面向 L2 序列器的最小后量子 VRF（与混合加密内存池互补）

最近围绕混合加密内存池 (HEM) 的讨论凸显了以太坊在处理随机性和对抗模型方面存在的根本分歧。本文探讨了一种互补的密码学原语——最小确定性、PQ 可验证的 VRF——专门针对单操作员或小型委员会信任域，例如 L2 序列器、AA 捆绑器和零知识证明者分配。

其目的并非与基于阈值的 L1 信标工作竞争，而是为了阐明在什么情况下轻量级原语可能是完成这项工作的正确工具。

1.对抗模型：L1 vs. L2

对于全局 L1 随机性信标，对抗选择空间为：

 Choices_L1 ≈ 2^k

对于一个规模为k的委员会，因为提案人可能会拒绝捐款。
不可预测的 RANDAO 将此大致简化为：

 Choices_threshold ≈ k + 1

只有在以下情况下，这种减少才有意义：

• 对手是多方势力，

• 参与无需许可。

• 扣留资金在经济上是合理的。

相比之下，典型的L2信任域的行为则截然不同：

• 序列器组通常包含单个操作符（或 2-5 个节点），

• 运营商已经控制了批量订购，

• 延迟预算在毫秒级以下，

• 顺序一致性至关重要。

• 活性检测失败是灾难性的。

因此，有效的对抗选择空间为：

 Choices_L2 ≈ 1

一旦我们接受了这一点，加密要求将发生重大变化。

在这种情况下，Threshold/DKG解决方案可能带来的脆弱性大于安全性提升。

2. 为什么ThresholdVRF和DKG对于L2来说可能有点过头了

混合加密内存池提出了一种基于阈值的机制，旨在消除信息披露的选择性并提高状态根的不可预测性。它是一种适用于全局对抗模型的强大设计。

然而，L2 语境中的Threshold方案引入了以下问题：

• DKG 或静默设置旋转复杂度，

• 对 >t 在线委员会成员的依赖，

• 多点活性检测故障

• 延迟开销与L2流水线不兼容，

• 每次轮换都需要重新加密。

这些故障模式通常与 L2 汇总所使用的确定性排序和验证流程不兼容。

这促使我们去寻找一种更简单的原语，以匹配 L2 操作员的信任模型。

3. 适用于小型信任域的最小 PQ 就绪 VRF

这种结构设计得非常简单。
它不是阈值无偏的，不是随机性信标，也不是为解决对抗性多方熵而设计的。

其目的是：

• L2状态转换的确定性可重复性，

• 快速、运营商本地化的承诺，

• PQ可验证的历史审计性，

• 零 DKG，零委员会，零活性耦合。

已知：

• 私有高熵种子
  （源自密封或可信的熵源；实现方式定义）

• 公开消息msg （批次 ID，域分隔符）。

VRF 型输出：

 Y = H(s, msg)

其中H是由标准对称原语组成的确定性哈希链。
（例如，keccak256 → SHAKE256 → BLAKE2s → keccak512）。
具体流程由实现定义，并被视为 PRF。

辅助验证组件：

• 包含最小元数据的承诺π （包括对链的哈希承诺），

• 经典可验证签名：

   σ_cl = Sign_secp256k1(Y)

• 后量子特征：

   σ_pq = Sign_MLDSA65(Y || π)

确认：

1. 验证 PQ 签名：

    MLDSA65 .Verify (pub_pq, Y || π, σ_pq)

2. 重新计算：

    Y' = H(s, msg)

3. （可选）检查σ_cl是否与 EVM 兼容。

4. 接受，当且仅当：

    Y' == Y

特性：

• 确定性

• 无曲线

• 仅对称哈希

• 无Threshold密码学

• 无活性耦合

• PQ可审计

• 延迟小于 1 毫秒

这更接近于可验证的 PRF而不是经典的 VRF，但它满足 L2 运行需求。

4. 与混合加密内存池的关系

这两个基本元素分别对应不同的威胁模型：

HEM提供：

• 消除用户选择性披露

• 对加密交易 MEV 向量的抵抗力，

• 州根的L1级不可预测性，

• 与公正的信标愿望的兼容性，

• 全球多方环境中所需的Threshold属性。

确定性 PQ-VRF 提供：

• 可重复的测序随机性，

• 确定性批次 → 证明 → 结算行为

• 独立于传统密码学的PQ可验证历史记录

• 零委员会，零DKG，

• 单算子域的最佳拟合行为。

因此，这两个基本元素是互补的，而不是竞争的。

HEM 稳定了全局对抗随机性。
最小 PQ-VRF 稳定局部确定性角色。

5. 对 L2s / AA / zk-prover 网络的潜在相关性

许多二级系统隐含地要求：

• 可重复性 > 无偏性，

• 决定论 > 熵，

• 可审计性 > 不可预测性

• 简洁性优于全球协调性

• PQ寿命 > 经典曲线假设。

具有密封种子、确定性行为和 PQ 可验证承诺的轻量级原语可能是最简单的正确解决方案。

尤其：

• 序列器旋转

• 批次 ID 选择

• zk-证明者分配

• 聚合器/捆绑器调度

可能根本不足以证明Threshold随机性的合理性。

6. 开放式问题（供讨论）

（1）
是否有理论结果表明，即使对抗模型简化为单个参与者，单算子域仍然应该采用Threshold随机性？

（2）
L2 能否安全地使用 HEM 的加密状态根不可预测性？或者，由于Rollup管道的时序和活性限制，L2 的随机性是否应该在架构上与 L1 解耦？

（3）
在偏差无关紧要但可重复性和历史可验证性的领域中，确定性 PQ 可验证 VRF 是否严格劣于ThresholdVRF？

（4）
如果结合加密内存池的不可预测性，统一的基于 PRF 的设计能否涵盖这两个角色？或者这两个问题领域从根本上来说是正交的？

7. 总结

本文提出了一种适用于以下环境的最小VRF类原语：

• 委员会引入了不必要的脆弱性，

• 客观性无关紧要，

• 确定性排序至关重要。

• 需要具备PQ可审核性。

• 延迟预算非常紧张，

• 信任领域本质上是集中式的。

它不能替代Threshold随机性或混合加密内存池。
它是为不同的对抗模型设计的补充模型。

社区的反馈——特别是关于Threshold与确定性结构长期趋同（或分歧）的反馈——将非常宝贵。