所以你想实现后量子以太坊交易签名 —— 密码学

以太坊中文
发布于 2024-12-19 15:55
阅读 7

文章探讨了以太坊在量子计算威胁下的应对方案，重点分析了 Falcon 签名作为后量子交易签名的可行性。作者详细讨论了通过账户抽象（AA）、硬分叉及混合模式（RIP）实现抗量子迁移的技术路径及其优缺点。

## 所以你想要后量子以太坊交易签名

**感谢 Vitalik Buterin, Justin Drake, Renaud Dubois, Marius Van Der Wijden 和 Zhenfei Zhang 的富有成效的讨论。**

### 引言

2024 年可能会作为标志着量子计算机威胁加速的年份之一而被铭记。谷歌在其首席执行官 Sundar Pichai 的领导下，终于通过一条[响亮的推文](https://x.com/sundarpichai/status/1866167429367468422)揭晓了其量子芯片 Willow！

Scott Aaronson，世界上最著名的量子专家之一，已经改变了其对询问是否应该担心量子计算机的人们的回应。他[从之前的说法](https://scottaaronson.blog/?p=8329)：

> ……也许，最终有人需要开始考虑从 RSA、Diffie-Hellman 和椭圆曲线加密迁移到基于格的加密或其他能够抵御量子攻击的系统中……

转变为：

> 是的，毫不含糊地，现在就开始担心这件事。制定一个计划。

Vitalik 已经写过关于[如何在量子紧急情况下进行硬分叉以拯救大多数用户的资金](https://ethresear.ch/t/how-to-hard-fork-to-save-most-users-funds-in-a-quantum-emergency/18901/1)的文章。此外，几天前，他在一次[播客](https://x.com/3orovik/status/1867754730136731923)中强调了四个可能容易受到量子攻击的以太坊主要组件。它们是：

1. 以太坊交易签名（特别是使用 **ECDSA**）
2. 共识中的 **BLS** 签名
3. 数据可用性采样（利用 **KZG** 承诺）
4. Verkle 树（如果随 **Bandersnatch** 一起发布）

细心的读者可能已经注意到，这四点有一个共同之处——是的，就是我**亲爱的**椭圆曲线。不幸的是，椭圆曲线离散对数问题（ECDLP）会被 Shor 算法（一种著名的量子算法）破解。

在这篇简短的笔记中，我们将分析第一点的可能后量子替代方案，即潜在的**后量子以太坊交易签名**。

### 哪种 PQ 签名？

现在，一个合理的问题是：**我们应该使用哪种后量子（PQ）签名？** 幸运的是，如果现在必须做出选择，我们不需要过度思考。前以太坊基金会密码学家 Zhenfei Zhang 已经撰写了关于 [NIST 后量子密码学标准制定过程](https://crypto.ethereum.org/blog/nist-pqc-standard)的文章。如果我们分析三种可能的签名选择（其中两种利用了基于格的加密），很明显（至少目前如此）Falcon 似乎是最有希望的候选者。验证者的计算量应与其他基于格的签名方案（如 Dilithium）大致相同，即受限于 FFT。然而，[Falcon](https://falcon-sign.info/) 确实具有更小的签名尺寸。

### 发布它！！！

既然我们已经“确定”了要使用的签名，接下来的问题是：**我们将如何发布它？** 现在存在一个巨大的二分法：一种涉及硬分叉，另一种则不涉及。让我们深入探讨一下。

#### 账户抽象方式

我们要讨论的第一种方法，可以说是最优雅且最有前途的，涉及**账户抽象**（AA）。Justin Drake 和 Vitalik 在各种场合都提倡这种方法。

对于不熟悉它的人来说，AA 是一项旨在通过改变交易和账户的管理方式，使以太坊生态系统更加灵活和用户友好的拟议改进。它将传统上由外部拥有账户（EOAs）保留的某些功能转移到智能合约中，有效地“抽象”了 EOA 与智能合约账户之间的差异。

以太坊开发人员已经为实现 AA 引入了各种提案，包括 [ERC-4337](https://learnblockchain.cn/docs/eips/EIPS/eip-4337)。这是一个实用的解决方案，无需共识层升级即可实现 AA。它使用一种称为 **User Operation** 对象的方法，并引入了一个单独的 **Bundler** 层来处理交易。

**在这种情况下添加 Falcon 作为以太坊交易签名，意味着编写一个 Falcon 验证者合约**，该合约负责在 **Entry Point** 合约执行 **User Operation** 对象之前验证其有效性。

现在，这听起来可能是一片光明，但至少存在一个实质性的潜在问题。在 Solidity 中编写 Falcon 可能不是最好的体验（而且可能 Gas 成本相当高）。最重要的是，还有更棘手的问题，例如 Falcon 处理的是 13 位数字，而 Solidity 仅支持 U256。后者是可以通过在 EVM 中添加 [SIMD](https://learnblockchain.cn/docs/eips/EIPS/eip-616) 和 [EVMMAX](https://learnblockchain.cn/docs/eips/EIPS/eip-6690) 来解决的一类问题。

- **优点：** 这是一种优雅且灵活的解决方案。
- **缺点：** 在 Gas 消耗方面成本很高。

#### 硬分叉方式

我们在这里讨论的方法在技术上可能是最简单的。它受到 Marius Van Der Wijden 之前工作的启发，本质上涉及引入一种使用 Falcon 签名[而不是 BLS 签名](https://learnblockchain.cn/docs/eips/EIPS/eip-7591)签署的**新[交易类型](https://learnblockchain.cn/docs/eips/EIPS/eip-2718)**。这里最大的问题是，这样做会使我们（通过新的 EIP）与某种受青睐的主签名方案紧密绑定。

所以，总结这种方法：

- **优点：** 易于编写且速度快。
- **缺点：** 不具备前瞻性。

#### 混合方式

一个非常有吸引力的方法是将上述两种方法的优点结合成一个。简而言之，我们可以像 [RIP-7212](https://github.com/ethereum/RIPs/blob/5dbad75fcc9aabf3021e176818aa8d256293d460/RIPS/rip-7212.md) 那样利用 AA，但当然，我们需要一个**针对 Falcon 的新 RIP**。这可能会提供在 Rollups 中试验该功能的时间，并确定 Falcon 是否确实是可行之路。然而，重要的是要注意，这种方法并不能解决在 L1 层引入新签名方案的原始问题。

- **优点：** 易于编写且速度快。
- **缺点：** 暂时的（不能解决 L1 使用场景）。

### 结论

量子计算的兴起要求采取紧急行动来保护以太坊，特别是其容易受到 Shor 算法攻击的交易签名。Falcon 作为一种基于格的签名方案，因其高效和紧凑的尺寸而成为有力的候选者。部署策略，包括账户抽象、硬分叉或混合方法，各自提供不同的收益和权衡。进行仔细评估对于确保以太坊在保持可扩展性和可用性的同时，能够稳健地抵御量子威胁至关重要。

- [Falcon as an Ethereum Transaction Signature: The Good, the Bad, and the Gnarly](https://learnblockchain.cn/article/24655)
- [The road to Post-Quantum Ethereum transaction is paved with Account Abstraction (AA)](https://learnblockchain.cn/article/24654)
- [NTT as PostQuantum and Starks settlements helper precompile](https://ethresear.ch/t/ntt-as-postquantum-and-starks-settlements-helper-precompile/21775)
- [Revisiting Falcon signature aggregation for PQ mempools](https://learnblockchain.cn/article/24658)
- [What if post-quantum Ethereum doesn’t need signatures at all?](https://learnblockchain.cn/article/24656)
- 还有 3 篇

>- 原文链接： [ethresear.ch/t/so-you-wa...](https://ethresear.ch/t/so-you-wanna-post-quantum-ethereum-transaction-signature/21291)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

所以你想要后量子以太坊交易签名

感谢 Vitalik Buterin, Justin Drake, Renaud Dubois, Marius Van Der Wijden 和 Zhenfei Zhang 的富有成效的讨论。

引言

2024 年可能会作为标志着量子计算机威胁加速的年份之一而被铭记。谷歌在其首席执行官 Sundar Pichai 的领导下，终于通过一条响亮的推文揭晓了其量子芯片 Willow！

Scott Aaronson，世界上最著名的量子专家之一，已经改变了其对询问是否应该担心量子计算机的人们的回应。他从之前的说法：

……也许，最终有人需要开始考虑从 RSA、Diffie-Hellman 和椭圆曲线加密迁移到基于格的加密或其他能够抵御量子攻击的系统中……

转变为：

是的，毫不含糊地，现在就开始担心这件事。制定一个计划。

Vitalik 已经写过关于如何在量子紧急情况下进行硬分叉以拯救大多数用户的资金的文章。此外，几天前，他在一次播客中强调了四个可能容易受到量子攻击的以太坊主要组件。它们是：

以太坊交易签名（特别是使用 ECDSA）
共识中的 BLS 签名
数据可用性采样（利用 KZG 承诺）
Verkle 树（如果随 Bandersnatch 一起发布）

细心的读者可能已经注意到，这四点有一个共同之处——是的，就是我亲爱的椭圆曲线。不幸的是，椭圆曲线离散对数问题（ECDLP）会被 Shor 算法（一种著名的量子算法）破解。

在这篇简短的笔记中，我们将分析第一点的可能后量子替代方案，即潜在的后量子以太坊交易签名。

哪种 PQ 签名？

现在，一个合理的问题是：我们应该使用哪种后量子（PQ）签名？ 幸运的是，如果现在必须做出选择，我们不需要过度思考。前以太坊基金会密码学家 Zhenfei Zhang 已经撰写了关于 NIST 后量子密码学标准制定过程的文章。如果我们分析三种可能的签名选择（其中两种利用了基于格的加密），很明显（至少目前如此）Falcon 似乎是最有希望的候选者。验证者的计算量应与其他基于格的签名方案（如 Dilithium）大致相同，即受限于 FFT。然而，Falcon 确实具有更小的签名尺寸。

发布它！！！

既然我们已经“确定”了要使用的签名，接下来的问题是：我们将如何发布它？ 现在存在一个巨大的二分法：一种涉及硬分叉，另一种则不涉及。让我们深入探讨一下。

账户抽象方式

我们要讨论的第一种方法，可以说是最优雅且最有前途的，涉及账户抽象（AA）。Justin Drake 和 Vitalik 在各种场合都提倡这种方法。

以太坊开发人员已经为实现 AA 引入了各种提案，包括 ERC-4337。这是一个实用的解决方案，无需共识层升级即可实现 AA。它使用一种称为 User Operation 对象的方法，并引入了一个单独的 Bundler 层来处理交易。

在这种情况下添加 Falcon 作为以太坊交易签名，意味着编写一个 Falcon 验证者合约，该合约负责在 Entry Point 合约执行 User Operation 对象之前验证其有效性。

现在，这听起来可能是一片光明，但至少存在一个实质性的潜在问题。在 Solidity 中编写 Falcon 可能不是最好的体验（而且可能 Gas 成本相当高）。最重要的是，还有更棘手的问题，例如 Falcon 处理的是 13 位数字，而 Solidity 仅支持 U256。后者是可以通过在 EVM 中添加 SIMD 和 EVMMAX 来解决的一类问题。

优点： 这是一种优雅且灵活的解决方案。
缺点： 在 Gas 消耗方面成本很高。

硬分叉方式

我们在这里讨论的方法在技术上可能是最简单的。它受到 Marius Van Der Wijden 之前工作的启发，本质上涉及引入一种使用 Falcon 签名而不是 BLS 签名签署的新交易类型。这里最大的问题是，这样做会使我们（通过新的 EIP）与某种受青睐的主签名方案紧密绑定。

所以，总结这种方法：

优点： 易于编写且速度快。
缺点： 不具备前瞻性。

混合方式

一个非常有吸引力的方法是将上述两种方法的优点结合成一个。简而言之，我们可以像 RIP-7212 那样利用 AA，但当然，我们需要一个针对 Falcon 的新 RIP。这可能会提供在 Rollups 中试验该功能的时间，并确定 Falcon 是否确实是可行之路。然而，重要的是要注意，这种方法并不能解决在 L1 层引入新签名方案的原始问题。

优点： 易于编写且速度快。
缺点： 暂时的（不能解决 L1 使用场景）。

结论

原文链接： ethresear.ch/t/so-you-wa...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。