Aptos发布了AIP-137 ,引入了 SLH-DSA-SHA2-128s 作为其首个后量子签章方案,以抵御未来的量子运算威胁。
该提案由Aptos Labs 密码学主管 Alin Tomescu 起草,旨在量子电脑成为紧迫问题之前,为量子电脑在密码学上的重要性做好准备。
这项计划的推出正值量子计算从理论推测过渡到切实现实之际,IBM 正在讨论扩展路径,而 NIST 也发布了最终的后量子标准。
专家们也正在争论量子威胁会在五年还是五十年后出现,而Aptos选择采取保守的准备措施,而不是被动地应对。
保守的安全感高于绩效
AIP-137 优先考虑安全性而非效率,选择了 SLH-DSA-SHA2-128s,这是由 NIST 标准化为 FIPS 205 的无状态杂凑签章方案。
该方案完全依赖 SHA-256,这是一种已经嵌入到Aptos基础设施中的杂凑函数,不需要任何新的加密假设。
这种保守的方法旨在解决后量子密码学过去出现的失败,例如基于多元密码学的 NIST 决赛入围方案 Rainbow 在 2022 年被普通笔记型电脑完全破解。
Aptos是基于经过验证的杂凑函数,而不是奇异的数学假设,从而最大限度地降低了经典攻击破坏所谓量子安全方案的风险。
权衡的关键在于大小和速度。签章档案大小为 7,856 字节,是 Ed25519 的 82 倍,而验证过程大约需要 294 微秒,速度慢了约 4.8 倍。
这些效能成本是故意的,接受效率损失以换取绝对的安全保证,不会将未经测试的加密假设引入系统。
ML-DSA 等替代方案提供了更小的签名和更快的验证速度,但依赖结构化格问题的难度,引入了新的数学假设。
Falcon 压缩签章大小约 1.5 KB,效能更佳,但需要浮点运算,因此实作容易出错。
Aptos计划在 SLH-DSA 建立保守基线后,为未来的提案保留这些激进的优化方案。
无需强制迁移的准备工作
该提案明确避免强制迁移,保留 Ed25519 作为预设签章方案,同时引入 SLH-DSA 作为可选层,治理可以在量子威胁需要启动时启用该层。
需要后量子安全保障的使用者可以选择性地采用此方案,而不会扰乱整个网路。
这种稳健的做法与业界对量子技术准备的更广泛看法相一致。
MicroStrategy 创办人 Michael Saylor 最近表示,“量子运算不会破坏比特币,反而会使其更加坚固”,这表明主动升级的网路将会看到安全性得到提高,同时供应动态也会收紧,因为遗失的比特币仍然被冻结。
他的观点反映了一种日益增长的共识,即量子威胁虽然严重,但也为那些准备好发展其密码基础的网路提供了机会。
对于Aptos,实作方式包括功能标志,允许在验证器、索引器、钱包和开发工具中进行受控部署。
分阶段推出可以让生态系统有时间在量子电脑能够破解目前密码技术之前调整基础设施。
全行业对量子技术的担忧日益加剧
该提案反映了加密货币行业对量子计算时间表的普遍担忧。
Solana联合创始人 Anatoly Yakovenko 最近警告说, 比特币在五年内有 50% 的机率面临量子突破,他敦促加快采用抗量子方案,因为人工智慧的加速发展缩短了开发时间。
专家估计,比特币供应量的 30%(约 600 万至 700 万枚BTC,价值数千亿美元)仍然处于易受攻击状态,因为它们采用的是直接暴露公钥的旧地址格式。
科技巨头们正竞相以激进的时间表向量子霸权迈进。 IBM计划在本世纪末之前制造出10万量子位元的晶片组,而PsiQuantum的目标是在同一时期内实现100万光子量子位元。
微软声称,随著晶片技术的近期突破,量子运算现在距离实现「几年而不是几十年」;而Google的 Willow 晶片在五分钟内解决了传统电脑需要数十亿年才能解决的问题。
麦考瑞大学的 Gavin Brennen 告诉Cryptonews ,破解 256 位元椭圆曲线签名所需的量子位元数量估计已从 1,000 万到 2,000 万个降至约 100 万个。
布伦南表示:“破解 256 位数位签名的合理时间表是 2030 年代中期。”
Grayscale 的《2026 年数位资产展望》也承认量子运算是一项长期的密码学挑战,但认为其对近期价格的影响不大,并指出在 2030 年之前不太可能出现与密码学相关的量子电脑。
然而,这位资产管理人强调,随著技术的发展,大多数区块链最终都需要进行后量子时代的升级,以实现实际可行性。
