her er lysbildene for foredraget mitt på @PresidioBitcoin Quantum Bitcoin Summit: TL; DR: Jeg foreslår at sha2-paramsett(er) av SPHINCs+ (SLH-DSA/FIPS-205) innstilt for mindre signaturer (~3KB, mindre mulig) blir tatt i bruk i Bitcoin som PQC-signaturskjema

Jeg utforsker også hva implikasjonene er for sig-typen på tvers av stabelen (tapscript-endringer, etc) det største skiftet er at BIP-32 offentlig nøkkelderivasjon ikke lenger fungerer (f.eks. som maskinvarelommebøker kun er avhengige av), ettersom hash-baserte sigs ikke tilbyr type algebraisk struktur

Deterministisk nøkkelavledning fra et frø støttes fortsatt, men det ville ikke være noe slikt som en "xpub"

Så vi kan målrette mot en mindre AMT for maks AMT av SIG-er for en enkelt tangent + stille inn andre parametere for å bytte mot litt langsommere SIG-generering (validering er fortsatt rask), for mindre SIG-er Hvis du bryter det maksimale AMT-målet, forringes sikkerheten (128-biters > 112-biters), men insta-brytes ikke

slik mulig å komme frem til en rekke paramer med mindre eller på par med ML-DSA (gitterbasert sig), med mindre private + offentlige nøkler: * SLH-DSA: 32-byte pub-nøkler, 64-byte priv-nøkler * ML-DSA: 2KB+ priv-nøkler, 1KB+ pub-nøkler Avveining er ingen ekstra struktur for å gjøre fancy krypto

mindre fleksibel, men mer konservativ Bitcoin bruker allerede sha2 overalt Alle SIG-er har en hash-funksjon et sted Ingen nye kryptoforutsetninger (1. eller 2. preimage-motstand, etc) introdusert, det er raskt å gjøre massevis av hashes, spesielt med vektorisert inst + maskinvareakselerasjon

Lage noen kode+spesifikasjoner 😈 ikke så interessert i det politiske spørsmålet om mynter skal fryses/beslaglegges, osv, osv imo som bryter en grunnleggende leietaker av Bitcoin, vi MÅ motstå grupper som prøver å koordinere for å effektivt omfordele rikdom verditap fra det > PQ-bruddet