太长不读
- 以太坊研究论坛上的一篇帖子提出了 SPHINCS-,这是一种为 EVM 优化的、无状态的后量子签名验证方案。
- 该设计用 EVM 原生函数 KECCAK256 替代了标准的 SHAKE256 函数,从而可以在无需协议变更或预编译的情况下用 Solidity 实现。
- 其 C13 变体描述的验证成本约为 127,000 gas,签名大小为 3,704 字节。
- 该提案是非标准的,处于研究阶段,但它为以太坊日益增长的后量子安全讨论增添了内容。
以太坊研究人员正在探索一种新的后量子签名设计,该设计可能允许钱包直接在以太坊虚拟机上验证量子抗性签名,而无需更改协议。
该提案于 6 月 12 日发表在以太坊研究论坛上,引入了 SPHINCS-(发音为“SPHINCS 减号”),这是一种为兼容 EVM 而设计的高效、无状态后量子签名验证方案。帖子署名作者为 nicocsgy,并特别感谢 Vitalik Buterin 和其他贡献者。
面向以太坊钱包的后量子签名
根本问题在于,当今的区块链钱包所依赖的加密假设,未来可能会被足够强大的量子计算机削弱。这一威胁并非迫在眉睫,但以太坊研究人员和密码学家正越来越多地讨论账户如何能够随着时间的推移迁移到量子抗性签名方案。
SPHINCS- 的设计围绕一个实际限制:它应该在当前存在的 EVM 中工作。该提案没有要求新的预编译或协议级变更,而是用以太坊原生的 KECCAK256 替换了标准 SLH-DSA 哈希函数(如 SHAKE256)。
这一设计选择使得验证逻辑可以用 Solidity 实现。换句话说,该提案并不是要求以太坊立即改变其基础协议。它正在探索利用现有的 EVM 工具,后量子钱包验证可以推进到何种程度。
更低的签名预算,更低的成本
该帖子还将签名预算缩减到与区块链钱包更相关的范围。SPHINCS- 没有针对标准的每个密钥 2^64 次签名,而是将重点放在每个密钥 2^14 到 2^20 次签名的预算上。
理由是普通的以太坊地址不需要天文数字般的签名次数。帖子指出,自“合并”以来,以太坊地址每年交易的 99.9% 分位数大约为 431 笔,这表明针对钱包的特定参数可以比广泛的通用标准更加高效。
对于其 C13 变体,该提案报告的验证成本约为 127,000 gas,签名大小为 3,704 字节。与之相比,标准的 SLH-DSA-SHA2-128-24 方案(帖子称)需要 142,000 gas 和 3,856 字节的签名,并且签名过程大约需要 10.7 亿次哈希调用。
仍属研究,并非标准
该提案谨慎地指出了权衡之处。SPHINCS- 是非标准的,并且因为它使用 Keccak 和有限的签名预算,所以并未严格匹配 FIPS 205 参数。这意味着应将其视为研究,而非一个已完成的以太坊账户标准。
还存在实际的钱包限制。帖子称 C11 和 C12 变体与硬件钱包兼容,但在 ST33K1M5 安全元件上的签名时间分别列为 390 秒和 47.5 秒。这突显了理论验证效率与实际用户体验之间的差距。
尽管如此,这个方向很重要。以太坊的长期账户安全可能需要多种方法,包括新的签名方案、账户抽象工具、迁移路径和更好的钱包用户体验。
为何重要
后量子安全仍然是一个面向未来的问题,但区块链网络不能等到量子攻击变得可行时才考虑迁移。钱包升级、标准制定、用户教育和生态系统协调可能需要数年时间。
SPHINCS- 并不能解决所有这些问题。但它为以太坊研究人员提供了另一个可以测试的具体设计方案:一条无状态的、EVM 原生的、后量子的验证路径,或许无需等待基础层的变更即可工作。
