後量子時代對以太坊隱私的威脅

# 後量子時代對以太坊隱私的威脅

*感謝 Alex、Andy、Keewoo、Miha、Moven、Nico、Oskar、Sora、Thore、Vitalik、Yanis 和 Zoey 對早期草稿提出的回饋意見。本文的研究和撰寫得到了人工智慧的輔助。 *

## 太長不看

對於長期暴露於「先收集後解密」策略的機密性表面而言，隱私遷移比身份驗證遷移更具時效性——沒有任何方法可以阻止攻擊者在未來使用量子電腦解密已收集的密文，而簽名偽造至少可以透過硬分叉和密鑰遷移部分補救（儘管存在顯著的歧義、歸因和回滾成本）。業界普遍率先部署了PQ金鑰交換（Chrome、iMessage、AWS、Cloudflare）；PQ驗證仍處於早期階段，尤其是在預設的公共Web PKI中。以太坊在某些表面繼承了PQ傳輸加密（透過Go 1.24實現的基於TLS的HTTPS/JSON-RPC），但應用層隱私——構建在EVM之上而非由操作碼或預編譯程序原生支援的加密協議，例如隱形地址、zkID和機密交易——需要以太坊特有的工作。

| # | 問題 | 狀態 |

|—|---------|--------|

| 1 | PQ Stealth 位址可擴展性 | 積極研究；調用資料膨脹和 OMR 記憶體成本仍然存在 |

| 2 | ML-KEM 在 MPC/2PC 中用於 zkTLS | 實際逾時時間內無協定 |

| 3 | 用於 zkID 導入的 NIST PQ 簽章算術 | 與前量子 SNARK 相比有 131 倍差距 |

| 4 | zkID 導入的 PQ 憑證驗證成本 | 131 倍 SNARK 差距；[EIP-8051]( EIP-8051：ML-DSA 簽章驗證預編譯)/[8052]( EIP-8052：Falcon 支援預編譯)（草案）提案作為啟用基礎設施 |

| 5 | PQ 已驗證正確的加密方式供指定審計員使用 | 檢測並標記可能就足夠了；協議強制模型尚未解決 |

--

＃＃ 介紹

後量子時代對區塊鏈的威脅已被廣泛認可，並可分為兩類： **真實性**和**隱私性** 。真實性指的是數位簽章及其更廣泛形式——零知識證明的偽造。隱私性指的是鏈上和鏈下資料的機密性，以及使用者及其行為的匿名性和不可關聯性。

為緩解身分驗證威脅，人們投入了大量精力。 2024 年 8 月，NIST 最終確定了其首批三項後量子密碼學(PQC) 標準—ML-KEM (FIPS 203)、ML-DSA (FIPS 204) 和 SLH-DSA (FIPS 205)。到 2026 年初，以太坊基金會已將後量子密碼學 (PQ) 安全性提升至協議路線圖的更高層級，並開始組織專門的公共後量子密碼學工作小組。

相較之下，隱私威脅的緊迫性尤其突出，這主要歸因於「先擷取後解密」（HNDL）策略——即先擷取加密資料並將其儲存起來，直到擁有足夠強大的量子電腦才能破解加密。在傳統網路中，攻擊者必須主動竊聽流量才能獲取密文，但區塊鏈是公開的、僅可追加的帳本：應用層加密資料——鏈上密文、隱藏地址公告、加密筆記、查看金鑰——對所有人永久可見。無需攔截步驟；鏈本身就是存檔。任何今天發布的與隱私相關的密文預設都可以被獲取，並將在帳本的整個生命週期內保持公開狀態。與身分驗證失敗不同，後者至少可以透過緊急協調部分補救（儘管存在[重大歧義和回滾成本]( 如何在量子緊急情況下進行硬分叉以挽救大多數用戶的資金)），隱私洩露是不可逆的——一旦密文被未來的量子攻擊者解密，任何協議升級都無法重新加密它。業界已經意識到這種不對稱性：Chrome、Apple iMessage (PQ3)、AWS 和 Cloudflare 已經提供了後量子密鑰交換功能，而默認公共網路 PKI 中的後量子身份驗證功能仍然基本未部署——因為密鑰交換可以防止 HNDL 攻擊，而驗證只需要抵抗實時偽造任務（[ ETH ）5. (PQC) 現況 | F5 Labs )）。

## 以太坊的免費權益——以及它不享有的權益

並非所有 PQ 隱私遷移都需要針對以太坊進行專門研究。更廣泛的行業加密遷移已經涵蓋了一些傳輸介面：Geth 使用 Go 語言編寫，而 Go 1.24 預設支援混合 PQ TLS (X25519MLKEM768)—— Kubernetes v1.33 只需升級 Go 即可自動獲得 PQ 金鑰交換功能。 HTTPS JSON-RPC 端點、瀏覽器到 dApp 的連線以及任何使用 TLS 1.3 並透過 Go 的 TLS 協定堆疊部署的 libp2p 元件，無需更改以太坊協定即可繼承 PQ 加密傳輸。 （以太坊原生 DevP2P/RLPx 協定堆疊運行在 TCP 而非 TLS 之上，因此無法自動受益；此外，libp2p 還支援 Noise 作為安全通道選項，這需要單獨進行 PQ 升級。）

以太坊*無法*繼承的是**應用層**隱私－也就是建構在以太坊虛擬機（EVM）之上的加密協議，而非由操作碼或預編譯程式原生支援的加密協議。鏈上密文、基於ECDH的用於筆記發現（查看金鑰）的金鑰派生、基於ECDH的隱藏地址生成、零知識證明加密（在零知識電路中證明密文是在給定公鑰下正確生成的，用於符合規範的屏蔽轉賬）以及訪問模式隱藏（防止觀察者了解用戶讀取或寫上了哪些鏈上記錄，例如他們掃描或花費了哪些本文的其餘部分將重點討論這些缺陷。

## 匿名性與不可連結性

隱形位址、zkID 和 zkTLS 等技術在匿名性和不可關聯性方面提供了良好的使用者體驗，足以滿足當今大多數應用場景的需求。問題在於，在後量子時代，這些優勢是否依然存在。

### 隱藏位址

隱藏位址依賴橢圓曲線迪菲-赫爾曼金鑰交換（ECDHKE），而量子電腦可以破解該金鑰交換。 ECDHKE 可以用鏈下 ML-KEM 替代，但 ML-KEM-768 密文大小為 1088 位元組，是壓縮後的 ECDH 點的 33 倍。 EIP-4844 資料區塊會在大約 18 天後被剪枝，因此將其用於隱藏位址密文將要求接收者在該時間視窗內檢索密文——這增加了目前隱藏位址設計所沒有的「存活」要求。

一種不增加調用資料負擔的潛在解決方案是使用鏈下邊車協定的不經意訊息檢索 (OMR)。這引入了鏈上隱身地址所沒有的資料可用性信任假設：接收者依賴邊車營運商來儲存和提供密文。如果運營商離線或扣留數據，接收者將無法掃描以取得其密文。 ML-KEM 在結構上比 ECDH 更相容於 OMR。 [基於 Module-LWE 的隱身位址協定](後量子隱身位址協定)的掃描速度比經典 ECPDKSAP 快約 66.8%，而混合的[「高效曲線」協定]( [2504.06744]更有效率的隱身位址協定)的掃描速度則快約 3 倍。 OMR 本身也從最初的 [原始構造](不經意訊息檢索) 改進到了 [PerfOMR]( PerfOMR：通訊和計算量減少的不經意訊息檢索)（每條訊息約 40 毫秒，鍵值縮小 235 倍）和 [HomeRun]( HomeRun：高效能提升、無限制的不經意訊息檢索3830 倍運行速度）。然而，OMR 的記憶體開銷（約 20 GB 以上）對於輕量級基礎架構而言仍然不切實際。

### zkTLS

隨著 TLS 伺服器遷移到混合 PQ 金鑰交換（X25519MLKEM768），zkTLS 也必須隨之遷移：使用者和公證人之間的 MPC/2PC 必須共同執行握手過程中的 X25519 和 ML-KEM-768 部分，且金鑰不得向任何一方洩露會話。目前的 zkTLS 協定（例如 TLSNotary）運行在 TLS 1.2 之上；TLS 1.3 支援（X25519MLKEM768 協商發生在 TLS 1.3 上）已列入其開發計劃，但尚未發布。即使是 TLS 1.3 MPC/2PC 中的經典 X25519 金鑰交換，目前也沒有生產環境中的 zkTLS 實作——而添加 ML-KEM-768（其 NTT 多項式運算在通用 MPC 框架中開銷較大）則進一步加劇了這一挑戰。一個具體的演示可能需要將 MPC 與 ML-KEM 的代數結構協同設計，而不是使用通用框架。

### zkID

zkID 要求使用者在其裝置的 ZK 電路中證明其已正確驗證簽名，然後僅向驗證者提交該證明（而非憑證）。完整的 PQ zkID 需要兩層後量子安全：(1) *簽名方案*本身必須是 PQ 安全的（以防止量子攻擊者偽造憑證），以及 (2) 產生 ZK證明的 *證明系統*也必須是 PQ 安全的（以防止量子攻擊者偽造證明）。實際部署的核心問題在於如何在 PQ 證明系統中以盡可能低的成本實現 PQ 簽章驗證的運算。

基於哈希的方案（例如 XMSS、Winternitz 和 SPHINCS+）完全由哈希計算構成。如果將內部雜湊演算法（SHA-256：約 25,000 個 R1CS 約束）替換為 ZK 原生雜湊演算法，例如 Poseidon（約 240 個約束－請參閱 [ZKPlus 基準測試]( ZKrates - ZKPlus 中的雜湊演算法和基準測試)，[Guo 等人]( [2409.019769.019 區塊和 ARK, 工具]( [2409.0199649 工具證明系統基準測試)），驗證電路的規模將縮小約 100 倍。這是因為基於雜湊的簽章是*通用的* ，它們只需要抗碰撞性和抗原像性，而不需要特定的代數運算。簽名仍然保持 PQ 安全性，並在 ZK 環境下證明成本極低。基於格的簽章（ML-DSA、FN-DSA）缺乏此特性：它們的 NTT 多項式運算計算成本很高，因此更適合透過預編譯程式進行直接鏈上驗證（[EIP-8051]( EIP-8051：ML-DSA 簽章驗證的預編譯程序, [EIP-8052]( EIP-805支援的預編譯程序)），而不是在零知識電路中證明其正確性（即，用戶在零知識條件下證明“我驗證了這個簽名”，而無需洩露憑證）。

#### 匯出以太坊 ID

這在技術上是可行的：生態系統可以利用 Poseidon 的內部機制設計基於以太坊原生哈希的 PQ 簽名，用戶則在其設備上的 STARK 系統中進行驗證。需要注意的是：這是一種客製化的、以太坊特有的設計，並非標準化的 SLH-DSA（FIPS 205 僅規定了基於 SHAKE/SHA2 的參數集）。它無法與外部 PKI 互通，也無法滿足要求使用 NIST 認證演算法的合規性框架。這種方法的優點在於生態系統可以同時控制簽署者和驗證者，但應該將其理解為一種原生設計選擇，而非符合標準的設計。

#### 匯入真實世界身分證件

這很棘手：發行方會使用標準化的 ML-DSA 或 SLH-DSA 演算法，並結合 SHA-256/SHAKE 加密，而不是 Poseidon 演算法。完整的驗證過程——包括 SHA-256/SHAKE 加密以及（對於 ML-DSA 而言）格 NTT 加密——必須按原樣進行算術運算。這裡存在更深層的不匹配：現實世界的簽章方案通常以犧牲驗證成本為代價來優化快速簽章（伺服器簽署大量憑證），而驗證成本則相對較高（單一客戶端進行驗證），這與區塊鏈環境截然相反，區塊鏈的驗證是在鏈上或零知識證明電路中進行的，因此必須盡可能降低成本。這種設計上的不對稱性是導入現實世界憑證成本高昂的根本原因。 Wu 等人提出的基於格的指定驗證者 zkSNARK（ https://www.cs.utexas.edu/~dwu4/papers/LatticeDVSNARKs.pdf ）可產生約 16 KB 的證明（比 Aurora 小 10.3 倍），但仍比 Groth16 大 131倍；需要注意的是，指定驗證者機制意味著證明只能由持有私鑰的特定驗證者進行驗證，而不能在鏈上公開驗證——這對於區塊鏈應用場景而言是一個額外的限制。 STARK 是最實用的 PQ 路徑（它們僅依賴抗碰撞哈希，無需格或配對假設），但產生的證明比 Groth16 等預量子 SNARK 大得多。剩餘的差距：彌合 131 倍的 PQ/預量子 SNARK 差距；有效率地計算 NIST PQ 簽章驗證；以及開發可用於憑證驗證的生產級 PQ SNARK。

## 保密性

保密性——即隱藏交易金額、餘額和合約狀態——是注重隱私的以太坊 L2 基礎設施（例如Aztec ，其 Ignition Chain 於 2025 年 11 月啟動，但主網第一階段尚未執行用戶交易）以及 Railgun 和 Privacy Pools 等應用層工具的核心機制。狀態承諾（梅克爾樹、票據雜湊）可以使用像 Poseidon 這樣的 PQ 安全雜湊演算法——漏洞存在於*加密*層。由此產生了兩個不同的子問題：

- **筆記發現和金鑰交換** ：在 Aztec 等系統中查看金鑰依賴於基於 EC 的金鑰派生——發送方使用接收方的公鑰加密，以便接收者能夠識別發給他們的筆記。 ML-KEM 可以取代 ECDHKE（與隱藏位址一樣，密文膨脹 33 倍，採用相同的基於 OMR 的緩解方案），但此金鑰交換發生在零知識證明電路*之外* ，無需電路內證明。

- **向指定審計員/合規接收方提供經驗證正確的加密** ：為了在合規的屏蔽傳輸中進行選擇性披露，發送方直接使用指定接收方已知的公鑰進行加密，並在零知識證明電路中驗證其正確性。接收方可以是監管機構、機構合規部門、DAO 財務審計員或協議指定的任何一方。在量子運算出現之前，ElGamal 以低成本實現了這一點（只需一次 EC 標量乘法，並且完全符合零知識證明的要求）。量子計算出現之後，發送者將使用基於格的公鑰加密（例如，Kyber.CPAPKE 或純 LWE Regev 加密）。對於大多數實際設計，發送者可以在電路*外部*執行格公鑰加密，匯出對稱金鑰，並在電路*內部*使用 Poseidon 的海綿模式驗證對稱加密的正確性（每次置換約 240 個約束，PQ 安全，Aztec 已將其用於紙幣加密）。如果發送者作弊（使用虛假密鑰加密），審計員會收到無意義的資料並標記該交易——這是一種檢測並標記的模型。更強大的模型——協議*保證*指定的接收方可以Decrypt——需要在零知識證明電路中證明格公鑰加密的正確性，由於字段不匹配（格運算基於 q = 3,329，而證明系統字段如 BN254），這仍然很昂貴，儘管比完整的 ML-KEM 簡單。這種較弱的檢測並標記模型是否足夠，既是開放的政策問題，也是密碼學問題。

## 客戶端驗證作為依賴項

zkID 和保密性都要求用戶在自己的裝置上產生零知識證明——委託給伺服器會洩漏證明旨在保護的私密輸入。雖然 GPU 加速對所有證明後端都有益處，但 PQ 證明系統受益尤為顯著，原因有二：(1) 當前的 CPU 性能使得客戶端無法生成 PQ 證明，導致其對 GPU 加速的依賴性比量子系統之前更強；(2) PQ 原語——基於 NTT 的小域跨式運算上限——比基於序列的切元計算上限——後者由於其更天然地結構性上限。 MSM v2：探索 Apple GPU 上的 MSM 加速 | PSE )。 NTT 是 STARK 證明和格操作的*共享原語* ，小域 PQ 方案（M31，q = 3,329）在移動 GPU 上實現了 [100+ Gops/s，而 BN254 則低於 1 Gops/s](客戶端 GPU 加速隱私 ZK：通往日常以太坊隱私之路是存在的原始吞吐量。

GPU加速既適用於以太坊原生身分路徑（STARKs中已驗證的基於Poseidon內部雜湊的簽章），也適用於現實世界身分導入路徑（SNARKs中已驗證的NIST PQ簽章）。但以太坊原生路徑提供了一條更為便捷的客戶端隱私保護途徑：透過控制簽章方案，生態系統可以從一開始就選擇既符合PQ安全標準又對GPU友善的原語，而無需對外部強制執行的演算法進行算術運算。因此，優先考慮以太坊身分設計空間也是一種務實的客戶端驗證策略。

客戶端 GPU 驗證是以太坊基礎設施面臨的更廣泛的挑戰（有利於抗審查性、有效性證明等），並非後量子隱私所特有。我們在此將其視為一項依賴：沒有它，後量子隱私就無法實現。但是，[GPU ZK 生態系統]( GitHub - zkmopro/awesome-client-side-gpu: Awesome things around client-side GPU ecosystems. · GitHub )及其[後量子路線圖]( Client-Side GPU Acceleration for ZK: A Path to Everday Ethereum 將其通用工作的基礎驗證

## 近期路線圖建議

上述問題處於不同的成熟階段。有些問題已經有了已知的PQ替代方案，可以進入實施階段；有些問題仍需進一步研究。一份有效的路線圖能夠區分哪些問題可以立即實施，哪些問題需要突破性進展，從而避免在等待期間累積新的風險。

**設計原則：避免新的經典隱私債務。 **保密性債務是不可逆的－與認證性債務不同，認證性債務可以透過金鑰輪替或緊急分叉進行部分補救。任何儲存長期存在的 ECDH 衍生密文的新隱私協議都會永久延長 HNDL 的暴露視窗。對於任何持續時間超過單一會話的保密性表面，新的設計都應預設使用 PQ 密鑰交換，但當 PQ 替代方案尚不實用時，則應明確記錄例外情況。

1. **量化隱私蜜罐**。 *量子蜜罐*是指足夠強大的量子電腦到達目標後能夠提取的總價值。身份驗證蜜罐（即包含易受量子攻擊密鑰的帳戶的總價值）規模龐大但並非無限：社區可以協調進行一次[緊急硬分叉]( 如何在量子緊急情況下通過硬分叉來挽救大多數用戶的資金)，以凍結暴露的帳戶並遷移到 PQ 簽名。

隱私蜜罐的結構有所不同，也是本文的重點。它是自區塊鏈創世以來鏈上累積的加密數據，隨著每個區塊的產生而成長。任何分叉都無法重新加密過去的密文。每類外洩事件都會獨立累積：

- **受保護的交易和加密的筆記：**量子攻擊者可以追溯性地解密每個受保護資金池中曾經提交的餘額、轉賬金額和合約狀態——每個參與者的完整財務歷史記錄。

- **隱藏位址連結：** ECDH 衍生的隱藏位址可以追溯到接收者，從而破壞了隱蔽方案旨在提供的不可連結性。

- **選擇性披露憑證：**受合規保護的、原本應由指定審計員查閱的披露信息，現在任何擁有量子計算機的人都可以讀取，從而將 KYC 數據、機構立場和身份關聯暴露給非預期方。

- **檢視金鑰和筆記發現：**基於 EC 的筆記掃描金鑰派生揭示了哪些筆記屬於哪些接收者，即使金額仍然隱藏在對稱加密之後，也能對整個交易圖進行去匿名化。

社會影響與竊盜截然不同：政治捐款者的身分資訊會被追溯性地去匿名化，個人和機構的財務隱私會被瓦解，合規關係會被揭露。真實性陷阱可以被清空並停止，而隱私陷阱只能被阻止進一步擴大——每一次阻斷都會增加不可逆轉的風險。

*交付成果：*一份量化且定期更新的隱私蜜罐評估報告－包括面臨風險的資料類別、各類別的成長率以及補救時間表－為治理層提供遷移緊迫性的切實依據。對真實性蜜罐（風險價值、分支準備情況）的類似評估報告可以提供有用的背景信息，但目前這方面的信息已經比較清晰。

2. **建立保密面註冊表。 **枚舉所有密文或金鑰資料在單一工作階段結束後仍保留的隱私面：隱藏公告、檢視金鑰、加密筆記、應用層密文、憑證匯入、選擇性揭露流程。為每項隱私面標記儲存期限、加密假設和金鑰替換可用性。最終輸出的是一個結構化的註冊表，團隊可以查詢該註冊表以確定遷移優先級，而不是一個敘述性的威脅模型。

為了保持註冊表的時效性，引入或依賴保密面的新 EIP 和協定規範應包含一個**PQ 威脅模型部分** ——類似於現有的安全考慮要求——以識別易受量子攻擊的假設、暴露於 HNDL 的資料以及遷移路徑。這使得 PQ 就緒性從事後審計轉變為持續的設計限制。

3. **發布可處理曲面的參考庫和基準測試。 **有兩個曲面已知 PQ 原語，現在可以開始實現：

- *ML-KEM 筆記發現：*密文產生和掃描、錢包/索引器介面、OMR 檢索邊車。

- *以太坊原生 zkID：* Poseidon 內部基於哈希的 PQ 簽名，帶有 STARK 驗證電路，針對客戶端證明時間和證明大小進行了基準測試。

目標是建立通用基線，而不是生產就緒——理想情況下，應該針對至少一個面向隱私的 L2 或應用程式堆疊進行端對端驗證，以發現僅憑基準測試無法發現的整合問題。

4. **將開放性問題作為非阻塞性研究方向來規劃。 **有三個領域非常重要但尚未解決：與 PQ 相容的 zkTLS（基於 ML-KEM 握手的多方計算/雙向計算）、實際應用中的 zkID 導入（NIST PQ 簽名驗證的算術化）以及協議強制執行的、經證明正確的加密（僅限指定審計人員訪問）。在實際限制條件下，目前尚無針對這些領域的具體協議。應資助並追蹤這些問題，但不要阻礙註冊表、參考庫或上述設計原則的進展。

--

*歡迎提供回饋意見——特別是關於隱私蜜罐框架、可追溯性評估以及我們可能遺漏的任何PQ隱私方面。 *