背景
如果建成量子计算机,它可以实现Shor算法和Grover算法。这些算法可以完全破解ECDSA/ECDH,并将哈希函数(和密码)的强度从2^n2n降低到2^\frac{n}{2}2n2
ETH中还有一些不太明显的部分需要升级。
仍然可以的部分
- bip39 (pbkdf2-sha512)似乎没有问题
不可以的部分
- bip32 hdkey派生
- 应该被一种后量子和更好的方案取代(没有"非硬化"密钥)
- 新方案可以基于HKDF(如EIP-2333),但不是HKDF-SHA256
- 另一种KDF是上下文模式的Blake3(后量子安全性不明确)
- 拟议的方案应该同时支持ECC和新的后量子模式
- 交易签名
- 应该被基于格的Falcon(FN-DSA/FIPS-206)或基于哈希的Sphincs-plus(SLH-DSA/FIPS-205)取代
- 新的密钥和签名将占用更多空间
- Falcon-1024有1.75KB的密钥和1.25KB的签名
- SLH-DSA-256有128B的密钥和17KB-50KB的签名
- 发送者地址恢复
- 这是ECDSA的一个特性(Schnorr等算法中没有)
- 也许交易(而不是签名)应该编码发送者地址
- 地址格式
- 目前是40个十六进制字符,keccak256(公钥)
- keccak256应该被keccak512/sha3-512/sha512/blake3-512取代
- Grover算法如何影响地址的暴力破解?是否应该将40个字符增加到80-128个?
- 更长的地址格式可能应该使用类似bech32的东西进行校验和和人性化
- 新地址如何与旧地址/EVM互操作?
- 加密钱包
- 应该从AES-128升级到AES-256或chacha20
- HMAC-SHA256应该升级到HMAC-SHA512或KMAC/blake3-512(密钥模式)
- KZG EIP-4844验证
- 应该被一种后量子方案取代
- 目前算法还不清楚,有什么建议吗?
- EVM 0x20操作码(KECCAK256)
- 应该被keccak512/sha3-512/sha512/blake3-512取代
- EVM预编译的ECRECOVER
- 见上面的地址恢复
- EVM预编译的BN/BLS/KZG
- 应该被新的方案取代(不清楚用哪些?)
- 共识层签名聚合
- 目前每个时期(6分钟)聚合所有验证者的签名
- 现在已经超过100万个签名了?
- 目前算法还不清楚,有什么建议吗?
- 还有其他什么吗?
最后的想法
我相信这些问题都可以在有限的时间内解决。让我们开始解决它们吧。
如果这种计算机很快就出现,可以尝试Vitalik的方法(《如何硬分叉以拯救大多数用户的资金》):冻结所有账户,利用BIP39和ZK-证明将资金恢复到新的后量子方案。
