Aptos 後量子安全提案引入簽名以應對未來威脅

隨著量子計算向實際應用邁進，Aptos的後量子策略正逐漸成為保守區塊鏈安全設計的關鍵測試案例。

AIP-137將SLH-DSA-SHA2-128s引入Aptos區塊鏈

Aptos已推出AIP-137，該提案引入了SLH-DSA-SHA2-128s，作為其首個後量子簽名方案，以防範未來量子計算攻擊。此舉旨在在量子機器成為直接密碼學威脅之前，強化區塊鏈的安全性。

此外，隨著量子計算從理論轉向實現，該提案也趕上了潮流。IBM正討論大規模量子系統的擴展路徑，而NIST已公布最終的後量子標準。專家們對於何時出現嚴重威脅仍有分歧，討論是否在五年或五十年內，但Aptos選擇提前進行保守準備。

為何Aptos選擇保守的哈希基方案

AIP-137優先考慮安全假設而非純粹性能，選擇了SLH-DSA-SHA2-128s，這是一個由NIST標準化為FIPS 205的無狀態哈希簽名方案。它完全依賴SHA-256，這是一個已在Aptos基礎設施中整合的哈希函數，避免引入任何新的密碼學假設。

然而，這種保守立場受到過去後量子密碼學失敗的啟示。Rainbow方案曾是NIST決賽入圍者，基於多變數密碼學，但在2022年在普通筆記型電腦上被徹底破解。通過將安全性建立在已充分理解的哈希函數上，而非更為奇特的數學結構，Aptos旨在降低傳統攻擊擊敗所謂量子安全設計的風險。

在此背景下，Aptos的後量子策略被視為一個基線，偏重於韌性而非速度，只有在保守層在實務中證明其可靠性後，才會為更激進的優化留出空間。

性能權衡：大小與速度對安全的取捨

SLH-DSA-SHA2-128s的主要權衡在於簽名大小與驗證速度。簽名長度約為7,856字節，是Ed25519的82倍，而驗證時間約為294微秒，約比Ed25519慢4.8倍。這些額外開銷是刻意為之，接受效率上的成本，以換取避免未經驗證假設的安全保障。

此外，Aptos明確將此設計與其他方案進行比較。像ML-DSA等選項提供較小的簽名和較快的驗證速度，但依賴結構化格問題的難度，這引入了新的數學風險。Falcon則提供更佳的性能，簽名壓縮至約1.5 KB，但依賴浮點運算，使實作更易出錯且難以審計。

可選啟用與階段性推廣策略

該提案謹慎避免強制遷移。Ed25519仍為預設簽名方案，而SLH-DSA-SHA2-128s則作為一個可選層，鏈上治理可在量子威脅證明部署合理時啟用。需要後量子保障的用戶可以選擇性採用新方案，而不影響整個網絡。

對於Aptos而言，實作依賴功能標誌來協調驗證者、索引器、錢包和開發者工具的受控推廣。這一階段性策略讓生態系統參與者有時間調整基礎設施，直到量子電腦能夠實際破解現有的公開金鑰密碼學。

量子風險與破壞時間表

此倡議反映數位資產領域對量子時間表的普遍焦慮。行業研究人員估計，大約30%的比特幣供應（約6-7百萬BTC）仍暴露在直接揭示公開金鑰的遺留地址格式中。一旦出現可擴展的量子電腦，這部分資產被認為是脆弱的。

同時，科技巨頭正競逐量子里程碑。IBM計劃在本十年末建造10萬量子比特的晶片組，而PsiQuantum則瞄準在同一時間範圍內達到一百萬光子量子比特。微軟認為量子進展已從“數十年”縮短到“數年”，谷歌已報告其量子晶片能解決傳統系統難以處理的問題。

破譯256位橢圓曲線簽名的估計持續收緊。一些研究人員現在認為約一百萬量子比特可能足夠，並認為在2030年代中期破解256位數位簽名的窗口是合理的。因此，資產管理者越來越將量子計算視為長期的密碼學風險，預期隨著技術成熟，大多數主要區塊鏈最終都需要進行後量子升級。

總結來說，AIP-137通過採用NIST標準化的哈希基方案和可選的階段性推廣，為Aptos在量子時代的攻擊中建立防禦基礎，權衡效率與韌性，並在整個加密生態系統為2030年代中期的威脅做準備。