ZK-ACE: Identity-Centric Zero-Knowledge Authorization for Post-Quantum Blockchain Systems

O artigo apresenta o ZK-ACE, uma camada de autorização baseada em identidade que substitui os grandes objetos de assinatura pós-quântica por afirmações de conhecimento zero, reduzindo drasticamente os dados de consenso e mantendo a segurança em blockchains pós-quânticas.

O essencial

Imagine que o mundo das criptomoedas e blockchains está se preparando para uma nova era: a era dos computadores quânticos. Esses computadores futuros serão tão poderosos que conseguirão quebrar as "fechaduras" digitais atuais que protegem nossas carteiras e transações.

Para se proteger, a ciência criou novas "fechaduras" chamadas assinaturas pós-quânticas. O problema é que essas novas fechaduras são gigantescas. Se a sua assinatura digital atual fosse um cartão de visita, a nova seria um trailer de caminhão.

Se cada pessoa que envia dinheiro na blockchain tivesse que carregar esse "trailer" a cada transação, a rede ficaria congestionada, lenta e cara. É como tentar fazer uma fila de entrada em um estádio onde cada pessoa precisa levar uma caixa de ferramentas do tamanho de uma casa só para provar que é quem diz ser.

É aqui que entra o ZK-ACE, a solução apresentada neste artigo.

A Grande Ideia: Trocar o "Trailer" por um "Selo Mágico"

O ZK-ACE propõe uma mudança de mentalidade. Em vez de pedir que todos verifiquem o "trailer" (a assinatura gigante) a cada vez, ele permite que você prove que você tem a chave certa sem mostrar a chave e sem mostrar o trailer.

Pense assim:

1. O Problema Atual (Assinatura Pós-Quântica):
   Você chega ao banco e diz: "Olha, aqui está meu passaporte gigante de 5kg e a assinatura de 3kg provando que sou eu." O funcionário do banco tem que levantar esse peso todo, conferir cada detalhe e depois arquivar esse peso gigante no cofre para sempre. Se todos fizerem isso, o cofre enche e o banco para.

2. A Solução ZK-ACE (Autorização Zero-Knowledge):
   Você chega ao banco e diz: "Eu tenho uma identidade secreta e única. Eu vou gerar um selo mágico (uma prova matemática) que prova que eu sou o dono dessa identidade e que autorizei essa transferência específica."

   O funcionário do banco não vê sua identidade secreta, nem o passaporte gigante. Ele apenas olha para o selo mágico. Esse selo é pequeno (do tamanho de um cartão de crédito), fácil de verificar e ocupa pouco espaço no cofre.

Como Funciona na Prática? (As Analogias)

1. A "Identidade Raiz" (O DNA Digital)

O sistema assume que você tem uma "semente" secreta e única (chamada de Root Entropy Value). Imagine que essa semente é o seu DNA digital.

• Ninguém sabe qual é o seu DNA.
• Mas, usando uma máquina especial (chamada DIDP), você pode gerar "impressões digitais" específicas para cada situação.
• A blockchain só guarda uma foto da sua impressão digital (um compromisso de identidade), não o seu DNA inteiro.

2. A Prova de Autorização (O Selo Mágico)

Quando você quer enviar dinheiro, você usa sua "semente" secreta para criar um selo mágico que diz:

• "Eu sou o dono da identidade X."
• "Eu autorizei a transação Y."
• "Eu nunca fiz essa transação antes (para evitar fraudes)."

Esse selo é gerado por um computador seu (o "Provedor") e enviado para a rede. A rede (o "Verificador") apenas checa se o selo é válido.

3. O "Anti-Repetição" (O Carimbo de "Usado")

Para evitar que alguém roube seu selo mágico e tente usá-lo duas vezes (como um cupom de desconto), o sistema usa dois métodos criativos:

• O Caderno de Números (Nonce): Cada vez que você usa seu selo, ele deve ter um número maior que o anterior. Se você tentar usar o número 5 de novo, o sistema diz "Não, o próximo tem que ser 6".
• A Lista de "Queimados" (Nullifier): Cada selo gera um código único. Assim que você usa, esse código vai para uma lista de "queimados". Se alguém tentar usar o mesmo código de novo, a lista diz "Ei, esse já foi usado!".

Por que isso é revolucionário?

• Tamanho: Em vez de carregar 3.000 bytes (o tamanho do "trailer" pós-quântico), você carrega cerca de 300 bytes (o tamanho do "selo"). É uma redução de 10 a 20 vezes no espaço ocupado na blockchain.
• Segurança: A prova matemática garante que você não pode inventar um selo falso. Se alguém tentar, a matemática "explode" e o sistema rejeita.
• Privacidade: A rede sabe que você autorizou a transação, mas não sabe qual é a sua identidade secreta exata, nem vê sua "chave" antiga. É como assinar um documento com uma caneta invisível que só o banco consegue ver, mas que não deixa rastro no papel.
• Futuro: Isso prepara a blockchain para os computadores quânticos sem deixar a rede lenta.

Resumo Final

O ZK-ACE é como trocar a exigência de "mostrar o passaporte inteiro e pesado" por "mostrar um selo de segurança pequeno e inteligente".

Ele não tenta "comprimir" o passaporte pesado (o que seria difícil e custoso). Em vez disso, ele muda as regras do jogo: em vez de provar que você tem o passaporte, você prova que você tem o direito de fazer a transação, usando uma mágica matemática que é rápida, barata e segura contra os computadores do futuro.

É uma forma de manter a segurança máxima (pós-quântica) sem pagar o preço da lentidão e do custo excessivo.

Resumo técnico

Resumo Técnico: ZK-ACE

1. O Problema: Escalabilidade e Criptografia Pós-Quântica

A transição para criptografia pós-quântica (PQC) em blockchains enfrenta um gargalo crítico de escalabilidade. Esquemas de assinatura baseados em retículos (lattice-based), como ML-DSA (Dilithium), possuem tamanhos de assinatura na ordem de quilobytes (ex: ~2,4 KB para o nível de segurança 2 do NIST), comparados aos 64-71 bytes das assinaturas clássicas (Ed25519, ECDSA).

• Impacto: Em blockchains, onde cada transação deve ser verificada por todos os nós e armazenada no ledger permanente, o uso direto dessas assinaturas aumenta drasticamente o crescimento de dados on-chain, reduzindo o throughput e aumentando os custos de transação.
• Limitação das Soluções Atuais: Uma abordagem comum é verificar essas assinaturas dentro de circuitos de Prova de Conhecimento Zero (ZK) e publicar apenas a prova. No entanto, isso apenas relocaliza o custo computacional. Verificar assinaturas de retículos dentro de circuitos ZK exige aritmética de alta dimensão, resultando em milhões de restrições (constraints), o que torna a geração de provas extremamente cara e lenta, criando um novo gargalo de desempenho.

2. Metodologia: ZK-ACE (Autorização Zero-Knowledge para Entidades Criptográficas)

O ZK-ACE propõe uma mudança de paradigma fundamental: em vez de verificar a correção de um objeto de assinatura específico, o sistema prova a semântica da autorização.

• Conceito Central: A autorização é tratada como uma propriedade semântica (uma identidade aprovou uma transação) e não como a validação de um artefato criptográfico (a assinatura).
• Primitiva Assumida (DIDP): O sistema assume a existência de uma Primitiva de Derivação de Identidade Determinística (DIDP). Esta primitiva mapeia uma Raiz de Entropia (REV) de 256 bits para chaves criptográficas específicas de contexto de forma determinística. A REV nunca é armazenada on-chain; apenas um compromisso (commitment) dela é publicado.
• Mecanismo de Funcionamento:
  1. O provador (usuário) possui a REV e deriva chaves localmente.
  2. Em vez de assinar a transação, o provador gera uma prova ZK que atesta:
     • Ele conhece a REV que corresponde ao compromisso de identidade on-chain (IDcom).
     • A transação foi autorizada sob um contexto de derivação específico.
     • O estado de prevenção de replay (nonce ou nullifier) é válido.
  3. A prova não contém a assinatura pós-quântica, nem verifica a lógica de verificação de retículos dentro do circuito.

3. Contribuições Principais

O artigo apresenta as seguintes contribuições técnicas:

1. Arquitetura ZK-ACE: Uma camada de autorização que substitui objetos de assinatura de quilobytes por provas ZK de tamanho constante (centenas de bytes), baseadas em identidade.
2. Especificação de Circuito Otimizado: Define um circuito ZK com apenas ~1.100 a 1.800 restrições R1CS (usando hashes amigáveis a ZK como Poseidon). Isso é 3 ordens de magnitude menor do que a verificação de uma assinatura ML-DSA dentro de um circuito (que exigiria milhões de restrições).
3. Modelos de Prevenção de Replay: Define dois modelos formais:
   • Registro de Nonce: Estilo de conta, com nonce monótono.
   • Conjunto de Nullifiers: Estilo de privacidade (semelhante ao Zcash), onde tokens de autorização são marcados como gastos.
4. Provas de Segurança Formais: Estabelece definições baseadas em jogos para:
   • Sensibilidade da Autorização: Impossibilidade de forjar autorização sem a REV.
   • Resistência a Replay: Impossibilidade de reutilizar uma autorização.
   • Resistência a Substituição: Impossibilidade de reassociar uma prova válida a uma transação diferente.
   • Separação Cross-Domain: Impossibilidade de reutilizar provas entre diferentes cadeias ou domínios.
5. Contabilidade de Dados Estrutural: Demonstra uma redução de 10x a 20x nos dados de autorização on-chain por transação em comparação com o uso direto de assinaturas PQC.

4. Resultados e Desempenho

• Redução de Dados:
  • Modelo PQC Direto: ~3.700 a 7.200 bytes por transação (Assinatura + Chave Pública).
  • Modelo ZK-ACE: ~320 a 448 bytes por transação (Prova ZK + Inputs Públicos + Compromisso de Identidade).
• Eficiência do Circuito: O custo de prova é dominado por avaliações de hash (Poseidon), tornando-o viável em hardware de consumo, ao contrário da verificação de retículos que exigiria hardware especializado ou tempos de prova proibitivos.
• Composabilidade: O sistema suporta agregação em lote (várias autorizações em uma prova) e composição recursiva, permitindo que uma única prova valide um lote inteiro de transações em rollups.

5. Significado e Impacto

O ZK-ACE resolve o dilema entre segurança pós-quântica e escalabilidade em blockchains sem comprometer a segurança:

• Mudança de Paradigma: Demonstra que a verificação de assinatura não é necessária para a segurança do consenso; apenas a prova de que uma identidade autorizou a transação é necessária.
• Independência de Implementação: O modelo é agnóstico quanto ao sistema de prova ZK (SNARK, STARK, PLONK) e à primitiva de derivação de identidade (DIDP), desde que as propriedades de segurança sejam mantidas.
• Compatibilidade: É nativamente compatível com arquiteturas de Abstração de Conta (como ERC-4337) e Rollups, permitindo uma migração suave para a era pós-quântica sem exigir que os usuários gerenciem chaves de retículos diretamente no consenso.
• Privacidade: Ao esconder a REV e os detalhes da derivação, o sistema oferece níveis de privacidade superiores aos modelos de assinatura tradicionais, especialmente quando combinado com o modelo de nullifiers.

Em suma, o ZK-ACE oferece uma arquitetura viável para blockchains seguros contra ataques quânticos, eliminando o custo de dados massivo das assinaturas PQC através de uma redefinição semântica da autorização baseada em provas de conhecimento zero.