后量子时代对以太坊隐私的威胁

# 后量子时代对以太坊隐私的威胁

*感谢 Alex、Andy、Keewoo、Miha、Moven、Nico、Oskar、Sora、Thore、Vitalik、Yanis 和 Zoey 对早期草稿提出的回馈意见。本文的研究和撰写得到了人工智慧的辅助。 *

## 太长不看

对于长期暴露于「先收集后解密」策略的机密性表面而言，隐私迁移比身份验证迁移更具时效性——没有任何方法可以阻止攻击者在未来使用量子电脑解密已收集的密文，而签名伪造至少可以透过硬分叉和密钥迁移部分补救（尽管存在显著的歧义、归因和回滚成本）。业界普遍率先部署了PQ金钥交换（Chrome、iMessage、AWS、Cloudflare）；PQ验证仍处于早期阶段，尤其是在预设的公共Web PKI中。以太坊在某些表面继承了PQ传输加密（透过Go 1.24实现的基于TLS的HTTPS/JSON-RPC），但应用层隐私——构建在EVM之上而非由操作码或预编译程序原生支援的加密协议，例如隐形地址、zkID和机密交易——需要以太坊特有的工作。

| # | 问题 | 状态 |

|—|---------|--------|

| 1 | PQ Stealth 位址可扩展性 | 积极研究；调用资料膨胀和 OMR 记忆体成本仍然存在 |

| 2 | ML-KEM 在 MPC/2PC 中用于 zkTLS | 实际逾时时间内无协定 |

| 3 | 用于 zkID 导入的 NIST PQ 签章算术 | 与前量子 SNARK 相比有 131 倍差距 |

| 4 | zkID 导入的 PQ 凭证验证成本 | 131 倍 SNARK 差距；[EIP-8051]( EIP-8051：ML-DSA 签章验证预编译)/[8052]( EIP-8052：Falcon 支援预编译)（草案）提案作为启用基础设施 |

| 5 | PQ 已验证正确的加密方式供指定审计员使用 | 检测并标记可能就足够了；协议强制模型尚未解决 |

--

＃＃ 介绍

后量子时代对区块链的威胁已被广泛认可，并可分为两类： **真实性**和**隐私性** 。真实性指的是数位签章及其更广泛形式——零知识证明的伪造。隐私性指的是链上和链下资料的机密性，以及使用者及其行为的匿名性和不可关联性。

为缓解身分验证威胁，人们投入了大量精力。 2024 年 8 月，NIST 最终确定了其首批三项后量子密码学(PQC) 标准—ML-KEM (FIPS 203)、ML-DSA (FIPS 204) 和 SLH-DSA (FIPS 205)。到 2026 年初，以太坊基金会已将后量子密码学 (PQ) 安全性提升至协议路线图的更高层级，并开始组织专门的公共后量子密码学工作小组。

相较之下，隐私威胁的紧迫性尤其突出，这主要归因于「先撷取后解密」（HNDL）策略——即先撷取加密资料并将其储存起来，直到拥有足够强大的量子电脑才能破解加密。在传统网路中，攻击者必须主动窃听流量才能获取密文，但区块链是公开的、仅可追加的帐本：应用层加密资料——链上密文、隐藏地址公告、加密笔记、查看金钥——对所有人永久可见。无需拦截步骤；链本身就是存档。任何今天发布的与隐私相关的密文预设都可以被获取，并将在帐本的整个生命周期内保持公开状态。与身分验证失败不同，后者至少可以透过紧急协调部分补救（尽管存在[重大歧义和回滚成本]( 如何在量子紧急情况下进行硬分叉以挽救大多数用户的资金)），隐私泄露是不可逆的——一旦密文被未来的量子攻击者解密，任何协议升级都无法重新加密它。业界已经意识到这种不对称性：Chrome、Apple iMessage (PQ3)、AWS 和 Cloudflare 已经提供了后量子密钥交换功能，而默认公共网路 PKI 中的后量子身份验证功能仍然基本未部署——因为密钥交换可以防止 HNDL 攻击，而验证只需要抵抗实时伪造任务（[ ETH ）5. (PQC) 现况 | F5 Labs )）。

## 以太坊的免费权益——以及它不享有的权益

并非所有 PQ 隐私迁移都需要针对以太坊进行专门研究。更广泛的行业加密迁移已经涵盖了一些传输介面：Geth 使用 Go 语言编写，而 Go 1.24 预设支援混合 PQ TLS (X25519MLKEM768)—— Kubernetes v1.33 只需升级 Go 即可自动获得 PQ 金钥交换功能。 HTTPS JSON-RPC 端点、浏览器到 dApp 的连线以及任何使用 TLS 1.3 并透过 Go 的 TLS 协定堆叠部署的 libp2p 元件，无需更改以太坊协定即可继承 PQ 加密传输。 （以太坊原生 DevP2P/RLPx 协定堆叠运行在 TCP 而非 TLS 之上，因此无法自动受益；此外，libp2p 还支援 Noise 作为安全通道选项，这需要单独进行 PQ 升级。）

以太坊*无法*继承的是**应用层**隐私－也就是建构在以太坊虚拟机（EVM）之上的加密协议，而非由操作码或预编译程式原生支援的加密协议。链上密文、基于ECDH的用于笔记发现（查看金钥）的金钥派生、基于ECDH的隐藏地址生成、零知识证明加密（在零知识电路中证明密文是在给定公钥下正确生成的，用于符合规范的屏蔽转账）以及访问模式隐藏（防止观察者了解用户读取或写上了哪些链上记录，例如他们扫描或花费了哪些本文的其余部分将重点讨论这些缺陷。

## 匿名性与不可连结性

隐形位址、zkID 和 zkTLS 等技术在匿名性和不可关联性方面提供了良好的使用者体验，足以满足当今大多数应用场景的需求。问题在于，在后量子时代，这些优势是否依然存在。

### 隐藏位址

隐藏位址依赖椭圆曲线迪菲-赫尔曼金钥交换（ECDHKE），而量子电脑可以破解该金钥交换。 ECDHKE 可以用链下 ML-KEM 替代，但 ML-KEM-768 密文大小为 1088 位元组，是压缩后的 ECDH 点的 33 倍。 EIP-4844 资料区块会在大约 18 天后被剪枝，因此将其用于隐藏位址密文将要求接收者在该时间视窗内检索密文——这增加了目前隐藏位址设计所没有的「存活」要求。

一种不增加调用资料负担的潜在解决方案是使用链下边车协定的不经意讯息检索 (OMR)。这引入了链上隐身地址所没有的资料可用性信任假设：接收者依赖边车营运商来储存和提供密文。如果运营商离线或扣留数据，接收者将无法扫描以取得其密文。 ML-KEM 在结构上比 ECDH 更相容于 OMR。 [基于 Module-LWE 的隐身位址协定](后量子隐身位址协定)的扫描速度比经典 ECPDKSAP 快约 66.8%，而混合的[「高效曲线」协定]( [2504.06744]更有效率的隐身位址协定)的扫描速度则快约 3 倍。 OMR 本身也从最初的 [原始构造](不经意讯息检索) 改进到了 [PerfOMR]( PerfOMR：通讯和计算量减少的不经意讯息检索)（每条讯息约 40 毫秒，键值缩小 235 倍）和 [HomeRun]( HomeRun：高效能提升、无限制的不经意讯息检索3830 倍运行速度）。然而，OMR 的记忆体开销（约 20 GB 以上）对于轻量级基础架构而言仍然不切实际。

### zkTLS

随著 TLS 伺服器迁移到混合 PQ 金钥交换（X25519MLKEM768），zkTLS 也必须随之迁移：使用者和公证人之间的 MPC/2PC 必须共同执行握手过程中的 X25519 和 ML-KEM-768 部分，且金钥不得向任何一方泄露会话。目前的 zkTLS 协定（例如 TLSNotary）运行在 TLS 1.2 之上；TLS 1.3 支援（X25519MLKEM768 协商发生在 TLS 1.3 上）已列入其开发计划，但尚未发布。即使是 TLS 1.3 MPC/2PC 中的经典 X25519 金钥交换，目前也没有生产环境中的 zkTLS 实作——而添加 ML-KEM-768（其 NTT 多项式运算在通用 MPC 框架中开销较大）则进一步加剧了这一挑战。一个具体的演示可能需要将 MPC 与 ML-KEM 的代数结构协同设计，而不是使用通用框架。

### zkID

zkID 要求使用者在其装置的 ZK 电路中证明其已正确验证签名，然后仅向验证者提交该证明（而非凭证）。完整的 PQ zkID 需要两层后量子安全：(1) *签名方案*本身必须是 PQ 安全的（以防止量子攻击者伪造凭证），以及 (2) 产生 ZK证明的 *证明系统*也必须是 PQ 安全的（以防止量子攻击者伪造证明）。实际部署的核心问题在于如何在 PQ 证明系统中以尽可能低的成本实现 PQ 签章验证的运算。

基于哈希的方案（例如 XMSS、Winternitz 和 SPHINCS+）完全由哈希计算构成。如果将内部杂凑演算法（SHA-256：约 25,000 个 R1CS 约束）替换为 ZK 原生杂凑演算法，例如 Poseidon（约 240 个约束－请参阅 [ZKPlus 基准测试]( ZKrates - ZKPlus 中的杂凑演算法和基准测试)，[Guo 等人]( [2409.019769.019 区块和 ARK, 工具]( [2409.0199649 工具证明系统基准测试)），验证电路的规模将缩小约 100 倍。这是因为基于杂凑的签章是*通用的* ，它们只需要抗碰撞性和抗原像性，而不需要特定的代数运算。签名仍然保持 PQ 安全性，并在 ZK 环境下证明成本极低。基于格的签章（ML-DSA、FN-DSA）缺乏此特性：它们的 NTT 多项式运算计算成本很高，因此更适合透过预编译程式进行直接链上验证（[EIP-8051]( EIP-8051：ML-DSA 签章验证的预编译程序, [EIP-8052]( EIP-805支援的预编译程序)），而不是在零知识电路中证明其正确性（即，用户在零知识条件下证明“我验证了这个签名”，而无需泄露凭证）。

#### 汇出以太坊 ID

这在技术上是可行的：生态系统可以利用 Poseidon 的内部机制设计基于以太坊原生哈希的 PQ 签名，用户则在其设备上的 STARK 系统中进行验证。需要注意的是：这是一种客制化的、以太坊特有的设计，并非标准化的 SLH-DSA（FIPS 205 仅规定了基于 SHAKE/SHA2 的参数集）。它无法与外部 PKI 互通，也无法满足要求使用 NIST 认证演算法的合规性框架。这种方法的优点在于生态系统可以同时控制签署者和验证者，但应该将其理解为一种原生设计选择，而非符合标准的设计。

#### 汇入真实世界身分证件

这很棘手：发行方会使用标准化的 ML-DSA 或 SLH-DSA 演算法，并结合 SHA-256/SHAKE 加密，而不是 Poseidon 演算法。完整的验证过程——包括 SHA-256/SHAKE 加密以及（对于 ML-DSA 而言）格 NTT 加密——必须按原样进行算术运算。这里存在更深层的不匹配：现实世界的签章方案通常以牺牲验证成本为代价来优化快速签章（伺服器签署大量凭证），而验证成本则相对较高（单一客户端进行验证），这与区块链环境截然相反，区块链的验证是在链上或零知识证明电路中进行的，因此必须尽可能降低成本。这种设计上的不对称性是导入现实世界凭证成本高昂的根本原因。 Wu 等人提出的基于格的指定验证者 zkSNARK（ https://www.cs.utexas.edu/~dwu4/papers/LatticeDVSNARKs.pdf ）可产生约 16 KB 的证明（比 Aurora 小 10.3 倍），但仍比 Groth16 大 131倍；需要注意的是，指定验证者机制意味著证明只能由持有私钥的特定验证者进行验证，而不能在链上公开验证——这对于区块链应用场景而言是一个额外的限制。 STARK 是最实用的 PQ 路径（它们仅依赖抗碰撞哈希，无需格或配对假设），但产生的证明比 Groth16 等预量子 SNARK 大得多。剩余的差距：弥合 131 倍的 PQ/预量子 SNARK 差距；有效率地计算 NIST PQ 签章验证；以及开发可用于凭证验证的生产级 PQ SNARK。

## 保密性

保密性——即隐藏交易金额、余额和合约状态——是注重隐私的以太坊 L2 基础设施（例如Aztec ，其 Ignition Chain 于 2025 年 11 月启动，但主网第一阶段尚未执行用户交易）以及 Railgun 和 Privacy Pools 等应用层工具的核心机制。状态承诺（梅克尔树、票据杂凑）可以使用像 Poseidon 这样的 PQ 安全杂凑演算法——漏洞存在于*加密*层。由此产生了两个不同的子问题：

- **笔记发现和金钥交换** ：在 Aztec 等系统中查看金钥依赖于基于 EC 的金钥派生——发送方使用接收方的公钥加密，以便接收者能够识别发给他们的笔记。 ML-KEM 可以取代 ECDHKE（与隐藏位址一样，密文膨胀 33 倍，采用相同的基于 OMR 的缓解方案），但此金钥交换发生在零知识证明电路*之外* ，无需电路内证明。

- **向指定审计员/合规接收方提供经验证正确的加密** ：为了在合规的屏蔽传输中进行选择性披露，发送方直接使用指定接收方已知的公钥进行加密，并在零知识证明电路中验证其正确性。接收方可以是监管机构、机构合规部门、DAO 财务审计员或协议指定的任何一方。在量子运算出现之前，ElGamal 以低成本实现了这一点（只需一次 EC 标量乘法，并且完全符合零知识证明的要求）。量子计算出现之后，发送者将使用基于格的公钥加密（例如，Kyber.CPAPKE 或纯 LWE Regev 加密）。对于大多数实际设计，发送者可以在电路*外部*执行格公钥加密，汇出对称金钥，并在电路*内部*使用 Poseidon 的海绵模式验证对称加密的正确性（每次置换约 240 个约束，PQ 安全，Aztec 已将其用于纸币加密）。如果发送者作弊（使用虚假密钥加密），审计员会收到无意义的资料并标记该交易——这是一种检测并标记的模型。更强大的模型——协议*保证*指定的接收方可以Decrypt——需要在零知识证明电路中证明格公钥加密的正确性，由于字段不匹配（格运算基于 q = 3,329，而证明系统字段如 BN254），这仍然很昂贵，尽管比完整的 ML-KEM 简单。这种较弱的检测并标记模型是否足够，既是开放的政策问题，也是密码学问题。

## 客户端验证作为依赖项

zkID 和保密性都要求用户在自己的装置上产生零知识证明——委托给伺服器会泄漏证明旨在保护的私密输入。虽然 GPU 加速对所有证明后端都有益处，但 PQ 证明系统受益尤为显著，原因有二：(1) 当前的 CPU 性能使得客户端无法生成 PQ 证明，导致其对 GPU 加速的依赖性比量子系统之前更强；(2) PQ 原语——基于 NTT 的小域跨式运算上限——比基于序列的切元计算上限——后者由于其更天然地结构性上限。 MSM v2：探索 Apple GPU 上的 MSM 加速 | PSE )。 NTT 是 STARK 证明和格操作的*共享原语* ，小域 PQ 方案（M31，q = 3,329）在移动 GPU 上实现了 [100+ Gops/s，而 BN254 则低于 1 Gops/s](客户端 GPU 加速隐私 ZK：通往日常以太坊隐私之路是存在的原始吞吐量。

GPU加速既适用于以太坊原生身分路径（STARKs中已验证的基于Poseidon内部杂凑的签章），也适用于现实世界身分导入路径（SNARKs中已验证的NIST PQ签章）。但以太坊原生路径提供了一条更为便捷的客户端隐私保护途径：透过控制签章方案，生态系统可以从一开始就选择既符合PQ安全标准又对GPU友善的原语，而无需对外部强制执行的演算法进行算术运算。因此，优先考虑以太坊身分设计空间也是一种务实的客户端验证策略。

客户端 GPU 验证是以太坊基础设施面临的更广泛的挑战（有利于抗审查性、有效性证明等），并非后量子隐私所特有。我们在此将其视为一项依赖：没有它，后量子隐私就无法实现。但是，[GPU ZK 生态系统]( GitHub - zkmopro/awesome-client-side-gpu: Awesome things around client-side GPU ecosystems. · GitHub )及其[后量子路线图]( Client-Side GPU Acceleration for ZK: A Path to Everday Ethereum 将其通用工作的基础验证

## 近期路线图建议

上述问题处于不同的成熟阶段。有些问题已经有了已知的PQ替代方案，可以进入实施阶段；有些问题仍需进一步研究。一份有效的路线图能够区分哪些问题可以立即实施，哪些问题需要突破性进展，从而避免在等待期间累积新的风险。

**设计原则：避免新的经典隐私债务。 **保密性债务是不可逆的－与认证性债务不同，认证性债务可以透过金钥轮替或紧急分叉进行部分补救。任何储存长期存在的 ECDH 衍生密文的新隐私协议都会永久延长 HNDL 的暴露视窗。对于任何持续时间超过单一会话的保密性表面，新的设计都应预设使用 PQ 密钥交换，但当 PQ 替代方案尚不实用时，则应明确记录例外情况。

1. **量化隐私蜜罐**。 *量子蜜罐*是指足够强大的量子电脑到达目标后能够提取的总价值。身份验证蜜罐（即包含易受量子攻击密钥的帐户的总价值）规模庞大但并非无限：社区可以协调进行一次[紧急硬分叉]( 如何在量子紧急情况下通过硬分叉来挽救大多数用户的资金)，以冻结暴露的帐户并迁移到 PQ 签名。

隐私蜜罐的结构有所不同，也是本文的重点。它是自区块链创世以来链上累积的加密数据，随著每个区块的产生而成长。任何分叉都无法重新加密过去的密文。每类外泄事件都会独立累积：

- **受保护的交易和加密的笔记：**量子攻击者可以追溯性地解密每个受保护资金池中曾经提交的余额、转账金额和合约状态——每个参与者的完整财务历史记录。

- **隐藏位址连结：** ECDH 衍生的隐藏位址可以追溯到接收者，从而破坏了隐蔽方案旨在提供的不可连结性。

- **选择性披露凭证：**受合规保护的、原本应由指定审计员查阅的披露信息，现在任何拥有量子计算机的人都可以读取，从而将 KYC 数据、机构立场和身份关联暴露给非预期方。

- **检视金钥和笔记发现：**基于 EC 的笔记扫描金钥派生揭示了哪些笔记属于哪些接收者，即使金额仍然隐藏在对称加密之后，也能对整个交易图进行去匿名化。

社会影响与窃盗截然不同：政治捐款者的身分资讯会被追溯性地去匿名化，个人和机构的财务隐私会被瓦解，合规关系会被揭露。真实性陷阱可以被清空并停止，而隐私陷阱只能被阻止进一步扩大——每一次阻断都会增加不可逆转的风险。

*交付成果：*一份量化且定期更新的隐私蜜罐评估报告－包括面临风险的资料类别、各类别的成长率以及补救时间表－为治理层提供迁移紧迫性的切实依据。对真实性蜜罐（风险价值、分支准备情况）的类似评估报告可以提供有用的背景信息，但目前这方面的信息已经比较清晰。

2. **建立保密面注册表。 **枚举所有密文或金钥资料在单一工作阶段结束后仍保留的隐私面：隐藏公告、检视金钥、加密笔记、应用层密文、凭证汇入、选择性揭露流程。为每项隐私面标记储存期限、加密假设和金钥替换可用性。最终输出的是一个结构化的注册表，团队可以查询该注册表以确定迁移优先级，而不是一个叙述性的威胁模型。

为了保持注册表的时效性，引入或依赖保密面的新 EIP 和协定规范应包含一个**PQ 威胁模型部分** ——类似于现有的安全考虑要求——以识别易受量子攻击的假设、暴露于 HNDL 的资料以及迁移路径。这使得 PQ 就绪性从事后审计转变为持续的设计限制。

3. **发布可处理曲面的参考库和基准测试。 **有两个曲面已知 PQ 原语，现在可以开始实现：

- *ML-KEM 笔记发现：*密文产生和扫描、钱包/索引器介面、OMR 检索边车。

- *以太坊原生 zkID：* Poseidon 内部基于哈希的 PQ 签名，带有 STARK 验证电路，针对客户端证明时间和证明大小进行了基准测试。

目标是建立通用基线，而不是生产就绪——理想情况下，应该针对至少一个面向隐私的 L2 或应用程式堆叠进行端对端验证，以发现仅凭基准测试无法发现的整合问题。

4. **将开放性问题作为非阻塞性研究方向来规划。 **有三个领域非常重要但尚未解决：与 PQ 相容的 zkTLS（基于 ML-KEM 握手的多方计算/双向计算）、实际应用中的 zkID 导入（NIST PQ 签名验证的算术化）以及协议强制执行的、经证明正确的加密（仅限指定审计人员访问）。在实际限制条件下，目前尚无针对这些领域的具体协议。应资助并追踪这些问题，但不要阻碍注册表、参考库或上述设计原则的进展。

--

*欢迎提供回馈意见——特别是关于隐私蜜罐框架、可追溯性评估以及我们可能遗漏的任何PQ隐私方面。 *