核心限制:后量子签名与现有签名体系不兼容
Ben-Sasson的观点始于比特币现有密码学架构与后量子方案预期之间的不匹配。他指出,仅仅添加后量子签名“本身”并不能使链在实践意义上具备量子安全性;它首先引入了一个工程问题:新签名的规模会大出数个数量级。
据文章所述,美国国家标准与技术研究院(NIST)当前批准的后量子签名方案,其大小大约是比特币目前使用的ECDSA和Schnorr签名的10到100倍。实际风险在于吞吐量和验证开销——一个常被引用的担忧是,一个区块能容纳的交易数量将大幅减少。
Ben-Sasson提出的应对方案是,将大部分数据迁移到链下,并用一个紧凑的密码学证明来替代。在他看来,一个区块内所有交易的签名可以聚合成一个单一的ZK STARK证明,其大小远小于包含原始签名。他认为,与在链上直接进行后量子升级相比,这种方法可以保持甚至有效提升效率。
“如果他们不允许ZK STARK聚合,那肯定是一个非常不幸的举措,因为它无法真正解决问题……而问题的核心是‘每个人真的都能使用比特币吗?’”Ben-Sasson说道。
“因此,你需要大规模扩展。为此,你需要像签名聚合这样的技术,仅仅增加区块大小是不够的。”
区块大小:作为“简单工程学”解决方案及其引发的争议
Ben-Sasson通过其他专家的评论承认,一个替代方案是增加比特币的区块大小。争议不在于它是否有效——而在于其成本结构和治理路径。
Marin Ivezic的模型显示,在NIST的ML-DSA-44方案下,区块容量可能降至约500到700笔交易,而“目前”是2500到3000笔。
这一数字使得关于区块大小的辩论显得不可避免:如果后量子签名导致交易规模急剧增大,网络就需要为这些数据找到存储空间。然而,正如文章指出的,批评者认为区块扩容是一种粗暴的手段,因为它会给所有节点带来更大的存储、带宽和验证工作量。久而久之,这可能意味着更高的运营成本和可能更少的硬件多样性——反对者认为,这种结果可能使比特币走向中心化。
文章还提到了Blockstream Research近期在压缩基于哈希的后量子签名方案方面的实验。其中提到SHRINCS和SHRIMPS方案,“日常”签名的大小约为当前比特币签名的五倍,而在钱包恢复等场景下,大小甚至可达40倍。这意味着,即使采用压缩技术,除非增加区块大小,否则更大的签名仍然是吞吐量的挑战。
“从原生层面提升容量是简单的工程学答案,却是最困难的治理答案,”Ivezic说。“我们根本没有时间进行那些辩论。”
为何ZK聚合可能比单纯提升容量更重要
ZK STARK聚合的吸引力不仅仅在于它更小。它改变的是节点存储和验证内容的经济性。
在高层次上,ZK证明允许一方在不暴露所有底层细节的情况下证明某个陈述成立。在文章描述的比特币场景中,STARK证明可以证明与签名相关的多个交易的必要条件已满足,而无需链承载全部单个签名字节。
Ben-Sasson提出的操作主张是,为一个区块生成证明是一项可能只需要做一次的工作,并且证明硬件可能比商业矿机便宜得多。文章进一步指出,验证证明在非常简单的设备上即可完成,并引用了LeanEthereum的规范基准——其中证明设备的成本可能低于10万美元,而验证几乎可以在任何设备上运行,比如一台树莓派。
Ben-Sasson还认为,ZK STARKs的发展势头在早期比特币开发者中就已存在。他声称Greg Maxwell和Mike Hearn等人“非常看好ZK STARKs”,因为他们相信STARKs提供了无需可信设置的后量子安全性。在文章中,他补充说,他认为比特币核心开发者Luke Dashjr和Adam Back更倾向于这个想法,尽管文章表示未收到Back的回应。
文章中提到的一个复杂因素是,以太坊研究员Justin Drake曾表示希望比特币采用Lean Ethereum的ZK证明聚合方法。然而,政治性的约束可能使得在实践中难以实施——即使技术路径是存在的。
比特币需要具备什么条件来验证STARKs?
对于比特币而言,问题不在于ZK STARKs在密码学上是否可信,而在于比特币能否以实用且可接受的方式验证它们。这便将讨论引向了比特币脚本和治理。
文章认为,一个在政治上更务实的起点可能是重新启用OP_CAT,这是中本聪引入但后来移除的操作码。Ben-Sasson认为,如果启用OP_CAT,它可能解锁STARK证明和聚合所需的功能,从而支持后量子安全性。
尽管如此,尽管OP_CAT在几个月前引起了关注(正如文章所述,那是12到24个月前的事),但最近已经“失去了动力”。这仍然是一条依赖治理的路径,比特币审慎的文化被视为一个关键因素。
除了OP_CAT,文章还提到了其他提案,例如OP_STARK_VERIFY,这是一个旨在更高效地在比特币上验证STARKs的操作码导向想法,以及一个与Ethan Heilman相关的名为BitZip的概念。Heilman的论述勾勒出两条主要路径:通过通用操作码增强比特币以支持类似Rollup的构造,或者在共识层支持STARKs。他还提到了像CISA(跨输入签名聚合)这样的较弱的聚合方案,作为潜在的辅助手段。
即使密码学是可靠的,实际的制约因素在于比特币脚本目前无法验证STARKs。文章引用了Ivezic的评估,即在基础层实现STARK验证器,现实地看是2030年代的治理议题,并指出共识层的更改比与签名相关的小型操作码(即使是像OP_CAT这样已经经过多年辩论的操作码)涉及的范围要大得多。
相比之下,文章强调其他网络可能更容易进行后量子过渡。它指出以太坊的目标是在2029年完成后量子过渡,而Solana已经实验了后量子签名。具体到Starknet,文章将StarkWare的三阶段量子安全过渡与原生账户抽象联系起来,后者允许升级底层密码学而无需强制每个用户手动迁移账户。
“在Starknet上,我们有一个巨大的优势,即我们已经实现了原生账户抽象和智能钱包,这意味着没有任何东西是固定的,因此升级钱包和基础设施以使其具备后量子能力非常容易。”
正如Ben-Sasson所呈现的,其战略意义在于,在没有灵活账户层的网络上,后量子路线图可能“极其困难”,而Starknet的设计选择降低了锁定风险。
关键要点
后量子签名比比特币当前的签名方案大得多,可能迫使网络进行重大的容量调整。
ZK STARK聚合可以将一个区块中的许多大签名压缩成一个更小的证明,从而减轻链上数据压力。
简单地增加区块大小是一种替代方案,但可能提高节点成本并重新引发去中心化方面的担忧。
比特币的治理和脚本限制是在基础层添加原生STARK验证的主要瓶颈。
StarkWare的路线图指向一种通过账户抽象的不同方法,使Starknet等系统上的后量子升级在操作上更容易。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种