大家好,我是 Marco López(馬拉加大學/NICS 實驗室 + 去中心化安全)。
我們剛剛有一篇論文被接受,該論文探討了在未來與密碼學相關的量子計算機 (CRQC)對secp256k1/ECDSA的威脅下,以太坊 EOA 的遷移策略。
我們有意將本文的範圍限定在執行層(EOA授權、交易/簽名流程等)。我們不涉及共識層的PQ遷移(驗證者簽名、BLS/KZGETC)。
簡要背景:我們正在基於之前出色的倫理研究工作開展工作。
在發帖之前,我們瀏覽了幾個精彩的討論帖,這些帖子探討了 PQ 事務簽名和實際工程中的權衡取捨。非常感謝這些討論的發起者,特別是 asanso 和 seresistvanandras:
asanso(第一部分): “所以你想要後量子以太坊交易簽名”
asanso(第二部分): “Falcon 作為以太坊交易簽名:優點、缺點和棘手之處”
asanso(第三部分): “通往後量子以太坊交易的道路是由賬戶抽象(AA)鋪就的”
seresistvanandras: “poqeth:以太坊上高效的後量子簽名驗證”(+ 基準測試 + 反對者模式)
我們的論文旨在對遷移路徑進行簡單的初步調查,但更側重於兼容性破壞和過渡期間出現的攻擊面。
我在這裡發帖的原因(向社區發出呼籲)
這項工作是初步的(也是有意簡化的)版本。我們試圖梳理人們討論的、旨在增強 EOA 在 CRQC 威脅下韌性的主要遷移路徑,並著重指出在實踐中可能出現問題的地方。
本文旨在收集社區意見,並圍繞該問題的執行層面整合各方力量:
我們是否遺漏了相關的緩解措施/遷移方案?
還有哪些兼容性問題(鏈上和鏈下)需要引起重視?
我們低估了哪些對抗行為/最大允許值/運營風險?
我們應該引用或借鑑哪些先前的論文/代碼庫/討論串?
還有哪些人正在積極參與這項工作?在哪些方面可以開展合作?
如果您從事錢包、AA、基礎設施、協議研究、審計或 L2 生態系統方面的工作,您的見解將非常有價值。
本文涵蓋的內容(路線調查及權衡取捨)
我們梳理了目前討論的 EOA 向後量子安全遷移的主要方法,並試圖明確權衡取捨,尤其是在該方法與當今的基礎設施和合同模式相交的地方。
原生 PQ 簽名(協議/EVM 路徑):用 PQ 方案替換 ECDSA。
概念上很簡單,但驗證成本和簽名/密鑰長度因方案而異,會影響交易大小、gas 消耗/性能,有時還會影響地址推導。此外,協議層面的部署速度也較慢。
基於哈希的說明(極簡主義視角) :我們花了一些時間討論基於哈希的簽名,因為以太坊的核心原語已經高度依賴哈希函數。使用基於哈希的簽名可以顯得“密碼學上極簡”(不像格/同源ETC那樣引入全新的難度假設)。此外,許多基於哈希的構造可以在鏈上使用非常小的“公鑰” (通常只是一個哈希值/根承諾),這與poqeth中強調的“在以太坊的背景下,大型公鑰是不可取的”這一主題相符。當然,權衡取捨體現在其他方面(簽名大小、狀態性、用戶體驗/內存池摩擦),而這正是我們希望獲得更多社區意見的地方。
這裡需要指出一個細微差別:基於狀態哈希的簽名(例如XMSS/LMS )在一般系統中可能比較麻煩,因為它們需要狀態管理,但區塊鏈可以實現鏈上狀態管理(類似於索引/隨機數)。其他生態系統中已有先例(例如,使用 XMSS 的 QRL )。
ERC-4337 賬戶抽象:現在即可使用;驗證在賬戶合約內部進行,因此錢包可以要求 PQ 簽名來授權操作,並減少用戶直接遭受基於 ECDSA 的量子攻擊的風險。
問題在於(asanso 系列文章中也有討論),打包者仍然會發佈一個 ECDSA 簽名的交易,因此端到端流程並非完全不受 PQ 的影響。此外,它還引入了額外的環節(類似內存池的基礎設施、費用、操作複雜性)。
原生 AA 提案(RIP-7560 / EIP-7701 方向):一個清晰的加密敏捷性終局:賬戶由附加的驗證邏輯(PQ 驗證、多重簽名、通行密鑰ETC)定義,從而在賬戶模型級別消除固定的 ECDSA 假設。
需要對協議進行深度修改;時間表和最終設計方案尚不確定。
EIP-7702 委託:一種實用的機制,無需遷移到新的賬戶模型,即可將新的驗證邏輯附加到現有的 EOA/地址。這使得在保留地址和現有關係的同時,可以嘗試使用 PQ 感知驗證和賬戶策略。
關鍵限制:只要協議仍然接受 EOA 的 ECDSA 密鑰,它就仍然是“根權威機構”(在 CRQC 設置中,這種殘餘權威機構尤其成問題)。
EIP-7702 + 密鑰停用變體:討論了閉合該循環的想法:委託之後,原始 ECDSA 密鑰可以被停用(理想情況下是永久停用),從而完全通過委託邏輯進行控制路由,同時保留地址及其關聯的資產/關係。
我們將這些視為更廣泛的設計空間的一部分,以便在出現更靈活的驗證機制後消除“根 ECDSA 權限”。
在所有路線中,我們都努力保持務實的態度: ECDSA 還剩下什麼,出現了哪些新的基礎設施假設,以及在轉型過程中生態系統出現了哪些斷裂。
兼容性/故障熱點(“髒區”)
我們預計挑戰最大的領域是:
在已部署的合約中基於
ecrecover身份驗證(簽名即身份)。許多鏈上授權實際上是通過
ecrecover實現的“簽名即身份”。在 PQ 遷移過程中,僅僅停止在交易層使用 ECDSA 是不夠的。只要ecrecover仍然是 ECDSA 的有效預編譯版本,現有合約就可以繼續將 ECDSA 鏈下簽名視為權威簽名。因此,任何重要的遷移都需要明確如何處理 ECDSAecrecover式的驗證(以及是否對其進行限制、替換或補充新的驗證路徑),否則,即使 EOA 停止使用 ECDSA 進行交易,傳統的鏈下簽名仍然可能在合約中保持效力。(相關內容:正如 asanso 在 AA/Falcon 討論帖中提到的,許多 PQ 方案不支持“密鑰恢復”,例如“純”Falcon 不支持從簽名恢復公鑰,因此
ecrecover式的模式無法應用。基於 Falcon 的錢包通常需要使用已存儲/已註冊的公鑰進行驗證。Falcon 論文中還討論了一種“可恢復”模型(如 Renaud Dubois 指出的,參見 3.12 節),該模型支持密鑰恢復,但簽名大小大約翻了一番,這顯然會對鏈上性能和帶寬產生影響。)ERC-2612
permit+ 更廣泛的鏈下簽名流程(類型化數據、應用程序特定身份驗證、元交易模式)tx.origin假設(EOA 與合約身份、脆弱的授權邏輯)L2s + 跨鏈漂移(身份語義、重放域、橋接假設)
MEV 在遷移窗口期間(圍繞委託、撤銷、“最後有效簽名”時刻的排序/競爭)
我們希望社區提出的一個重要問題是:還有哪些內容應該列入此列表,以及在實踐中哪些內容的危害最大?
量子緊急硬分叉作為備用方案(並行)
除了“平滑遷移”路徑之外,量子緊急硬分叉的想法是韌性故事的重要組成部分。
Vitalik 在 2024 年 3 月發佈的文章( “如何在量子緊急情況下進行硬分叉以挽救大多數用戶的資金” )提出了一種可信的最後手段應對措施,以防實用的量子能力突然出現並開始發生大規模盜竊:回滾到盜竊發生之前的狀態,禁用傳統的 EOA 交易,並提供一條恢復路徑,將控制權轉移到量子安全的智能合約驗證中。
我們提到這一點,並不是要主動推進(這樣做成本高昂,而且在社會和運營方面負擔沉重),而是要提醒大家應急計劃很重要,同時,生態系統可以(而且可以說應該)努力尋找能夠使加密貨幣更加漸進地變得靈活的途徑,這樣我們就不必被迫進入“打破玻璃”模式。
我們明確要求的是
如果您回覆,提供相關討論串/論文/代碼庫/團隊的鏈接將非常有幫助。
我們是否遺漏了(執行層面的)遷移路徑/緩解措施,或者應該納入哪些重要變體?
您認為哪些兼容性問題(鏈上和鏈下)最為緊迫或最有可能對用戶造成實際損害?請提供具體示例。
在遷移過程中應考慮哪些對抗行為/MEV/操作風險(搶先/競爭、惡意行為、“最後有效簽名”問題、基礎設施受損、一次性/有狀態方案的卡住交易動態ETC)?
是否存在某些類型的合約或錢包模式,其中
ecrecover、permit或tx.origin假設使得遷移變得特別困難?您是否瞭解有助於量化這些模式普遍性的測量方法/數據集/工具(例如,
ecrecover掃描、野外許可證使用情況等)?目前還有哪些人在積極研究面向EOA的CRQC/加密敏捷性?如果您參與其中(或者認識參與其中的人),我們非常希望與您聯繫。
我們以公益項目(UMA/NICS實驗室+去中心化安全)的名義開展這項工作。我們非常歡迎審閱、指正,並在合理的情況下開展合作。
閉幕式/活動
我們將於三月中旬在西班牙特內里費島拉古納大學舉辦的大會上發表論文。我們還計劃於2026年5月9日在羅馬舉行的與歐洲加密會議同期舉辦的區塊鏈加密工具研討會( CTB-26 )上展示後續研究成果。
如果您從事這方面的工作,我們非常樂意在任一活動中與您見面。
順便一提,CBT26 的提交截止日期是二月底,所以你還有時間。
謝謝!期待您的反饋。
