摘要:面对量子计算逼近的潜在威胁,主流区块链正推进后量子签名升级,但多数方案尚未被完全验证。在缺乏数学证明的前提下,行业依赖时间筛选与多算法并行策略应对不确定性。
后量子密码的“未知之谜”:为何明知未证仍要升级?
区块链迈向后量子密码学的转型背后,隐藏着一个核心矛盾:目前所有候选方案均未经过100%验证。即便在量子计算机问世前,也无法确定其能否抵御未来攻击。部分算法甚至可能在“Q日”来临之前,已被经典计算手段破解。
美国国家标准与技术研究院(NIST)曾对69种后量子候选算法进行评估,其中两种——Rainbow与SIKE——已在测试阶段被传统计算机攻破。最终推荐的三种数字签名机制,仅为基于当前研究的最佳推测:基于格结构的CRYSTALS-Dilithium(ML-DSA)作为主推方案;适用于小签名场景的Falcon(FN-DSA);以及作为长期备选的基于哈希的SPHINCS+(SLH-DSA)。
密码学的现实困境:没有一种能被数学证明安全
BOLTS公司密码专家Yoon Auh指出:“如果某个方案看起来可行,我们就说‘试试看’。一旦发现问题,我们会通知你。然后期待你们作出调整。”他补充道,现有广泛使用的加密标准如RSA、ECC和AES,其安全性仅通过时间积累得以确认。历史上,唯一被数学严格证明安全的加密方式,是“一次性密码本”,但该方法因实用性极低而无法用于现代数字交易。
“我们所依赖的一切——包括最新的后量子变体——都无法被形式化证明安全。你无法证明它。这正是为何像NIST这样机构要提出多种替代方案的原因。他们无法从理论上告诉你哪一个是绝对安全的。”
“真正的筛选过程只能依靠持续的研究与攻击尝试。只有当这些方案经受住长期考验,才可能获得信任。”
比特币持有者质疑:升级是否为时过早?
对于部分比特币支持者而言,这一不确定性足以成为暂缓升级的理由。Coinshares分析师Christopher Bendiksen在其报告中明确表示,诸如BIP-360这类抗量子输出格式的引入,在密码学基础未充分验证前,实属高风险行为。他强调:“在支撑其的密码学尚未被彻底理解之前,贸然部署新地址体系既不必要,也极不可取。我们正冒着浪费宝贵开发资源的风险,去实施那些可能效率低下、迅速过时或根本失效的方案。”
然而,现实不容等待。量子计算专家普遍认为,具备实际破解能力的量子计算机可能在未来五至十年内出现。PsiQuantum已在芝加哥启动建设其百万量子比特阵列,标志着技术落地进入关键阶段。
灵活架构:多签名共存以应对未知风险
为应对潜在的算法失效风险,比特币与以太坊开发者正探索“多签名共存”的路径。例如,BOLTS正在为CANTON网络开发试点项目,使金融机构可在不同司法管辖区采用符合本地法规的签名方案。其QFlex技术支持在经典算法与后量子算法间动态切换,实现热替换。尽管该技术已获NIST SBIR第一阶段资助,但由于为授权商业产品,开源社区难以采纳。
以太坊三大层需全面升级至后量子
以太坊面临三大核心层的改造需求:执行层的secp256k1椭圆曲线签名、共识层的BLS验证者签名,以及数据可用性层的KZG承诺机制。当前规划(可能调整)是借助账户抽象(智能账户),在执行层提供多种后量子签名选项,涵盖基于格与基于哈希的方案。用户可选择更紧凑的格结构变体,同时保留久经考验的哈希签名作为可靠后备。
以太坊后量子团队成员Antonio Sanso表示:“得益于账户抽象,我们无需锁定单一方案。我们可以让使用者自主选择签名方式。”知名研究员Justin Drake进一步解释,原生账户抽象使得签名切换极为简便。“你可以在智能合约内部设定今日使用方案A。若五年后有新突破,即可无缝切换至方案B,用户完全无感——资金仍保留在同一地址。”
共识层转向保守路线:哈希为王
共识层的演进或将采用对零知识(ZK)友好的扩展默克尔签名方案,名为LeanSig,由Blockstream密码学家Mikhail Kudinov主导开发。Sanso强调:“我们采取最保守的假设——即哈希函数。在Lean Ethereum设计中,我们不依赖花哨的理论,仅使用成熟的哈希技术。”他指出,若量子计算机能破解哈希函数,则整个密码学体系将全面崩溃。
NIST批准的后量子签名通常比现行方案大十倍以上。在拥有百万级验证者的共识系统中,每秒需处理数千次签名验证。因此,以太坊正将签名聚合并压缩成零知识证明,并计划采用对ZK友好的Poseidon2哈希函数。
Drake近日向Bankless透露:“待到推出Poseidon时,它应已历经十年密码分析。届时它将保护数十亿美元资产于L2之上,并接受领域顶尖专家的持续检验。此外,我们刚刚宣布了100万美元奖金,旨在寻找破解它的方法。”他预计明年将启动整合工作——这将是该哈希函数自2019年首次提出后的第八个年头。
“你无法单纯通过证明确保安全。唯一可依赖的是:尚未发现有效攻击。因此,我心中理想的‘烘焙时间’至少为八年。为什么是八年?因为中本聪选用SHA-256时,它已存在八年;Vitalik选用Keccak时,也已有六年历史——虽非精确,但其根基源自八年前的研究。所以,我希望Poseidon在部署前也能经历至少八年的考验。”
比特币的弹性设计:预留未来升级空间
BIP-360合著者Ethan Heilman解释,该提案最新版本允许通过向Tapscript添加新操作码,未来向比特币引入后量子签名算法。“当前仍在进行大量工作,我们或许会先采用一种方案,再逐步迭代出更优解——可能更安全、签名更小或支持新功能。BIP-360的设计提供了一条清晰路径:若社区未来决定更换算法,可轻松集成。”
“这种灵活性的关键在于,能有效对冲误选某项算法后被攻破的风险。大多数后量子签名方案尚处早期阶段,尚未成熟。”他表示,该脚本树系统支持双轨并行:一种保守但效率较低、签名较大的基于哈希方案(如SLH-DSA),另一种轻量但实战检验较少的算法(如ML-DSA)。
“这意味着若ML-DSA遭破解,系统可立即切换至SLH-DSA,避免损失。”Heilman还建议,可继续沿用现有Schnorr签名,并内置在“Q日”临近时切换至SLH-DSA的能力。随着更优方案问世,亦可逐步纳入。另一候选方案是SHRINCS签名,其大小仅为SLH-DSA的十分之一,由Blockstream Research的Kudinov与Jonas Nick于2025年底提出,专为比特币优化的保守型哈希签名技术。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。