面向 L2 序列器的最小後量子 VRF（與混合加密內存池互補）

最近圍繞混合加密內存池 (HEM) 的討論凸顯了以太坊在處理隨機性和對抗模型方面存在的根本分歧。本文探討了一種互補的密碼學原語——最小確定性、PQ 可驗證的 VRF——專門針對單操作員或小型委員會信任域，例如 L2 序列器、AA 捆綁器和零知識證明者分配。

其目的並非與基於閾值的 L1 信標工作競爭，而是為了闡明在什麼情況下輕量級原語可能是完成這項工作的正確工具。

1.對抗模型：L1 vs. L2

對於全局 L1 隨機性信標，對抗選擇空間為：

 Choices_L1 ≈ 2^k

對於一個規模為k的委員會，因為提案人可能會拒絕捐款。
不可預測的 RANDAO 將此大致簡化為：

 Choices_threshold ≈ k + 1

只有在以下情況下，這種減少才有意義：

• 對手是多方勢力，

• 參與無需許可。

• 扣留資金在經濟上是合理的。

相比之下，典型的L2信任域的行為則截然不同：

• 序列器組通常包含單個操作符（或 2-5 個節點），

• 運營商已經控制了批量訂購，

• 延遲預算在毫秒級以下，

• 順序一致性至關重要。

• 活性檢測失敗是災難性的。

因此，有效的對抗選擇空間為：

 Choices_L2 ≈ 1

一旦我們接受了這一點，加密要求將發生重大變化。

在這種情況下，Threshold/DKG解決方案可能帶來的脆弱性大於安全性提升。

2. 為什麼ThresholdVRF和DKG對於L2來說可能有點過頭了

混合加密內存池提出了一種基於閾值的機制，旨在消除信息披露的選擇性並提高狀態根的不可預測性。它是一種適用於全局對抗模型的強大設計。

然而，L2 語境中的Threshold方案引入了以下問題：

• DKG 或靜默設置旋轉複雜度，

• 對 >t 在線委員會成員的依賴，

• 多點活性檢測故障

• 延遲開銷與L2流水線不兼容，

• 每次輪換都需要重新加密。

這些故障模式通常與 L2 彙總所使用的確定性排序和驗證流程不兼容。

這促使我們去尋找一種更簡單的原語，以匹配 L2 操作員的信任模型。

3. 適用於小型信任域的最小 PQ 就緒 VRF

這種結構設計得非常簡單。
它不是閾值無偏的，不是隨機性信標，也不是為解決對抗性多方熵而設計的。

其目的是：

• L2狀態轉換的確定性可重複性，

• 快速、運營商本地化的承諾，

• PQ可驗證的歷史審計性，

• 零 DKG，零委員會，零活性耦合。

已知：

• 私有高熵種子
  （源自密封或可信的熵源；實現方式定義）

• 公開消息msg （批次 ID，域分隔符）。

VRF 型輸出：

 Y = H(s, msg)

其中H是由標準對稱原語組成的確定性哈希鏈。
（例如，keccak256 → SHAKE256 → BLAKE2s → keccak512）。
具體流程由實現定義，並被視為 PRF。

輔助驗證組件：

• 包含最小元數據的承諾π （包括對鏈的哈希承諾），

• 經典可驗證簽名：

   σ_cl = Sign_secp256k1(Y)

• 後量子特徵：

   σ_pq = Sign_MLDSA65(Y || π)

確認：

1. 驗證 PQ 簽名：

    MLDSA65 .Verify (pub_pq, Y || π, σ_pq)

2. 重新計算：

    Y' = H(s, msg)

3. （可選）檢查σ_cl是否與 EVM 兼容。

4. 接受，當且僅當：

    Y' == Y

特性：

• 確定性

• 無曲線

• 僅對稱哈希

• 無Threshold密碼學

• 無活性耦合

• PQ可審計

• 延遲小於 1 毫秒

這更接近於可驗證的 PRF而不是經典的 VRF，但它滿足 L2 運行需求。

4. 與混合加密內存池的關係

這兩個基本元素分別對應不同的威脅模型：

HEM提供：

• 消除用戶選擇性披露

• 對加密交易 MEV 向量的抵抗力，

• 州根的L1級不可預測性，

• 與公正的信標願望的兼容性，

• 全球多方環境中所需的Threshold屬性。

確定性 PQ-VRF 提供：

• 可重複的測序隨機性，

• 確定性批次 → 證明 → 結算行為

• 獨立於傳統密碼學的PQ可驗證歷史記錄

• 零委員會，零DKG，

• 單算子域的最佳擬合行為。

因此，這兩個基本元素是互補的，而不是競爭的。

HEM 穩定了全局對抗隨機性。
最小 PQ-VRF 穩定局部確定性角色。

5. 對 L2s / AA / zk-prover 網絡的潛在相關性

許多二級系統隱含地要求：

• 可重複性 > 無偏性，

• 決定論 > 熵，

• 可審計性 > 不可預測性

• 簡潔性優於全球協調性

• PQ壽命 > 經典曲線假設。

具有密封種子、確定性行為和 PQ 可驗證承諾的輕量級原語可能是最簡單的正確解決方案。

尤其：

• 序列器旋轉

• 批次 ID 選擇

• zk-證明者分配

• 聚合器/捆綁器調度

可能根本不足以證明Threshold隨機性的合理性。

6. 開放式問題（供討論）

（1）
是否有理論結果表明，即使對抗模型簡化為單個參與者，單算子域仍然應該採用Threshold隨機性？

（2）
L2 能否安全地使用 HEM 的加密狀態根不可預測性？或者，由於Rollup管道的時序和活性限制，L2 的隨機性是否應該在架構上與 L1 解耦？

（3）
在偏差無關緊要但可重複性和歷史可驗證性的領域中，確定性 PQ 可驗證 VRF 是否嚴格劣於ThresholdVRF？

（4）
如果結合加密內存池的不可預測性，統一的基於 PRF 的設計能否涵蓋這兩個角色？或者這兩個問題領域從根本上來說是正交的？

7. 總結

本文提出了一種適用於以下環境的最小VRF類原語：

• 委員會引入了不必要的脆弱性，

• 客觀性無關緊要，

• 確定性排序至關重要。

• 需要具備PQ可審核性。

• 延遲預算非常緊張，

• 信任領域本質上是集中式的。

它不能替代Threshold隨機性或混合加密內存池。
它是為不同的對抗模型設計的補充模型。

社區的反饋——特別是關於Threshold與確定性結構長期趨同（或分歧）的反饋——將非常寶貴。