ecco le diapositive per il mio intervento al @PresidioBitcoin Quantum Bitcoin Summit: TL;DR: Propongo che il set di parametri sha2 di SPHINCs+ (SLH-DSA/FIPS-205) ottimizzato per firme più piccole (~3KB, il più piccolo possibile) venga adottato in Bitcoin come schema di firma PQC.

Esploro anche quali sono le implicazioni per il tipo di sig lungo l'intero stack (cambiamenti di tapscript, ecc) il cambiamento più grande è che la derivazione della chiave pubblica BIP-32 non funziona più (ad esempio: su cui si basano i portafogli hardware in sola visione), poiché le firme basate su hash non offrono un tipo di struttura algebrica.

la derivazione di chiavi deterministica da un seed è ancora supportata, ma non ci sarebbe nulla del genere chiamato "xpub"

quindi possiamo mirare a un importo più piccolo per il numero massimo di firme per una singola chiave + regolare altri parametri per scambiare una generazione di firme leggermente più lenta (la validazione è comunque veloce), per firme più piccole se superi quel target massimo, la sicurezza degrada (da 128 bit a 112 bit) ma non si rompe immediatamente

quindi è possibile arrivare a un intervallo di parametri con firme più piccole o pari a quelle di ML-DSA (firma basata su reticolo), con chiavi private e pubbliche più piccole: * SLH-DSA: chiavi pubbliche di 32 byte, chiavi private di 64 byte * ML-DSA: chiavi private di oltre 2KB, chiavi pubbliche di oltre 1KB il compromesso è che non c'è una struttura extra per fare crittografia avanzata.

meno flessibile, ma più conservativo Bitcoin utilizza già sha2 ovunque tutte le firme hanno una funzione hash da qualche parte non vengono introdotte nuove assunzioni crittografiche (resistenza alla prima o alla seconda immagine, ecc.), fare un sacco di hash è veloce, specialmente con istruzioni vettoriali + accelerazione hardware

cucinando un po' di codice+specs 😈 non sono molto interessato alla questione politica se le monete dovrebbero essere congelate/sequestrate, ecc, ecc imo che infrange un principio fondamentale di Bitcoin, Dobbiamo resistere ai gruppi che cercano di coordinarsi per ridistribuire efficacemente la ricchezza la perdita di valore da questo > rottura di PQ