快捷搜索

Aptos推出量子抗性签名以增强区块链安全

Aptos最近发布了AIP-137，推出了SLH-DSA-SHA2-128s作为其首个后量子签名方案，以保护网络免受未来量子计算威胁。

该提案由Aptos实验室的密码学负责人Alin Tomescu撰写，旨在为量子计算机的出现做好准备，以应对其可能带来的加密挑战。

随着量子计算从理论走向现实，IBM正在探讨扩展路径，NIST也发布了最终的后量子标准。

尽管专家们对量子威胁的出现时间存在分歧，Aptos选择了保守的准备策略，而不是被动应对。

安全优先于性能

AIP-137通过选择SLH-DSA-SHA2-128s，优先考虑安全性假设而非效率。这是一种无状态的基于哈希的签名方案，已被NIST标准化为FIPS 205。

该方案完全依赖于SHA-256，这是一种已经在Aptos基础设施中广泛应用的哈希函数，因此不需要新的加密假设。

这种保守的做法旨在避免过去后量子密码学的失败案例，例如2022年基于多变量密码学的NIST决赛选手Rainbow在普通笔记本电脑上被完全攻破。

通过基于经过验证的哈希函数而非复杂的数学假设，Aptos降低了经典攻击破坏所谓量子安全方案的风险。

不过，这也意味着在大小和速度之间的权衡。签名的大小为7,856字节，约为Ed25519的82倍，而验证时间约为294微秒，速度大约慢了4.8倍。

这些性能损失是经过深思熟虑的，以换取坚如磐石的安全保障，而不引入未经测试的加密假设。

虽然像ML-DSA这样的替代方案提供了更小的签名和更快的验证速度，但它们依赖于结构化格问题的难度，增加了新的数学假设。

Falcon则提供了更好的性能，压缩后的签名约为1.5 KB，但需要浮点运算，可能导致实现错误。

Aptos将这些激进的优化留待未来提案，待SLH-DSA建立起保守的基础。

准备而非强制迁移

该提案明确避免强制迁移，保持Ed25519为默认签名方案，同时引入SLH-DSA作为可选层，治理机构可在量子威胁出现时启用。

需要后量子保障的用户可以选择性地采用该方案，而不会干扰整个网络。

这种谨慎的做法与行业对量子准备的广泛看法一致。

MicroStrategy创始人Michael Saylor最近表示，“量子计算不会破坏比特币——它将增强比特币”，这表明主动升级的网络将提高安全性，同时由于丢失的币种被冻结，供给动态也将收紧。

他的观点反映出一种日益增长的共识，即量子威胁虽然严峻，但为能够演变其加密基础的网络提供了机会。

对于Aptos而言，实施包括功能标志，允许在验证者、索引器、钱包和开发工具之间进行控制部署。

这种分阶段的推广为生态系统提供了时间，以在量子计算机能够破坏当前加密之前适应基础设施。

行业普遍关注量子问题

该提案体现了加密行业对量子计算时间表的广泛担忧。

Solana联合创始人Anatoly Yakovenko最近警告称，比特币在五年内面临量子突破的概率为50%，并呼吁加速采用量子抗性方案，以应对AI加速所带来的开发时间压缩。

专家估计，约30%的比特币供应，即600万到700万BTC，仍然在老旧地址格式中暴露公钥，面临风险。

科技巨头们正以激进的时间表向量子霸权迈进。IBM计划在本十年末建造100,000个量子比特的芯片，而PsiQuantum则目标在同一时间框架内实现一百万个光子量子比特。

微软声称，量子计算现在“只需数年，而非数十年”就能实现，最近的芯片突破使得谷歌的Willow芯片在五分钟内解决了经典计算机需要数十亿年才能完成的问题。

Macquarie大学的Gavin Brennen告诉Cryptonews，破解256位椭圆曲线签名的估计已从需要1000万到2000万个量子比特降低到约100万个。

“破解256位数字签名的合理时间表是到2030年代中期，”Brennen表示。

Grayscale的2026年数字资产展望也承认量子计算是长期的加密挑战，但否认近期价格影响，指出在2030年前，具有加密相关性的量子计算机仍不太可能出现。

然而，该资产管理公司强调，随着技术向实用可行性发展，大多数区块链最终将需要后量子升级。