BTC
ETH为何升级,若后量子签名尚未证实?
区块链向后量子密码学升级的努力背后有个鲜为人知的秘密:没人能确定其中任何一项技术是否真的有效。主流区块链正在考虑作为抗量子升级的签名方案,均未被100%证实可行。在量子计算机问世之前,我们无法确知它们能否成功抵御攻击。某些方案甚至在“Q日”之前就可能被现有计算机技术攻破。
美国国家标准与技术研究院测试了69种后量子候选算法,其中两种——Rainbow和SIKE——在测试期间被经典计算机破解。该机构推荐的三种数字签名方案,是其对最有可能在量子攻击下存活的方案的最佳推测。它选择基于格的CRYSTALS-Dilithium(ML-DSA)作为主要方案,另一种基于格的方案Falcon(FN-DSA)用于需要较小签名的场景,以及基于哈希的SPHINCS+(SLH-DSA)作为最终候选方案。
后量子技术提供商BOLTS的Yoon Auh解释道:“如果某个方案看起来不错,他们会说:好,试试看。一旦出现问题我们会通知你。然后我们期待你们做出调整。”他补充说,现有密码技术(如RSA、ECC和AES)的安全性仅通过时间流逝得以验证。其他算法则未能存活。“密码学家和应用密码学家不愿指出这一点,”他笑道,“在现代密码学的整个历史中,只有一种密码学方案被数学证明是安全的。仅此一种。那就是一次性密码本。而这对于数字商务几乎毫无用处。”
“我们一直在使用的一切:AES、RSA、ECC。以及后量子计算领域涌现的所有变体,其安全性均无法被证明。你无法证明它。这正是像NIST这样的标准机构推出如此多后量子密码变体的原因。他们无法明确地从数学上告诉你哪一种将是安全的。”“随着时间的推移,我们将进行系统性的筛选。但唯一的方法是让研究人员真正尝试研究和攻击这些方案,以及所有正在使用的变体。”
为何升级,若后量子签名尚未100%证实?
对于一些比特币持有者来说,这足以成为目前暂缓将比特币升级至后量子密码的理由。Coinshares分析师Christopher Bendiksen在最近的一份报告中认为,即使是像BIP-360这样的升级(一种新型抗量子输出或地址),目前也毫无意义。他在报告中指出:“在支撑其的密码学被完全理解和证实之前引入新的地址格式极具风险,且不可取。在实际量子计算机出现之前,我们无法确知抗量子密码学是否有效。我们冒着浪费宝贵开发资源的风险去实施那些可能最多效率低下、最坏情况下迅速过时或彻底失效的方案。”
不幸的是,区块链没有奢侈的时间等待抗量子能力被证实后再升级。量子计算专家认为,在未来五到十年内,出现具有密码学相关性的量子计算机是切实可能的。PsiQuantum的100万量子比特阵列已在芝加哥开始建设。
比特币和以太坊开发者正在考虑的一个思路是,以允许多种签名类型的方式升级,这样如果一种被破解,可以使用另一种替代。BOLTS正在为CANTON网络开发一个试点项目,使银行和机构能够在世界不同地区使用符合当地标准的不同签名。其QFlex技术允许在不同的经典算法和后量子算法之间动态切换,使用户能按需热交换签名。QFlex获得了NIST的SBIR第一阶段奖励,但它是一种需要授权的商业技术,这意味着开源区块链社区不太可能接纳它。
以太坊有三个主要领域需升级至后量子
以太坊有三个主要领域需要升级:执行层上的secp256k1椭圆曲线签名、共识层上的BLS验证者签名以及数据可用性层上的KZG承诺。现阶段的计划(可能变动)是利用账户抽象(智能账户)在执行层提供一系列后量子签名选项。这些可能包括基于格和基于哈希的方案,允许用户使用更小但较新的基于格变体,同时将更古老且久经考验的基于哈希签名作为可靠的备用方案。
以太坊后量子团队的Antonio Sanso解释道:“对于执行层,得益于账户抽象,我们实际上无需只选择一种方案。我们可以提供多种方案,让用户选择签名。”知名研究员Justin Drake近期解释称,升级至原生账户抽象是实现签名切换的关键。“你可以非常容易地切换签名方案,因为智能合约非常灵活。例如,在智能合约内部,我们可以设定今天使用签名方案A。如果五年后我们发现某个非常有趣的研究课题,你可以切换到签名方案B,而这作为用户将完全不受影响。你仍然可以将资金保留在同一地址,无需任何改变。”
比特币开发者协助开发以太坊共识层签名方案
共识层的改造可能会使用基于哈希的、对ZK友好的扩展默克尔签名方案版本。名为LeanSig的方案是与Blockstream密码学家Mikhail Kudinov合作开发的。Sanso解释说,基于哈希的密码学是经过最多实战检验的密码学。哈希通常被认为优于较新的格结构,并且相信Shor算法无法逆向工程它们。Sanso表示:“我们采用了最保守的假设——哈希函数。在Lean Ethereum中,我们没有采用花哨的假设。它仅使用哈希技术。”他补充说,如果量子计算机能破解哈希,那么所有密码学都将终结。
NIST批准的后量子签名至少比现有签名大十倍,且面对一百万个验证者,共识层需要每秒处理数千个签名。这就是以太坊将签名聚合并压缩到ZK证明中的原因,也是其希望使用对ZK友好的Poseidon2哈希函数的原因。Drake本周告诉Bankless:“等到我们推出Poseidon时,它应该相当安全,因为届时它已经被分析了整整十年。它将通过L2保护数千亿美元,并且已经接受了该领域所有顶级专家的密码分析。而且最近,我们刚刚宣布了100万美元的奖金,试图破解Poseidon。”Drake表示,他们计划明年启动整合Poseidon的工作。那将是该哈希函数自2019年在预印本论文中首次提出后的第八年。
“你无法仅仅证明它们是安全的。你能做的最多只是尚未出现证明它们不安全的攻击。因此,基本上需要这样的‘烘焙时间’,我心目中的量级是八年。为什么是八年?因为当中本聪选择SHA-256时,它已经存在八年了。当Vitalik选择Keccak时,巧合的是,它也出现了八年。所以,我希望Poseidon至少存在八年,而当我们将其部署到以太坊上时,它确实会是。”(严格来说,Keccak在2014年被Vitalik选用时是六年,但它是基于八年前的研究工作,所以我们姑且接受。)数据可用性层似乎也可能转向基于ZK的架构。
比特币的BIP-360未指定后量子签名
BIP-360的合著者Ethan Heilman解释,该提案的最新版本允许通过向Tapscript添加新的操作码,在将来为比特币添加后量子签名算法。“后量子签名方案方面有很多工作在进行,我们可能想先采用一种签名方案,之后设计出更理想的另一种方案。也许它更安全、签名更小,或支持某种新的扩展方法。BIP 360采用的方法为我们提供了一种很好的途径,如果比特币社区决定需要新算法,可以添加签名算法。如果我们考虑二十年后的比特币,2046时代的比特币,我们很可能会拥有好得多的后量子签名方案。”
“这种灵活性的另一个好处是,可以对冲选择一种后量子签名方案后却发现其被经典攻击破解的风险。大多数后量子签名方案都相对较新,尚未成熟。”他表示,BIP-360使用的脚本树系统将允许使用两种不同的签名算法——可能是一种更保守但效率较低、签名较大的基于哈希方案(如SLH-DSA),以及一种更轻量但实战检验较少的算法(如ML-DSA)。
“这意味着如果ML-DSA被攻破,你可以直接切换到SLH-DSA,从而免受针对ML-DSA的攻击。”Heilman建议的另一种选择是继续使用现有的Schnorr签名,但内置在Q日临近时切换到SLH-DSA的能力。随着更好的后量子签名方案被开发出来,可以考虑纳入它们。另一种可能性是SHRINCS签名,其大小仅为SLH-DSA签名的十分之一。它们由Blockstream Research的Kudinov和Jonas Nick在2025年底提出,并为比特币优化了更保守的基于哈希的签名技术。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注