Part 1：后量子（Post-Quantum）以太坊交易签名

感谢 Vitalik Buterin、Justin Drake、Renaud Dubois、Marius Van Der Wijden 和 Zhenfei Zhang 提供的富有成效的讨论。

引言

2024 年很可能会被铭记为量子计算机威胁加速显现的关键年份之一。谷歌在其 CEO Sundar Pichai 的带领下，终于通过一条高调推文发布了其量子芯片 “Willow”！

全球最著名的量子专家之一 Scott Aaronson，最近改变了他对“人们是否应该担心量子计算机”这一问题的回答。他从原先的说法：

“…也许最终，有人需要开始考虑从 RSA、Diffie-Hellman 和椭圆曲线密码学迁移到基于格（lattice-based）或其他可能抵御量子攻击的密码系统…”

转变为：

“是的，毫无疑问，现在就该为此担忧。制定一个应对计划。”

Vitalik 早已撰文探讨过：在量子紧急情况下，如何通过硬分叉（hard fork）来拯救大多数用户的资金。此外，就在几天前，他在一档播客中指出了以太坊中四个可能受量子攻击影响的核心组件，它们分别是：

1. 以太坊交易签名（尤其是使用 ECDSA 的）

2. 共识层中的 BLS 签名

3. 数据可用性采样（Data Availability Sampling，依赖 KZG 承诺）

4. Verkle 树（如果采用 Bandersnatch 曲线）

细心的读者可能已经注意到，这四点有一个共同之处——没错，就是我钟爱的椭圆曲线。不幸的是，椭圆曲线离散对数问题（ECDLP）会被著名的量子算法——Shor 算法——彻底破解。

在本篇简短笔记中，我们将重点分析第一个组件的潜在后量子替代方案，即后量子以太坊交易签名。

该选用哪种后量子签名？

现在，一个合理的问题是：我们应该使用哪种后量子（PQ）签名方案？幸运的是，如果我们现在就必须做出选择，其实并不需要过度纠结。前以太坊基金会密码学家 Zhenfei Zhang 已经撰文介绍过 NIST 后量子密码标准化进程。如果我们审视目前三种可行的签名方案（其中两种基于格密码），可以清楚地看到（至少目前如此），Falcon 是最有前景的候选者。验证者的计算开销与其他基于格的签名方案（如 Dilithium）大致相当，即受限于快速傅里叶变换（FFT）；但 Falcon 的签名尺寸更小。

那就上吧！！！

如何部署？

既然我们“选定”了要使用的签名方案，下一个问题就是：如何部署它？ 目前存在两种截然不同的路径：一种需要硬分叉，另一种则不需要。让我们深入探讨一下。

账户抽象（Account Abstraction, AA）路径

我们要讨论的第一种方法，或许也是最优雅、最有前景的，就是账户抽象（AA）。Justin Drake 和 Vitalik 多次倡导过这一方案。

对于不熟悉 AA 的读者：AA 是一项旨在通过改变交易和账户管理方式，使以太坊生态系统更加灵活和用户友好的改进提案。它将传统上仅限于外部拥有账户（EOA）的功能移入智能合约，从而有效“抽象”掉 EOA 与合约账户之间的差异。

以太坊开发者已提出多种实现 AA 的方案，其中 ERC-4337 是一个实用的解决方案，无需共识层升级即可实现 AA。它引入了“用户操作”（User Operation）对象，并新增了一个独立的“打包器”（Bundler）层来处理交易。

在此场景下，若要将以太坊交易签名替换为 Falcon，就需要编写一个 Falcon 验证器合约，用于在 Entry Point 合约执行 User Operation 之前验证其有效性。

听起来似乎一切都很美好，但至少存在一个重大隐患：用 Solidity 实现 Falcon 可能体验不佳（而且 gas 成本极高）。更棘手的是，Falcon 涉及 13 位整数运算，而 Solidity 仅支持 U256 类型。这类问题或许可以通过为 EVM 引入 SIMD 和 EVMMAX 指令集来缓解。

• 优点：方案优雅且灵活。

• 缺点：Gas 消耗高。

硬分叉路径

我们讨论的第二种方法在技术上可能是最简单的。它受到 Marius Van Der Wijden 早期工作的启发，核心思路是：引入一种新的交易类型，使用 Falcon 签名而非当前的 ECDSA/BLS 签名。但最大的问题是，这样做会通过一个新的 EIP 将以太坊与某一种特定的“主签名方案”深度绑定。

简要总结该方法：

• 优点：实现简单、执行迅速。

• 缺点：缺乏未来适应性（不够“面向未来”）。

混合路径

一个极具吸引力的思路是：融合上述两种方法的优点。简而言之，我们可以像 RIP-7212 那样利用账户抽象机制，当然，我们需要为 Falcon 制定一个新的 RIP（Rollup Improvement Proposal）。这种方法可以为我们争取时间，在 Rollup 层面实验该特性，并验证 Falcon 是否真的是最佳选择。但需要注意的是，这种方案并不能解决在 L1 层引入新签名方案的根本问题。

• 优点：易于实现且快速。

• 缺点：临时性方案（无法满足 L1 需求）。

结论

量子计算的崛起迫切要求我们采取行动，保护以太坊免受 Shor 算法对交易签名等关键组件的威胁。基于格的签名方案 Falcon 凭借其高效性和紧凑的签名尺寸，成为强有力的候选者。无论是通过账户抽象、硬分叉，还是混合路径进行部署，每种策略都有其独特的优势与权衡。我们必须审慎评估，确保以太坊在抵御量子威胁的同时，依然保持可扩展性与可用性。

原文：https://ethresear.ch/t/falcon-as-an-ethereum-transaction-signature-the-good-the-bad-and-the-gnarly/21512

免责声明：本文为c2e Labs的第三方内容，仅供信息分享与传播之目的，不代表我们的立场或观点且不构成任何投资及应用建议。版权归原作者或来源方所有，如内容或素材有所争议请和我们取得联系。