Una nueva propuesta académica plantea que las blockchains no necesitan cargar firmas postcuánticas de varios kilobytes en cada transacción. En su lugar, ZK-ACE sugiere probar en cero conocimiento que una identidad autorizó una operación, con menos datos visibles en consenso y sin meter verificación de firmas lattice dentro del circuito.
***
- ZK-ACE reemplaza objetos de firma postcuántica por pruebas de conocimiento cero ligadas a una identidad comprometida en cadena.
- El diseño apunta a reducir entre 10 y 20 veces los datos de autorización por transacción frente a modelos basados en ML-DSA.
- La propuesta es compatible con account abstraction, rollups, agregación por lotes y composición recursiva de pruebas.
La transición hacia criptografía resistente a computadoras cuánticas es uno de los grandes retos para la infraestructura blockchain. El problema no es solo criptográfico. También es operativo. Cuando una cadena adopta firmas postcuánticas de forma directa, cada transacción puede cargar varios kilobytes adicionales, algo que golpea el almacenamiento, el ancho de banda y el costo de verificación.
Ese es el punto de partida de ZK-ACE: Identity-Centric Zero-Knowledge Authorization for Post-Quantum Blockchain Systems, trabajo firmado por Jian Sheng Wang. El documento propone cambiar el modelo de autorización en vez de intentar optimizar el viejo enfoque de firmas. En lugar de publicar una firma postcuántica por operación, el usuario presentaría una prueba de conocimiento cero que demuestre que la transacción fue autorizada por una identidad válida y comprometida on-chain.
La idea central es directa, aunque sus implicaciones son profundas. Según el autor, el consenso de una blockchain no necesita verificar necesariamente un objeto de firma específico. Lo que en realidad necesita es comprobar que la entidad correcta autorizó una transacción bajo las reglas del sistema. ZK-ACE toma esa observación y la convierte en una arquitectura donde la autorización se vuelve una propiedad semántica demostrable, no un artefacto criptográfico pesado que deba viajar en cada transacción.
El planteamiento llega en un momento en que esquemas como ML-DSA y SLH-DSA se posicionan como candidatos clave para el mundo postcuántico. Sin embargo, sus tamaños siguen siendo un dolor de cabeza para blockchains públicas y, en especial, para rollups que dependen de publicar datos en una capa base con recursos limitados y costos explícitos.
Por qué las firmas postcuánticas son un problema de escalabilidad
El documento recuerda que las firmas lattice-based, como ML-DSA, son mucho más grandes que las firmas clásicas usadas hoy en la mayoría de redes. Una firma ML-DSA en nivel 2 de NIST ronda los 2,4 KB. En contraste, Ed25519 usa 64 bytes y ECDSA sobre secp256k1 cerca de 71 bytes. La diferencia es de unas 30 a 40 veces por transacción.
Esa expansión de datos se vuelve más seria en arquitecturas modernas. En rollups, por ejemplo, la data de transacciones se publica como calldata o blobs en la capa base. Si cada autorización trae varios kilobytes extra, el rendimiento efectivo cae y el costo marginal por transacción sube. El paper subraya que este problema no nace de una mala implementación puntual, sino de la estructura misma del artefacto criptográfico usado para autorizar.
Una respuesta lógica ha sido mover la verificación fuera de la cadena y comprimirla con pruebas ZK. Pero el autor considera que esa salida no resuelve el problema de raíz. Solo lo desplaza. Verificar firmas lattice dentro de un circuito de conocimiento cero exige aritmética de alta dimensión y un número muy elevado de restricciones, lo que puede convertir al proceso de generación de pruebas en otro cuello de botella.
En otras palabras, si una blockchain simplemente envuelve la verificación de ML-DSA dentro de un circuito, todavía conserva el modelo centrado en firmas. ZK-ACE propone romper con esa premisa y probar la autorización directamente, sin que el circuito tenga que validar el objeto de firma postcuántica como tal.
Cómo funciona ZK-ACE
El diseño parte de una primitiva llamada DIDP, o deterministic identity derivation primitive. El trabajo la trata como una caja negra segura. Su función es derivar, desde un valor raíz de 256 bits llamado REV, claves específicas para distintos contextos criptográficos. Ese REV es la base de la identidad y, según el modelo, nunca se almacena de forma persistente.
Sobre esa base, la cadena guarda un compromiso compacto de identidad, definido como un hash del REV junto con una sal y un dominio. Ese compromiso, llamado IDcom, se convierte en el ancla pública principal de la identidad. Luego, para cada transacción, el usuario genera una prueba ZK que demuestra conocer un REV consistente con ese compromiso y que la operación fue autorizada bajo un contexto derivado, un hash de transacción y un mecanismo anti-replay.
La prueba se ata a varios datos públicos. Entre ellos están el hash de la transacción, el dominio o identificador de cadena, un valor llamado target que compromete material derivado del contexto, y un rp_com dedicado a prevenir replays. Así, el sistema busca responder cuatro preguntas a la vez: quién autorizó, qué autorizó, bajo qué contexto lo hizo y si esa autorización ya fue usada antes.
El flujo es el siguiente. Del lado del usuario, se construye la transacción, se calcula su hash y se arma un testigo privado con REV, sal, contexto, nonce y datos auxiliares. Después se generan las entradas públicas y se produce la prueba. Del lado del verificador, la cadena recalcula el hash de la transacción, revisa que el compromiso de identidad esté registrado, comprueba que el dominio y el target correspondan al contexto esperado, valida la prueba ZK y, por último, aplica la regla de anti-replay.
Qué prueba y qué no prueba el sistema
Uno de los puntos más importantes del trabajo es lo que explícitamente deja fuera. ZK-ACE no verifica firmas ML-DSA dentro del circuito. Tampoco implementa aritmética lattice, ni dice estar comprimiendo firmas postcuánticas. Según el documento, su meta es eliminar la necesidad de poner ese material en la ruta de consenso.
Para concretar la semántica de autorización, el autor define un token de autorización calculado como un hash del REV, el contexto, el hash de transacción, el dominio y un nonce. Ese token no es una firma pública tradicional. Es una representación conceptual del acto de aprobar la operación. La prueba de conocimiento cero acredita que ese token pudo derivarse correctamente desde la identidad comprometida y que queda ligado a los datos públicos declarados.
La construcción del circuito se apoya en cinco restricciones básicas. Primero, consistencia del compromiso de identidad. Segundo, corrección de la derivación determinística del target. Tercero, vinculación de la autorización al hash específico de la transacción. Cuarto, una regla anti-replay basada en nonce o nullifier. Quinto, separación por dominio y consistencia entre contexto y dominio público.
El paper estima que, usando Poseidon como hash amigable para ZK, el circuito base requeriría cerca de 1.100 a 1.400 restricciones R1CS, o hasta 1.800 con codificaciones adicionales. El contraste con una verificación in-circuit de ML-DSA sería muy amplio. Según el análisis estructural del autor, esta última demandaría del orden de millones de restricciones, lo que ubicaría a ZK-ACE alrededor de tres órdenes de magnitud por debajo en tamaño de circuito.
Seguridad, replay y separación entre dominios
La propuesta también formaliza su seguridad con juegos criptográficos. El documento define autorización sólida, resistencia a replay, resistencia a sustitución y separación entre dominios. Cada propiedad se vincula a supuestos estándar como soundness del sistema ZK, resistencia a colisiones del hash, dureza para recuperar el REV y binding de entradas públicas.
En el caso de replay, ZK-ACE plantea dos modelos. El primero usa un registro de nonces, más cercano al modelo de cuentas tradicional. Es simple, pero revela orden y obliga a cierta secuencialidad. El segundo emplea un conjunto de nullifiers, más familiar para diseños orientados a privacidad. Este evita depender de un contador por identidad, aunque introduce crecimiento global de estado y requiere más cuidado para no generar vínculos indeseados entre autorizaciones.
Para ataques de sustitución, el punto fuerte está en el binding de los datos públicos. Si alguien intenta reutilizar una prueba válida con un hash de transacción distinto, la verificación debería fallar porque la prueba está amarrada criptográficamente a esos valores de entrada. Algo similar ocurre con la separación entre dominios. El dominio se incluye en el compromiso, en el token de autorización y en la protección anti-replay, con lo que una prueba de una cadena o aplicación no debería migrarse a otra sin romper los supuestos del sistema.
El trabajo también aclara su modelo de amenaza. Asume un adversario con acceso total al estado on-chain, historial, mempool y capacidad de reordenar, reenviar o sustituir transacciones. No asume hardware confiable, entornos de ejecución seguros ni mempools privados. Si el REV subyacente se compromete, ese escenario queda fuera de alcance y se trata como una falla de la primitiva base.
Datos en cadena, account abstraction y límites del enfoque
Una de las afirmaciones más fuertes del paper es la reducción estructural del tamaño de los datos de autorización. Frente a un modelo basado en firmas PQC, donde una transacción podría cargar entre 2.420 y 4.627 bytes de firma y entre 1.312 y 2.592 bytes de clave pública en un primer uso, ZK-ACE plantea un esquema con pruebas de unos 128 a 256 bytes en instancias tipo Groth16, un compromiso de identidad de 32 bytes y entradas públicas por cerca de 160 bytes.
Con esos supuestos, el documento calcula un total estructural de unos 3.732 a 7.219 bytes por transacción en el modelo de firmas PQC, frente a unos 320 a 448 bytes para ZK-ACE. De allí surge su estimación de una reducción del orden de 10 a 20 veces en datos de autorización visibles para consenso. El propio autor aclara que no se trata de una medición de gas ni de una predicción exacta para una cadena específica, sino de una contabilidad estructural de artefactos criptográficos.
El enfoque, además, se declara compatible con account abstraction, incluyendo arquitecturas alineadas con ERC-4337. En ese entorno, ZK-ACE podría funcionar como un módulo validador que sustituye la verificación de firmas por la comprobación de una prueba ZK. También se adapta a rollups, y contempla agregación por lotes y composición recursiva, de modo que múltiples autorizaciones puedan terminar resumidas en una sola prueba de tamaño constante.
Entre las limitaciones, Jian Sheng Wang menciona la dependencia del DIDP asumido, el crecimiento del conjunto de nullifiers, la falta de una implementación concreta con benchmarks de circuito y el costo todavía relevante para el generador de pruebas. El trabajo tampoco incorpora todavía mecanismos on-chain para revocación de identidad o rotación de compromisos. Aun así, plantea una tesis clara: la blockchain postcuántica podría escalar mejor si deja de pensar en firmas como el centro de la autorización y pasa a pensar en pruebas de autorización ligadas a identidad.
