简要概述
* Buterin 指出依赖密码学的四个以太坊组件存在易受量子攻击的漏洞。
* 该计划用基于哈希、格子或 STARK 的系统取代 BLS、KZG 和 ECDSA。
* 递归聚合旨在降低由量子安全签名和证明带来的高燃气成本。
以太坊联合创始人 Vitalik Buterin 周四呼吁全面改革网络的密码基础,警告量子计算的进步可能会破坏协议的核心部分,同时提出了多阶段的替换计划。
在 X 上的一篇帖子中,Buterin 指出四个易受攻击的领域:共识层的 BLS 签名、称为 KZG 承诺的数据可用性工具、标准用户账户使用的 ECDSA 签名方案,以及应用程序和第二层网络使用的零知识证明系统。
他表示,这些问题可以逐步解决,在协议的每一层都可以有专门的解决方案。“在这之前,一个重要的事情是选择哈希函数,” Buterin 写道。“这可能是‘以太坊的最后一个哈希函数’,因此选择要慎重。”
这篇帖子发布之际,以太坊基金会将后量子安全提升为首要任务。
量子计算机威胁着以太坊、比特币以及更广泛的加密行业,因为它们最终可能破解保护钱包和签署交易的公钥密码学,从而让攻击者能够从暴露的公钥推导出私钥并转移资金。
为正面应对这一问题,以太坊基金会于一月启动了专门的后量子团队,并在本月早些时候发布了一个七分支的升级计划,名为“Strawmap”,该计划将通过到2029年在网络的共识设计中集成抗量子签名和 STARK 友好的密码学。
在共识层面,Buterin 提议用基于哈希的替代方案取代验证者用来批准区块的密码学证明 BLS 签名,研究人员认为这种方案对量子攻击更具抵抗力。他还建议使用 STARKs,一种零知识证明类型,将多个验证者签名压缩成一个证明。
关于数据可用性,Buterin 表示会有权衡。以太坊依赖 KZG 承诺来验证区块数据是否结构合理且可用。STARKs 也可以执行相同的功能,但它们缺乏一种叫线性性质的数学特性,无法实现二维数据可用性采样。
“这没问题,但如果你想支持分布式块选择,后勤工作会变得更难,” Buterin 写道。
用户账户和证明系统在抗量子密码学下会面临成本大幅增加。验证当前的 ECDSA 签名大约需要 3000 燃气,而基于哈希的抗量子签名大约需要 20 万燃气。
证明的差异更大:ZK-SNARK 验证成本在 30 万到 50 万燃气之间,而抗量子 STARK 需要大约 1000 万燃气——对于大多数隐私和第二层应用来说,这个成本过高。
“解决方案仍然是协议层的递归签名和证明聚合,” Buterin 指向以太坊改进提案 8141。
根据 EIP-8141,每笔交易将包含一个“验证框架”,可以由验证其正确执行的 STARK 替代。区块中的所有验证框架随后可以聚合成一个证明,即使单个签名变大,也能保持链上存储 footprint 小巧。
Buterin 表示,证明步骤可以在内存池层进行,而不是在区块生成时,节点每 500 毫秒传播一次有效交易及其有效性证明。
“这是可行的,但还需要大量工程工作,”他说。
