Hier sind die Folien für meinen Vortrag beim @PresidioBitcoin Quantum Bitcoin Summit: TL;DR: Ich schlage vor, dass die sha2-Parametermengen von SPHINCs+ (SLH-DSA/FIPS-205), die für kleinere Signaturen (~3KB, so klein wie möglich) optimiert sind, in Bitcoin als PQC-Signaturschema übernommen werden.

Ich erkunde auch, welche Auswirkungen der Sig-Typ auf den gesamten Stack hat (Änderungen in Tapscript usw.) die größte Veränderung besteht darin, dass die BIP-32 öffentliche Schlüsselableitung nicht mehr funktioniert (z. B. auf die sich watch-only Hardware-Wallets stützen), da hash-basierte Signaturen keine Art von algebraischer Struktur bieten.

Die deterministische Schlüsselableitung aus einem Seed wird weiterhin unterstützt, aber es wird kein "xpub" geben.

Wir können also einen kleineren Betrag für die maximale Anzahl an Signaturen für einen einzelnen Schlüssel anvisieren und andere Parameter anpassen, um eine etwas langsamere Signaturgenerierung (die Validierung bleibt schnell) für kleinere Signaturen zu erreichen. Wenn Sie dieses maximale Ziel überschreiten, verschlechtert sich die Sicherheit (128-Bit -> 112-Bit), aber es bricht nicht sofort zusammen.

Es ist also möglich, eine Reihe von Parametern mit Signaturen zu erreichen, die kleiner oder gleich ML-DSA (gitterbasierte Signatur) sind, mit kleineren privaten und öffentlichen Schlüsseln: * SLH-DSA: 32-Byte öffentliche Schlüssel, 64-Byte private Schlüssel * ML-DSA: 2KB+ private Schlüssel, 1KB+ öffentliche Schlüssel Der Kompromiss besteht darin, dass keine zusätzliche Struktur vorhanden ist, um ausgeklügelte Kryptografie zu betreiben.

weniger flexibel, aber konservativer Bitcoin verwendet bereits überall sha2 alle Signaturen haben irgendwo eine Hash-Funktion keine neuen kryptografischen Annahmen (1. oder 2. Vorabbildresistenz usw.) eingeführt, das Durchführen von vielen Hashes ist schnell, insbesondere mit vektorisierter Instanz + Hardwarebeschleunigung

ein bisschen Code und Spezifikationen zusammenstellen 😈 nicht wirklich interessiert an der politischen Frage, ob Coins eingefroren/beschlagnahmt werden sollten, usw., usw. meiner Meinung nach bricht das ein fundamentales Prinzip von Bitcoin, wir MÜSSEN Gruppen widerstehen, die versuchen, effektiv Reichtum umzuverteilen Wertverlust daraus > PQ-Bruch