Vitalik Buterin 将量子升级映射到以太坊，以取代核心密码学

简要概述

• Buterin 指出依赖密码学的四个以太坊组件存在易受量子攻击的漏洞。
• 该计划用基于哈希、格子或 STARK 的系统取代 BLS、KZG 和 ECDSA。
• 递归聚合旨在降低由量子安全签名和证明带来的高燃气成本。

以太坊联合创始人 Vitalik Buterin 周四呼吁全面改革网络的密码基础，警告量子计算的进步可能会破坏协议的核心部分，同时提出了多阶段的替换计划。 在 X 上的一篇帖子中，Buterin 指出四个易受攻击的领域：共识层的 BLS 签名、称为 KZG 承诺的数据可用性工具、标准用户账户使用的 ECDSA 签名方案，以及应用程序和第二层网络使用的零知识证明系统。 他表示，这些问题可以逐步解决，在协议的每一层都可以有专门的解决方案。“在这之前，一个重要的事情是选择哈希函数，” Buterin 写道。“这可能是‘以太坊的最后一个哈希函数’，因此选择要慎重。” 这篇帖子发布之际，以太坊基金会将后量子安全提升为首要任务。

量子计算机威胁着以太坊、比特币以及更广泛的加密行业，因为它们最终可能破解保护钱包和签署交易的公钥密码学，从而让攻击者能够从暴露的公钥推导出私钥并转移资金。 为正面应对这一问题，以太坊基金会于一月启动了专门的后量子团队，并在本月早些时候发布了一个七分支的升级计划，名为“Strawmap”，该计划将通过到2029年在网络的共识设计中集成抗量子签名和 STARK 友好的密码学。 在共识层面，Buterin 提议用基于哈希的替代方案取代验证者用来批准区块的密码学证明 BLS 签名，研究人员认为这种方案对量子攻击更具抵抗力。他还建议使用 STARKs，一种零知识证明类型，将多个验证者签名压缩成一个证明。

关于数据可用性，Buterin 表示会有权衡。以太坊依赖 KZG 承诺来验证区块数据是否结构合理且可用。STARKs 也可以执行相同的功能，但它们缺乏一种叫线性性质的数学特性，无法实现二维数据可用性采样。 “这没问题，但如果你想支持分布式块选择，后勤工作会变得更难，” Buterin 写道。 用户账户和证明系统在抗量子密码学下会面临成本大幅增加。验证当前的 ECDSA 签名大约需要 3000 燃气，而基于哈希的抗量子签名大约需要 20 万燃气。 证明的差异更大：ZK-SNARK 验证成本在 30 万到 50 万燃气之间，而抗量子 STARK 需要大约 1000 万燃气——对于大多数隐私和第二层应用来说，这个成本过高。 “解决方案仍然是协议层的递归签名和证明聚合，” Buterin 指向以太坊改进提案 8141。 根据 EIP-8141，每笔交易将包含一个“验证框架”，可以由验证其正确执行的 STARK 替代。区块中的所有验证框架随后可以聚合成一个证明，即使单个签名变大，也能保持链上存储 footprint 小巧。 Buterin 表示，证明步骤可以在内存池层进行，而不是在区块生成时，节点每 500 毫秒传播一次有效交易及其有效性证明。 “这是可行的，但还需要大量工程工作，”他说。