Aptos后量子安全提案引入签名以应对未来威胁

随着量子计算向实际应用迈进，Aptos的后量子策略正逐渐成为保守区块链安全设计的关键试验案例。

AIP-137将SLH-DSA-SHA2-128s引入Aptos区块链

Aptos公布了AIP-137提案，提出将SLH-DSA-SHA2-128s作为其首个后量子签名方案，以保护网络免受未来量子计算攻击。该举措旨在在量子机成为直接密码威胁之前增强区块链的安全性。

此外，随着量子计算从理论走向实现，提案也应运而生。IBM正在讨论大规模量子系统的扩展路径，而NIST已发布最终的后量子标准。专家们对于时间点仍存在分歧，争论是否会在五年或五十年内出现严重威胁，但Aptos选择提前采取保守的准备措施。

为何Aptos选择保守的哈希基础方案

AIP-137优先考虑安全假设而非纯粹性能，选择了SLH-DSA-SHA2-128s——由NIST标准化为FIPS 205的无状态哈希签名方案。它完全依赖于SHA-256，这一哈希函数已在Aptos基础设施中广泛应用，避免引入任何新的密码学假设。

然而，这一保守立场也源于过去后量子密码学的失败经验。Rainbow方案曾是基于多变量密码学的NIST决赛方案，但在2022年在普通笔记本电脑上被完全破解。通过基于成熟的哈希函数而非更为复杂的数学结构，Aptos试图降低经典攻击击败所谓的量子安全设计的风险。

在此背景下，Aptos的后量子方案被视为一种以稳健性优先于速度的基线方案，只有在这一保守层在生产环境中得到验证后，才会考虑更激进的优化。

性能权衡：大小与速度对安全的影响

SLH-DSA-SHA2-128s的主要权衡在于签名大小和验证速度。签名大小为7,856字节，是Ed25519的82倍，而验证时间约为294微秒，约比Ed25519慢4.8倍。这些开销是有意为之，接受效率的牺牲，以换取避免未经验证假设的安全保障。

此外，Aptos明确将此方案与其他方案进行对比。例如，ML-DSA签名更小，验证更快，但依赖于结构化格问题的难度，带来新的数学风险。Falcon提供更优的性能，压缩签名约为1.5 KB，但依赖浮点运算，增加实现错误和审计难度。

可选激活与分阶段部署策略

该提案谨慎避免强制迁移。Ed25519仍为默认签名方案，而SLH-DSA-SHA2-128s作为可选层引入，链上治理在量子威胁足够严重时可以激活。需要后量子安全保障的用户可以选择性采用新方案，而不影响整个网络。

对于Aptos，实施依赖于功能标志，以协调验证者、索引器、钱包和开发工具的有序部署。这一分阶段策略为生态系统参与者提供了时间，在量子计算机真正突破现有公钥密码学之前，调整基础设施。

量子风险与加密行业的时间表

该倡议反映了数字资产行业对量子时间表的普遍担忧。行业研究估计，大约30%的比特币供应（约600万至700万BTC）仍暴露在遗留地址格式中，直接泄露公钥。一旦出现可扩展的量子计算机，这部分资产被认为是脆弱的。

与此同时，科技巨头正竞相迈向量子里程碑。IBM计划在本十年末建成10万量子比特芯片组，PsiQuantum目标在同期实现百万光子量子比特。微软认为量子技术已从“几十年”迈向“几年”，谷歌已报告其量子芯片能解决经典系统难以应对的问题。

关于破解256位椭圆曲线签名的估计持续收紧。一些研究人员现在认为，约一百万量子比特可能足够，他们认为在2030年代中期破解256位数字签名是有可能的。因此，资产管理者越来越将量子计算视为长期密码学风险，预计随着技术成熟，大多数主要区块链最终都需要进行后量子升级。

总之，AIP-137通过采用NIST标准化的哈希基础方案和可选的分阶段部署，将Aptos置于防御量子时代攻击的基础位置，在牺牲部分效率的同时增强系统的耐久性，同时整个加密生态系统也在为2030年代中期的威胁做准备。