vitalik.eth|2026年02月26日 17:36
现在,量子电阻路线图。
今天,以太坊中有四件事是量子脆弱的:
*共识层BLS签名
*数据可用性(哈萨克斯坦政府承诺+证明)
*EOA签名(ECDSA)
*应用层ZK打样(KZG或groth16)
我们可以逐步解决这些问题:
共识层签名
精益共识包括用基于哈希的签名(Winternitz的一些变体)完全替换BLS签名,并使用STARK进行聚合。
在精益最终确定之前,我们很有可能获得精益可用链。这也涉及基于哈希的签名,但签名要少得多(例如每个插槽256-1024个),因此我们不需要STARK进行聚合。
上游的一件重要事情是选择哈希函数。这可能是“以太坊的最后一个哈希函数”,因此明智地选择很重要。传统的哈希太慢了,而最具攻击性的Poseidon形式最近在安全分析方面受到了打击。可能的选择包括:
*Poseidon2加上额外的轮次,可能混合了非算术层(如Monolith)
*Poseidon1(旧版本的Poseidon,不易受到最近对Poseidon2的任何攻击,但速度慢2倍)
*BLAKE3或类似(采用我们所知的最有效的传统哈希)
数据可用性
今天,我们非常依赖KZG进行擦除编码。我们可以转移到STARK,但这有两个问题:
1.如果我们想做2D DAS,那么我们目前的设置依赖于KZG承诺的“线性”特性;对于STARKs,我们没有这个。然而,我们目前的想法是,考虑到我们的规模目标,只需最大化1D DAS(即PeerDAS)就足够了。以太坊采取了更为保守的姿态,它并不试图成为世界的高规模数据层。
2.我们需要证明擦除编码的斑点是正确构造的。KZG这样做是“免费的”。STARK可以替代,但STARK是。…比一团还大。因此,你需要递归斯塔克(尽管也有其他技术,它们有自己的权衡)。这没关系,但如果你想支持分布式blob选择,那么后勤工作会变得更加困难。
总结:这是可以管理的,但还有很多工程工作要做。
EOA签名
在这里,答案很明确:我们添加了原生AA(参见https://eips.ethereum.org/EIPS/eip-8141),这样我们就可以得到可以使用任何签名算法的一流帐户。
然而,为了实现这一点,我们还需要抗量子签名算法真正可行。ECDSA签名验证花费3000天然气。量子抗性特征是。..要验证的尺寸和重量要大得多。
我们知道在200k气体范围内需要验证的基于量子抗哈希的签名。
我们还知道基于晶格的量子抗性特征。如今,这些验证效率极低。然而,有一些关于矢量化数学预编译的工作,可以让你执行作为晶格数学核心的操作(+、*、%、点积,还有NTT/蝶形排列),还有STARK。这可以将基于晶格的签名的气体成本大大降低到类似的范围,甚至可能更低。
长期解决方案是协议层递归签名和证明聚合,这可以将这些gas开销降低到接近零。
证明
如今,ZK-SNARK的价格约为300-500k天然气。抗量子星更像是10米气体。后者对于隐私协议、L2和其他证明用户来说是不可接受的。
解决方案再次是协议层递归签名和证明聚合。那么,让我们来谈谈这是什么。
在EIP-8141中,交易可以包含一个“验证框架”,在此期间应该进行签名验证和类似的操作。验证框架无法访问外部世界,它们只能查看自己的调用数据并返回一个值,其他任何东西都不能查看自己的呼叫数据。这是为了用验证它的STARK(可能是块中所有验证帧的单个STARK)替换任何验证帧(及其调用数据)。
这样,一个块可以“包含”一千个验证帧,每个验证帧要么包含3kB的签名,要么甚至包含256kB的证明,但3-256MB(以及验证它所需的计算)永远不会出现在链上。相反,所有这些都将被一个验证计算正确性的证明所取代。
潜在地,这种证明甚至不需要由区块构建者完成。相反,我设想它发生在内存池层:每500ms,每个节点都可以传递它看到的新的有效事务,以及一个证明它们都是有效的(包括具有与它们所声明的效果相匹配的验证帧)。开销是静态的:每500毫秒只有一次验证。这是一篇我谈论这个的文章:
https://ethresear.ch/t/recursive-stark-based-bandwidth-efficient-mempool/23838
https://firefly.social/post/farcaster/0x19ddcf7f74b335ab5adcdec43c071d1161ab247e
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接