (una prueba de conocimiento cero).

¿Cómo funciona la magia? (La analogía del "Cofre de Identidad")

Imagina que cada persona tiene un Cofre de Identidad (su identidad digital) que está guardado en una caja fuerte en el centro de la ciudad.

1. La Llave Maestra (REV): Tú tienes una llave maestra secreta que abre tu cofre. Nadie más la tiene.
2. El Cofre (IDcom): En la pared de la ciudad, hay una etiqueta que dice: "Este cofre pertenece a Juan". Esa etiqueta es pequeña y ligera (un hash de 32 bytes).
3. La Prueba (ZK-ACE): Cuando quieres comprar el café, no llevas la llave ni el cofre. En su lugar, usas un truco de magia (el circuito ZK) que le dice al barista:
   • "Yo tengo la llave maestra que abre el cofre que está en la pared."
   • "Y esa llave me autoriza a comprar este café específico, no otro."
   • "Y nunca he usado esta autorización antes."

El barista no ve la llave, ni el cofre, ni el café en detalle. Solo ve un sello de validación (la prueba) que es del tamaño de una moneda. Si el sello es válido, te deja pasar.

3. ¿Por qué es tan genial? (Las ventajas)

• Ahorro de Espacio (Escalabilidad):

  • Antes: Cada transacción llevaba un libro de 5 kilos.
  • Ahora: Cada transacción lleva una moneda de 1 gramo.
  • Resultado: La ciudad puede procesar miles de veces más transacciones sin atascarse. Es como cambiar de camiones de mudanza a bicicletas de reparto.

• Seguridad Post-Cuántica:

  • Las computadoras cuánticas podrían romper las llaves antiguas (como las de las casas de hoy), pero el sistema ZK-ACE usa matemáticas nuevas (basadas en "retículos" o lattices) que son muy difíciles de romper, incluso para esas computadoras.
  • Lo mejor es que no necesitas mostrar esas matemáticas complejas. Solo demuestras que las conoces. Es como si un matemático genio te dijera: "Puedo resolver esta ecuación difícil en mi cabeza, créeme, no necesitas ver mi cuaderno".

• Privacidad y Flexibilidad:

  • Puedes tener múltiples "etiquetas" (cofres) para la misma llave maestra. Así, nadie sabe que el "Cofre A" y el "Cofre B" pertenecen a la misma persona.
  • Si mañana la tecnología mejora, puedes cambiar el sistema de validación (el truco de magia) sin tener que cambiar tu llave maestra ni tu identidad.

4. ¿Qué evita ZK-ACE?

El paper explica que otros intentaron poner el "libro de ladrillos" dentro de una caja de cristal (pruebas ZK) para que fuera más fácil de leer. Pero el problema es que el libro sigue siendo pesado y la caja de cristal se rompe por el peso.

ZK-ACE es diferente: No lleva el libro de ladrillos en absoluto. Elimina la necesidad de mostrar la firma gigante por completo y la reemplaza por una promesa matemática pequeña y segura.

Resumen en una frase

ZK-ACE es como cambiar el sistema de seguridad de un banco: en lugar de obligar a todos los clientes a llevar un maletín lleno de documentos pesados para entrar, les da un pequeño chip que demuestra, sin revelar nada, que tienen la llave correcta y el permiso para entrar. Esto hace que el banco sea más rápido, más seguro contra hackers del futuro y mucho más eficiente.

¡Es una revolución para que las blockchains del futuro sean rápidas y seguras!

Resumen técnico

Resumen Técnico: ZK-ACE

1. El Problema: La Escalabilidad en la Era Post-Cuántica

La transición hacia criptografía post-cuántica (PQC) en sistemas blockchain enfrenta un obstáculo fundamental de escalabilidad. Los esquemas de firma post-cuántica estandarizados (como ML-DSA/Dilithium o SLH-DSA/SPHINCS+) generan firmas de gran tamaño, típicamente en el orden de varios kilobytes (ej. ~2.4 KB para ML-DSA Nivel 2), en comparación con las firmas clásicas de ~64-71 bytes.

En un entorno blockchain, donde cada transacción debe ser verificada por todos los participantes del consenso y almacenada en el libro mayor permanente, este aumento masivo en el tamaño de los datos de autorización provoca:

• Un crecimiento exponencial de los datos on-chain.
• Una reducción drástica del rendimiento (throughput) de las transacciones.
• Un aumento significativo en los costos marginales por transacción, especialmente en arquitecturas de rollups donde los datos se publican en la capa base.

Limitaciones de las soluciones actuales:
Una mitigación común propuesta es verificar las firmas PQC dentro de circuitos de conocimiento cero (ZK) y publicar solo la prueba. Sin embargo, el artículo argumenta que esto no resuelve el problema de raíz:

1. Preserva el modelo de autorización centrado en la firma.
2. Mueve el costo computacional de la verificación on-chain a la generación de pruebas off-chain.
3. Incorporar la verificación de firmas basadas en retículos (lattice-based) dentro de circuitos ZK requiere aritmética de alta dimensión, lo que genera circuitos con millones de restricciones, haciendo la generación de pruebas extremadamente costosa y lenta.

2. Metodología: ZK-ACE (Autorización Cero-Conocimiento para Entidades Criptográficas)

ZK-ACE propone un cambio de paradigma: reemplazar la verificación de objetos de firma específicos por declaraciones de autorización vinculadas a la identidad. En lugar de probar que una firma es correcta, se prueba que una transacción fue autorizada por una identidad consistente con un compromiso on-chain.

Componentes Clave del Diseño:

A. Primitiva de Derivación de Identidad Determinista (DIDP)

El sistema asume la existencia de una primitiva criptográfica llamada DIDP (como una caja negra).

• Funcionamiento: Deriva claves criptográficas específicas del contexto a partir de un Valor de Entropía Raíz (REV) de 256 bits.
• Propiedades: El REV nunca se almacena persistentemente; se reconstruye efímeramente. La derivación es determinista y aislada por contexto (diferentes algoritmos o dominios generan claves independientes).
• Seguridad: Se asume que es computacionalmente imposible recuperar el REV a partir de las claves derivadas o los compromisos públicos.

B. Modelo de Datos On-Chain

En lugar de almacenar firmas, la cadena almacena:

1. Compromiso de Identidad ($ID_{com}$): Un hash compacto (32 bytes) que ancla la identidad en la cadena: $ID_{com} = H(REV \parallel salt \parallel domain)$.
2. Prueba de Autorización: Una prueba ZK de tamaño constante que demuestra que el poseedor del REV autorizó una transacción específica bajo un contexto dado.
3. Estado de Prevención de Replay: Un registro de nonces o un conjunto de nullifiers para evitar el doble gasto.

C. Especificación del Circuito ZK

El circuito no verifica ninguna firma PQC ni realiza aritmética de retículos. En su lugar, verifica cinco restricciones principales basadas en hashes amigables para ZK (como Poseidon):

1. Consistencia del Compromiso: El $REV$ y la $salt$ del testigo reconstruyen el $ID_{com}$ on-chain.
2. Vinculación de Derivación: El hash de la clave derivada (target) coincide con la derivación determinista del $REV$ en el contexto especificado.
3. Vinculación de Transacción: Se genera un token de autorización ($Auth$) que vincula el $REV$, el contexto, el hash de la transacción ($TxHash$) y el dominio.
4. Prevención de Replay: Se compromete un nonce o se genera un nullifier único para esta autorización.
5. Separación de Dominios: Se asegura que el contexto de derivación coincida con el dominio declarado públicamente.

Costo Computacional: El circuito requiere aproximadamente 1,100 – 1,800 restricciones R1CS (dependiendo de la codificación), lo cual es órdenes de magnitud menor que los millones de restricciones necesarias para verificar una firma ML-DSA dentro de un circuito.

3. Contribuciones Clave

1. Nuevo Modelo de Autorización: Introduce ZK-ACE, donde la autorización se demuestra mediante pruebas ZK de identidad determinista en lugar de objetos de firma.
2. Reducción de Datos: Propone un modelo de datos on-chain que reemplaza firmas de kilobytes con compromisos de identidad y pruebas de tamaño constante.
3. Especificación Formal: Define el circuito completo, los testigos privados, las entradas públicas y las restricciones lógicas.
4. Análisis de Seguridad Riguroso: Proporciona definiciones de seguridad basadas en juegos para:
   • Sonoridad de Autorización: Un adversario no puede crear una prueba válida sin poseer el REV.
   • Resistencia al Replay: Imposibilidad de reutilizar una autorización.
   • Resistencia a la Sustitución: Imposibilidad de vincular una prueba válida a una transacción diferente.
   • Separación Cross-Domain: Imposibilidad de usar una prueba de un dominio en otro.
5. Pruebas de Reducción: Demuestra que la seguridad se reduce a supuestos estándar (sonoridad de conocimiento, resistencia a colisiones y dificultad de recuperación del raíz de identidad).
6. Escalabilidad: Diseña el sistema para soportar agregación por lotes y composición recursiva de pruebas.

4. Resultados y Análisis de Datos

El artículo realiza una contabilidad estructural de los datos on-chain, comparando el modelo de firma PQC directa con ZK-ACE:

Componente	Modelo de Firma PQC (Ej. ML-DSA Nivel 2)	Modelo ZK-ACE
Firma / Prueba	~2,420 bytes	~128–256 bytes (Groth16)
Clave Pública	~1,312 bytes (amortizado a 0 si se conoce)	0 bytes (el compromiso se reutiliza)
Compromiso de Identidad	N/A	32 bytes
Entradas Públicas	N/A	~160 bytes
Total por Transacción	~3,732 – 7,219 bytes	~320 – 448 bytes

Hallazgo Principal: ZK-ACE logra una reducción de un orden de magnitud (10x a 20x) en los datos de autorización visibles por consenso.

• Nota Importante: Esta reducción no se logra comprimiendo las firmas PQC, sino eliminando por completo la necesidad de colocar material de firma PQC en la cadena.

5. Significado e Impacto

• Viabilidad de PQC en Blockchain: ZK-ACE resuelve la barrera de escalabilidad que impedía la adopción práctica de firmas post-cuánticas en blockchains de alto rendimiento.
• Independencia de la Prueba: El diseño es agnóstico al sistema de prueba ZK subyacente (SNARK, STARK, PLONK), permitiendo actualizaciones futuras sin necesidad de rotar identidades.
• Compatibilidad: Es totalmente compatible con arquitecturas de abstracción de cuentas (como ERC-4337) y rollups, permitiendo la agregación de múltiples autorizaciones en una sola prueba recursiva.
• Privacidad y Seguridad: Mantiene la privacidad de la identidad raíz (REV) y las claves derivadas, mientras garantiza la seguridad criptográfica contra adversarios clásicos y cuánticos, siempre que la primitiva DIDP sea segura.

En conclusión, ZK-ACE representa un cambio fundamental en la semántica de autorización en blockchain: pasar de "verificar una firma" a "probar la autorización de una identidad", permitiendo que las blockchains sean resistentes a la computación cuántica sin sacrificar la escalabilidad.