以太坊基金会的密码学研究员Antonio Sanso坚信,区块链将在量子攻击真正成为威胁之前实现量子安全。
“我们作为以太坊基金会(EF)和以太坊社区,正大规模推进这一议题,”他在接受Cointelegraph采访时表示。
“研究部分基本已经完成。现在我们正启动执行阶段,并且我们非常有信心可以在既定的时间表和最后期限内完成。”
EF已将后量子(PQ)安全定为首要战略任务。1月24日,EF宣布成立由Thomas Coratger领导的后量子安全团队。自2月4日起,Sanso还将主持以太坊新设的两周一次的后量子安全All Core Devs会议。
这是一项十分庞大的工程。他表示,以太坊的执行、共识和数据可用性层都需要升级。
“当我们讨论后量子解决方案时,目标不仅针对某一部分,而是涉及以太坊所有主要宏观领域的迁移,”他说道。
“好消息是我们已经为此工作了很多个月,甚至不止一年。所以我们的计划十分清晰,并且未来几年内大概率会付诸实施。”
已完成五分之一进度
当被问及目前各项工作推进到什么程度时,Sanso表示,不同层的解决方案推进速度不同,“因此无法用一个百分比概括。但大致来看,可能完成了20%。”
新的双周会议将讨论不同方法的利弊。多客户端后量子测试网现已上线,PQ路线图也将很快发布,目标是在未来几年内实现Justin Drake所称的“无资金损失、零停机的全面转型”。
使以太坊具备量子抗性只是Lean Ethereum计划对整个区块链系统全面革新的一部分,旨在利用零知识(ZK)技术让以太坊变得更快、更简单、更去中心化,同时抵御量子攻击。
比特币与以太坊的对比
以太坊对量子抗性的积极态度,与比特币形成鲜明对比。从Adam Back到Michael Saylor等业内领袖均淡化了变革的必要性,他们认为量子计算机的实际出现可能还需要许多年甚至几十年。
相关说法虽不假,但需加以说明。在布宜诺斯艾利斯举办的DevConnect大会上,以太坊联合创始人Vitalik Buterin提到,主流预测认为量子计算机可以攻破现有密码学体系的时间为2040年,但仍有20%的概率会提前至2030年。
但事实上,受量子攻击威胁的比特币(BTC)数量更少,大约有600万枚比特币暴露于风险之下,主要集中在地址和公钥已公开的老旧地址。
然而,绝大多数以太坊都受影响,Solana亦然。相较于以太坊,比特币拟采用的修复措施更为简单,尽管大体积PQ签名依然是个大问题。
“从技术层面来说,迁移操作更简单,”Sanso解释道。“但在实际推进层面,他们可能会遇到共识难题……难以就方案达成一致。”
“以太坊则不存在这个问题,但从技术角度看,我们需要迁移的内容更多,”他说,“我们确实需要更换执行层的交易签名,这是共通需要变革的部分;但相较而言,执行层的难度最低,另外两个层难度更大一些。”
如果量子计算机提前到来会发生什么?
Sanso本人预计量子计算机出现的最后期限大致是2030年代中期。他预计Lean Ethereum将在2028到2032年之间完成。
鉴于大型语言模型和ZK-Proof等新技术的快速落地(ZK技术甚至比预期更早成熟),量子计算机极有可能在区块链改造彻底完成前率先具备攻破能力。
目前,用户可通过将以太坊(ETH)转入从未使用的新地址进行提升保护措施,因为这类地址的公钥未被暴露(量子计算机主要通过Shor算法逆推公钥获取私钥)。
未来,结合账户抽象和后量子签名的智能钱包将保护你的ETH。
“我们的想法是采用基于格或者哈希的后量子新算法。今后将与账户抽象集成。”
PQ签名体积更大
在11月的DevConnect大会上,Zknox展示了一款采用后量子Dilithium签名且兼容以太坊现有基础设施的硬件钱包。
不过,后量子签名体积极大,体积最小的Falcon仍是现有椭圆曲线数字签名算法(ECDSA)的10倍。
Sanso指出,如果在Solidity中直接编码格算法,Gas成本将极其高昂。为此,以太坊提出了预编译模块(EIP)方案,以便在主协议外自动处理相关过程,提升执行效率、降低成本。
而要把比当前大10倍的签名直接存入链上,则需要多项措施并行推进,包括利用ZK-STARKs压缩签名体积。
紧急量子升级方案
此外,Buterin还在2024年3月制定了应对量子攻击的紧急预案,包括硬分叉和一种ETH持有者在迁移到PQ地址之前可证明其原地址所有权的方法。
Sanso表示,这一方案正在推进,团队正在探索用ZK-Proofs安全证明ETH持有者拥有某一地址种子的方式。
“这是我们一直在积极推动的项目。希望很快会在EthCC戛纳或印度Devcon展示这项成果。”
根据EIP的审批情况,该系统也有望纳入PQ签名的切换过程中。用户可以先证明地址归属权,然后关闭现有的量子易受攻击ECDSA账户部分。
“我们有一个允许用户启用的EIP,你可以选择‘关闭’本地钱包的椭圆曲线功能。这样,你可以保留原有地址,且唯一可以操作地址内资产的方法,就是账户抽象和这一种子证明的结合。”
“很可能将在下次分叉讨论此主题,个人认为这是正确方向。”
Sanso还指出,确定最终纳入哪些EIP仍需较长过程,最终将由社区共同决策。
他表示,第一次All Core Devs PQ“分组讨论”会议计划于2026年2月4日举行。
Drake称,双周会议将“聚焦于用户端安全,包括专用预编译、账户抽象以及未来长期通过leanVM进行交易签名聚合等内容。”
