TL,DR: 我们预计未来会出现账户抽象和量子计算机。在这个也许不太遥远的未来,后量子签名将由链上合约验证。在这项新工作中,我们实现并评估了在链上验证四种后量子签名的gas成本:WOTS+、XMSS、SPHINS+和MAYO。我们邀请社区审查、扩展并与我们合作开发poqeth,这是一个实现这些验证算法的开源Solidity库。我们预计未来会有大幅的gas成本改善。欢迎提交PR、提出问题、发表评论和提问!
poqeth Eprint: https://eprint.iacr.org/2025/091.pdf
poqeth Github repo: GitHub - ruslan-ilesik/poqeth: poqeth: Efficient, post-quantum signature verification on Ethereum
如何为以太坊交易选择合适的后量子签名方案?
为以太坊选择合适的数字签名并非易事,因为区块链环境的限制与TLS等完全不同。在以太坊环境中,大公钥是不可接受的。更多讨论,请参见我们论文的介绍或Antonio的最新ethresear.ch帖子。
有一点是肯定的:"证明布丁的味道在于品尝";也就是说,我们需要实现这些签名方案的验证算法,才能真正了解它们在EVM中的速度。
这正是我们在poqeth中所做的。
两种评估的验证模式
我们考虑了两种验证模式:1)链上验证,合约完全验证签名;2)Naysayer验证模式。
在Naysayer验证模式下,合约只需在签名有误时进行检查,而且在这种情况下,合约只需要确信签名不正确,这可以比验证整个签名快得多。
poqeth: 一个可扩展的以太坊后量子签名验证合约库
我们决定实现并评估三种基于哈希的签名方案(WOTS+、XMSS和SPHINCS+)和一种多元二次签名方案MAYO。对于每个方案,我们提出了最优参数选择,以最小化NIST安全级别1下的链上验证成本。
未来方向和开放研究问题:
- 在EVM中为PQ签名验证添加预编译合约:我们是否应该将一些签名验证算法写入EVM?在Falcon的情况下,已经有两个EIP在倡导这一点。请参见EIP-7592和EIP-7619。或者协议应该更加模块化,只支持SIMD操作,这将大大加快多元二次签名(如MAYO)的速度。
- 签名验证的简洁证明。也许将来我们应该只使用非常链上的STARK证明来证明一批PQ签名的有效性。这种方法可以有效地摊销众多PQ签名的验证成本。最近的一篇论文中也采用了类似的方法,作者为Drake、Khovratovich、Kudinov和Wagner。另请参见这项出色的工作。
- 对更多后量子签名算法进行基准测试:扩展poqeth库,实现和评估更多PQ签名将是很酷的。如果您有兴趣在这个话题上与我们合作,请联系我们。
