你想实现后量子以太坊交易签名 - 密码学

以太坊中文
发布于 2024-12-19 15:15
阅读 5

本文探讨了以太坊应对量子计算威胁的紧迫性，重点分析了采用 Falcon 格签名算法作为后量子交易签名的技术路径。文章详细对比了通过账户抽象（AA）、硬分叉或混合 RIP 方案实现 Falcon 签名的优缺点及潜在的技术挑战。

## 所以你想要后量子以太坊交易签名

**感谢 Vitalik Buterin、Justin Drake、Renaud Dubois、Marius Van Der Wijden 和 Zhenfei Zhang 的富有成效的讨论。**

### 介绍

2024 年可能会被视为标志着量子计算机威胁加速的年份之一。谷歌在其 CEO Sundar Pichai 的领导下，终于通过一条[**响亮的推文**](https://x.com/sundarpichai/status/1866167429367468422)发布了其量子芯片 Willow！

世界上最著名的量子专家之一 Scott Aaronson 改变了他对那些询问是否应该担心量子计算机的人的回应。他[**从说**](https://scottaaronson.blog/?p=8329)

> ……也许，最终，有人将需要开始考虑从 RSA、Diffie-Hellman 和椭圆曲线密码学迁移到基于格（lattice-based）的加密或其他可能抵御量子攻击的系统，……

**转变为**

> 是的，毫无疑问，现在就开始担心。制定一个计划。

Vitalik 已经写过关于[**在量子紧急情况下如何通过硬分叉来挽救大多数用户资金**](https://ethresear.ch/t/how-to-hard-fork-to-save-most-users-funds-in-a-quantum-emergency/18901/1)的文章。此外，几天前，他在一个[**播客**](https://x.com/3orovik/status/1867754730136731923)中强调了以太坊中四个可能容易受到量子攻击的主要组件。它们是：

1. 以太坊交易签名（特别是使用 **ECDSA**）
2. 共识中的 **BLS** 签名
3. 数据可用性采样（利用 **KZG** 承诺）
4. Verkle 树（如果随 **Bandersnatch** 一起发布）

细心的读者可能已经注意到，这四个点有一个共同点——是的，就是我**心爱的**椭圆曲线。不幸的是，椭圆曲线的离散对数问题（ECDLP）会被 Shor 算法（一种著名的量子算法）破解。

在这篇简短的笔记中，我们将分析第一点的一种可能的后量子替代方案，即潜在的**后量子以太坊交易签名**。

### 哪种 PQ 签名？

现在，一个合理的问题是：**我们应该使用哪种后量子（PQ）签名？** 幸运的是，如果现在必须做出选择，我们不需要过度思考。前以太坊基金会密码学家 Zhenfei Zhang 已经写过关于 [NIST 后量子密码学标准进程](https://crypto.ethereum.org/blog/nist-pqc-standard)的文章。如果我们分析三种可能的签名选择（其中两种利用了基于格的密码学），很明显（至少目前如此）Falcon 似乎是最有希望的候选者。验证者的计算量应该与其他基于格的签名方案（如 Dilithium）大致相同，即受限于 FFT。然而，[Falcon](https://falcon-sign.info/) 确实具有更小的签名尺寸。

### 发布它！！！

既然我们已经“确定”了要使用的签名，接下来的问题是：**我们该如何发布它？** 现在存在一个巨大的分歧：一种方案涉及硬分叉，而另一种则不涉及。让我们深入探讨一下。

#### 账户抽象方式

我们将讨论的第一种方法，可以说是最优雅且最有前途的，涉及**账户抽象**（AA）。Justin Drake 和 Vitalik 在多个场合都提倡过这一点。

对于不熟悉它的人来说，AA 是一项拟议的改进，旨在通过改变交易和账户的管理方式，使以太坊生态系统更加灵活和用户友好。它将传统上保留给外部拥有账户（EOAs）的某些功能转移到智能合约中，从而有效地“抽象”了 EOA 与智能合约账户之间的差异。

以太坊开发人员已经提出了各种实现 AA 的方案，包括 [ERC-4337](https://learnblockchain.cn/docs/eips/EIPS/eip-4337)。这是一个在不需要共识层升级的情况下实现 AA 的实用解决方案。它使用一种称为 **User Operation** 对象和引入了一个单独的 **Bundler** 层来处理交易的机制。

在这种情况下，添加 **Falcon 作为以太坊交易签名意味着编写一个 Falcon 验证器合约**，该合约负责在交易由 **Entry Point** 合约执行之前验证 **User Operation** 对象的有效性。

现在，这听起来可能很美好，但至少存在一个实质性的潜在问题。在 Solidity 中编写 Falcon 可能不是最好的体验（而且可能非常耗费 Gas）。最重要的是，还有更棘手的问题，例如 Falcon 处理的是 13 位数字，而 Solidity 仅支持 U256。后者是可以通过向 EVM 添加 [SIMD](https://learnblockchain.cn/docs/eips/EIPS/eip-616) 和 [EVMMAX](https://learnblockchain.cn/docs/eips/EIPS/eip-6690) 来解决的那类问题。

- **优点：** 这是一个优雅且灵活的解决方案。
- **缺点：** 在 Gas 消耗方面成本很高。

#### 硬分叉方式

我们在这里讨论的方法在技术上可能是最简单的。它的灵感来自 Marius Van Der Wijden 之前的工作，本质上涉及引入一种**使用 Falcon 签名签名的新[交易类型](https://learnblockchain.cn/docs/eips/EIPS/eip-2718)**，[**而不是 BLS 签名**](https://learnblockchain.cn/docs/eips/EIPS/eip-7591)。这里最大的问题是，这样做会使我们（通过新的 EIP）紧紧地绑定在一种受青睐的主签名方案上。

所以，回顾一下这种方法

- **优点：** 易于编码且速度快。
- **缺点：** 并非面向未来。

#### 混合方式

一个非常吸引人的方法是取上述两种方法的优点，并将它们结合成一个。简而言之，我们可以像 [RIP-7212](https://github.com/ethereum/RIPs/blob/5dbad75fcc9aabf3021e176818aa8d256293d460/RIPS/rip-7212.md) 那样利用 AA，但当然，我们需要一个**针对 Falcon 的新 RIP**。这可能为在 rollup 中试验该功能并确定 Falcon 是否真的是正确选择提供时间。然而，需要注意的是，这种方法并不能解决在 L1 层面引入新签名方案的原始问题。

- **优点：** 易于编码且速度快。
- **缺点：** 暂时的（不能解决 L1 的使用案例）。

### 结论

量子计算的兴起要求采取紧急行动来保护以太坊，特别是其容易受到 Shor 算法攻击的交易签名。Falcon 作为一种基于格的签名方案，因其效率和紧凑的尺寸而成为有力的候选者。部署策略，包括账户抽象、硬分叉或混合方法，各自提供不同的好处和权衡。进行仔细评估对于确保以太坊在保持可扩展性和可用性的同时，能够抵御量子威胁至关重要。

- [Falcon 作为以太坊交易签名：优点、缺点和棘手之处](https://learnblockchain.cn/article/24655)
- [通往后量子以太坊交易之路是由账户抽象 (AA) 铺就的](https://learnblockchain.cn/article/24654)
- [NTT 作为后量子和 Starks 结算助手预编译](https://ethresear.ch/t/ntt-as-postquantum-and-starks-settlements-helper-precompile/21775)
- [重新审视用于 PQ 内存池的 Falcon 签名聚合](https://learnblockchain.cn/article/24658)
- [如果后量子以太坊根本不需要签名会怎样？](https://learnblockchain.cn/article/24656)
- 还有 3 篇

>- 原文链接： [ethresear.ch/t/so-you-wa...](https://ethresear.ch/t/so-you-wanna-post-quantum-ethereum-transaction-signature/21291/1)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

所以你想要后量子以太坊交易签名

感谢 Vitalik Buterin、Justin Drake、Renaud Dubois、Marius Van Der Wijden 和 Zhenfei Zhang 的富有成效的讨论。

介绍

2024 年可能会被视为标志着量子计算机威胁加速的年份之一。谷歌在其 CEO Sundar Pichai 的领导下，终于通过一条响亮的推文发布了其量子芯片 Willow！

世界上最著名的量子专家之一 Scott Aaronson 改变了他对那些询问是否应该担心量子计算机的人的回应。他从说

……也许，最终，有人将需要开始考虑从 RSA、Diffie-Hellman 和椭圆曲线密码学迁移到基于格（lattice-based）的加密或其他可能抵御量子攻击的系统，……

转变为

是的，毫无疑问，现在就开始担心。制定一个计划。

Vitalik 已经写过关于在量子紧急情况下如何通过硬分叉来挽救大多数用户资金的文章。此外，几天前，他在一个播客中强调了以太坊中四个可能容易受到量子攻击的主要组件。它们是：

以太坊交易签名（特别是使用 ECDSA）
共识中的 BLS 签名
数据可用性采样（利用 KZG 承诺）
Verkle 树（如果随 Bandersnatch 一起发布）

细心的读者可能已经注意到，这四个点有一个共同点——是的，就是我心爱的椭圆曲线。不幸的是，椭圆曲线的离散对数问题（ECDLP）会被 Shor 算法（一种著名的量子算法）破解。

在这篇简短的笔记中，我们将分析第一点的一种可能的后量子替代方案，即潜在的后量子以太坊交易签名。

哪种 PQ 签名？

现在，一个合理的问题是：我们应该使用哪种后量子（PQ）签名？ 幸运的是，如果现在必须做出选择，我们不需要过度思考。前以太坊基金会密码学家 Zhenfei Zhang 已经写过关于 NIST 后量子密码学标准进程的文章。如果我们分析三种可能的签名选择（其中两种利用了基于格的密码学），很明显（至少目前如此）Falcon 似乎是最有希望的候选者。验证者的计算量应该与其他基于格的签名方案（如 Dilithium）大致相同，即受限于 FFT。然而，Falcon 确实具有更小的签名尺寸。

发布它！！！

既然我们已经“确定”了要使用的签名，接下来的问题是：我们该如何发布它？ 现在存在一个巨大的分歧：一种方案涉及硬分叉，而另一种则不涉及。让我们深入探讨一下。

账户抽象方式

我们将讨论的第一种方法，可以说是最优雅且最有前途的，涉及账户抽象（AA）。Justin Drake 和 Vitalik 在多个场合都提倡过这一点。

以太坊开发人员已经提出了各种实现 AA 的方案，包括 ERC-4337。这是一个在不需要共识层升级的情况下实现 AA 的实用解决方案。它使用一种称为 User Operation 对象和引入了一个单独的 Bundler 层来处理交易的机制。

在这种情况下，添加 Falcon 作为以太坊交易签名意味着编写一个 Falcon 验证器合约，该合约负责在交易由 Entry Point 合约执行之前验证 User Operation 对象的有效性。

现在，这听起来可能很美好，但至少存在一个实质性的潜在问题。在 Solidity 中编写 Falcon 可能不是最好的体验（而且可能非常耗费 Gas）。最重要的是，还有更棘手的问题，例如 Falcon 处理的是 13 位数字，而 Solidity 仅支持 U256。后者是可以通过向 EVM 添加 SIMD 和 EVMMAX 来解决的那类问题。

优点： 这是一个优雅且灵活的解决方案。
缺点： 在 Gas 消耗方面成本很高。

硬分叉方式

我们在这里讨论的方法在技术上可能是最简单的。它的灵感来自 Marius Van Der Wijden 之前的工作，本质上涉及引入一种使用 Falcon 签名签名的新交易类型，而不是 BLS 签名。这里最大的问题是，这样做会使我们（通过新的 EIP）紧紧地绑定在一种受青睐的主签名方案上。

所以，回顾一下这种方法

优点： 易于编码且速度快。
缺点： 并非面向未来。

混合方式

一个非常吸引人的方法是取上述两种方法的优点，并将它们结合成一个。简而言之，我们可以像 RIP-7212 那样利用 AA，但当然，我们需要一个针对 Falcon 的新 RIP。这可能为在 rollup 中试验该功能并确定 Falcon 是否真的是正确选择提供时间。然而，需要注意的是，这种方法并不能解决在 L1 层面引入新签名方案的原始问题。

优点： 易于编码且速度快。
缺点： 暂时的（不能解决 L1 的使用案例）。

结论

原文链接： ethresear.ch/t/so-you-wa...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。