Vitalik 如何看待以太坊的抗量子计算机攻击？该如何应对？

作者 | Vitalik Buterin

编译 | GaryMa 吴说区块链

目前加密货币领域广泛使用的非对称加密算法依赖于数学难题的复杂性来保护私钥安全，而量子计算的特性使其能够更有效地解决某些数学问题，一旦量子计算技术足够成熟，传统加密算法可能会变得容易受到攻击。

虽然目前的量子计算技术还没有达到足以威胁加密货币私钥的水平，但随着量子计算的进步，这一威胁变得越来越现实。对此加密社区也有对应的技术优化方案，如在以太坊的最新路线图中，有量子安全的 SNARKs以及签名、有已经具备对抗量子计算的能力的账户抽象（ERC 4337）架构，在共识层，基于 STARK 的替代方案正在积极探讨中，包括（i）BLS 聚合，（ii）Verkle 树，（iii）基于 KZG 的 DAS 等。

3 月 9 日，Vitalik 更是在以太坊研究论坛上头脑风暴了一种极端情况：如果量子计算突然出现，如何通过硬分叉来拯救大多数用户的资金？吴说整理编译如下：

假设明天宣布量子计算机已经可用，并且恶意行为者已经可以使用它们来窃取用户的资金。防止这种情况发生是抗量子密码学的目标（例如 Winternitz 签名、STARKs），一旦账户抽象化到位，任何用户都可以按照自己的计划切换到使用抗量子签名方案。但如果我们没有那么多时间，而量子转变突然发生在那之前呢？

我认为，实际上，我们已经做好了准备，可以做出一个相当简单的恢复分叉来处理这种情况。

区块链网络将需要硬分叉，用户将需要下载新的钱包软件，但很少有用户会丢失他们的资金。

量子计算机的主要挑战如下。以太坊地址被定义为 keccak(priv_to_pub(k))[12:]，其中 k 是私钥，priv_to_pub 是将私钥转换为公钥的椭圆曲线乘法。使用量子计算机，椭圆曲线乘法变得可逆（因为这是一个离散对数问题），但哈希仍然是安全的。如果用户没有使用他们的账户进行任何交易，那么只有地址是公开可见的，他们已经是安全的。但是如果用户至少进行了一笔交易，那么该交易的签名会泄露公钥，在后量子世界中就会泄露私钥。因此，大多数用户将会受到影响。

但我们可以做得更好。关键认识是，实际上，大多数用户的私钥本身就是一系列哈希计算的结果。许多密钥是使用 BIP-32 生成的，该方法通过从主密钥助记词开始一系列哈希生成每个地址。许多非 BIP-32 的密钥生成方法工作方式类似：例如，如果用户有一个brainwallet，通常是一系列哈希（或中等难度的 KDF）应用于某个密码。

这意味着要通过硬分叉以从量子威胁的紧急情况中恢复的 EIP 的自然结构如下：

● 撤销在第一个清楚大规模盗窃正在发生的区块之后的所有区块

● 禁用传统 EOA（外部拥有账户）交易

● 添加新的交易类型，以允许从智能合约钱包进行交易（例如 RIP-7560 的一部分），如果尚未提供的话

● 添加一种新的交易类型或操作码，通过该类型可以提供 STARK 证明，证明了（i）一个私密前像 x，（ii）来自已批准哈希函数列表中的第 1 <= i < k 的哈希函数的哈希函数 ID，以及（iii）一个公共地址 A，使得 keccak(priv_to_pub(hashesi))[12:] = A。该 STARK 还接受作为公共输入该账户的新验证代码的哈希。如果证明通过，您的账户的代码将切换到新的验证代码，并且您将能够从那时起将其用作智能合约钱包。

由于 Gas 效率的原因（毕竟，STARK 很大），我们可以允许 STARK 成为批处理证明，证明上述类型的 N 个 STARK（它必须是 STARK-of-STARKs，而不是多个声明的直接证明，因为每个用户的 x 需要与聚合器保持私密）。

实施这种硬分叉的基础设施原则上可以从明天开始建立，使以太坊生态系统在量子威胁的紧急情况实际发生时做好最大限度的准备。

阅读原文