Os sequenciadores L2 realmente precisam de aleatoriedade de limite? Um caso para VRFs mínimos verificáveis ​​por PQ – criptografia

Discussões recentes sobre Hybrid Encrypted Mempools (HEM) destacam uma divisão fundamental na forma como o Ethereum trata a aleatoriedade e os modelos adversários. Esta postagem explora uma primitiva criptográfica complementar—um VRF mínimo determinístico e verificável por PQ– direcionado especificamente para domínios confiáveis ​​de operador único ou de pequeno comitê como sequenciadores L2, empacotadores AA e atribuição de provador zk.

A intenção não é competir com o trabalho de beacon L1 baseado em limites, mas esclarecer onde uma primitiva leve pode ser a ferramenta correta para o trabalho.

Para um farol de aleatoriedade L1 global, o espaço de escolha adversário é:

Choices_L1 ≈ 2^k

para um comitê de tamanho kuma vez que os proponentes podem reter contribuições.
O imprevisível RANDAO reduz isso para aproximadamente:

Choices_threshold ≈ k + 1

Esta redução é significativa apenas quando:

• os adversários são multipartidários,

• a participação não tem permissão,

• reter é economicamente racional.

Em contraste, os domínios de confiança L2 típicos se comportam de maneira muito diferente:

• conjuntos de sequenciadores geralmente são um único operador (ou 2 a 5 nós),

• os operadores já controlam os pedidos em lote,

• orçamentos de latência são inferiores a milissegundos,

• consistência sequencial é crítica,

• falhas de vivacidade são catastróficas.

Assim, o espaço de escolha adversário efetivo é:

Choices_L2 ≈ 1

Assim que aceitarmos isso, os requisitos criptográficos mudam substancialmente.

As soluções Threshold/DKG podem introduzir mais fragilidade do que melhorias de segurança em tais ambientes.

Os Mempools criptografados híbridos propõem um mecanismo baseado em limites projetado para eliminar a opcionalidade de revelação e melhorar a imprevisibilidade da raiz do estado. É um design poderoso para global modelos adversários.

No entanto, os esquemas de limiares em contextos L2 introduzem:

• DKG ou complexidade de rotação de configuração silenciosa,

• dependência de membros do comitê on-line,

• falhas de vivacidade multiponto,

• sobrecarga de latência incompatível com pipelines L2,

• a necessidade de criptografar novamente para cada rotação.

Esses modos de falha são frequentemente incompatíveis com o sequenciamento determinístico e os pipelines de prova usados ​​pelos rollups L2.

Isso motiva a olhar para uma primitiva muito mais simples que corresponde ao modelo de confiança de operadores L2.

Esta construção é intencionalmente simples.
Não é imparcial, não é um farol de aleatoriedade e não foi projetado para resolver a entropia adversária multipartidária.

Seu objetivo é:

• reprodutibilidade determinística de transições de estado L2;

• compromissos rápidos e locais da operadora,

• auditabilidade histórica verificável por PQ,

• zero DKG, zero comitê, zero acoplamento de vivacidade.

Dado:

• uma semente privada de alta entropia é
  (derivado de uma fonte de entropia selada ou confiável; definido pela implementação),

• uma mensagem pública mensagem (ID do lote, separador de domínio).

Saída semelhante a VRF:

Y = H(s, msg)

onde H é uma cadeia hash determinística composta de primitivas simétricas padrão
(por exemplo, keccak256 → SHAKE256 → BLAKE2s → keccak512).
O pipeline exato é definido pela implementação e tratado como um PRF.

Componentes auxiliares de prova:

• compromisso π contendo metadados mínimos (incluindo um compromisso de hash para a cadeia),

• assinatura verificável clássica:

  σ_cl = Sign_secp256k1(Y)
  
  

• assinatura pós-quântica:

  σ_pq = Sign_MLDSA65(Y || π)
  
  

Verificação:

1. Verifique a assinatura PQ:

   MLDSA65.Verify(pub_pq, Y || π, σ_pq)
   
   

2. Recalcular:

   Y' = H(s, msg)
   
   

3. (Opcional) verificar σ_cl para compatibilidade com EVM.

4. Aceite se:

   Y' == Y
   
   

Propriedades:

Isto está mais próximo de um PRF verificável do que um VRF clássico, mas satisfaz as necessidades operacionais de L2.

Essas duas primitivas abordam disjunto modelos de ameaça:

HEM fornece:

• eliminação da revelação seletiva pelos usuários,

• resistência a vetores MEV de transação criptografada,

• Imprevisibilidade de nível L1 para raízes estaduais,

• compatibilidade com aspirações de farol imparciais,

• propriedades de limite necessárias em ambientes globais e multipartidários.

O PQ-VRF determinístico fornece:

• aleatoriedade de sequenciamento reproduzível,

• lote determinístico → prova → comportamento de liquidação,

• História verificável por PQ independente da criptografia clássica,

• comitê zero, zero DKG,

• comportamento mais adequado para domínios de operador único.

Assim, as duas primitivas são complementarnão competindo.

HEM estabiliza a aleatoriedade adversária global.
Um PQ-VRF mínimo estabiliza papéis determinísticos locais.

Muitos sistemas L2 exigem implicitamente:

• reprodutibilidade > imparcialidade,

• determinismo > entropia,

• auditabilidade > imprevisibilidade,

• simplicidade > coordenação global,

• Longevidade PQ > pressupostos da curva clássica.

Uma primitiva leve com uma semente selada, comportamento determinístico e compromissos verificáveis ​​por PQ pode ser a solução correta mais simples.

Em particular:

pode não justificar de forma alguma a aleatoriedade limite.

(1)
Existem resultados teóricos que sugerem que os domínios de operador único ainda devem adotar a aleatoriedade de limiar – mesmo que o seu modelo adversário caia para um único ator?

(2)
A imprevisibilidade da raiz de estado criptografada do HEM pode ser usada com segurança pelos L2s, ou a aleatoriedade do L2 deve permanecer arquitetonicamente dissociada do L1 devido às restrições de tempo e atividade dos pipelines de rollup?

(3)
Um VRF verificável por PQ determinístico é estritamente inferior aos VRFs limiares em domínios onde a polarização é irrelevante, mas a reprodutibilidade e a verificabilidade histórica são necessárias?

(4)
Um design unificado baseado em PRF poderia cobrir ambas as funções se combinado com a imprevisibilidade do mempool criptografado, ou os domínios do problema são fundamentalmente ortogonais?

Esta postagem propõe uma primitiva mínima semelhante a VRF para ambientes onde:

• comissões introduzem fragilidade desnecessária,

• imparcialidade é irrelevante,

• ordenação determinística é essencial,

• A auditabilidade PQ é necessária,

• os orçamentos de latência são extremamente apertados,

• e os domínios de confiança são inerentemente centralizados.

Não é um substituto para a aleatoriedade de limite ou para Mempools criptografados híbridos.
É um complemento projetado para um modelo adversário diferente.

O feedback da comunidade – especialmente sobre a convergência (ou divergência) de longo prazo entre construções de limiar versus construções determinísticas – seria muito apreciado.