hier zijn de dia's voor mijn presentatie op de @PresidioBitcoin Quantum Bitcoin Summit: TL;DR: Ik stel voor dat sha2 parameter set(s) van SPHINCs+ (SLH-DSA/FIPS-205) afgestemd op kleinere handtekeningen (~3KB, zo klein mogelijk) worden aangenomen in Bitcoin als PQC-handtekeningenschema.

Ik verken ook wat de implicaties zijn voor het sig-type in de hele stack (tapscript-wijzigingen, enz.) de grootste verschuiving is dat BIP-32 publieke sleutelafleiding niet langer werkt (bijv.: waar watch-only hardware wallets op vertrouwen), aangezien hash-gebaseerde sigs geen type algebraïsche structuur bieden.

deterministische sleutelafleiding van een seed wordt nog steeds ondersteund, maar er zou zoiets als een "xpub" niet bestaan.

dus we kunnen een kleinere hoeveelheid targeten voor het maximale aantal handtekeningen voor een enkele sleutel + andere parameters afstemmen om iets langzamere handtekeninggeneratie (validatie is nog steeds snel) te ruilen voor kleinere handtekeningen als je dat maximale doel overschrijdt, degradeert de beveiliging (128-bit -> 112-bit) maar breekt niet onmiddellijk

het is mogelijk om te komen tot een reeks parameters met handtekeningen die kleiner zijn of gelijk aan ML-DSA (rooster-gebaseerde handtekening), met kleinere privé- en publieke sleutels: * SLH-DSA: 32-byte publieke sleutels, 64-byte privé sleutels * ML-DSA: 2KB+ privé sleutels, 1KB+ publieke sleutels de afweging is dat er geen extra structuur is om fancy crypto te doen.

minder flexibel, maar conservatiever Bitcoin gebruikt overal sha2 alle handtekeningen hebben ergens een hashfunctie geen nieuwe cryptografische aannames (1e of 2e pre-image weerstand, enz.) geïntroduceerd, het uitvoeren van een hoop hashes is snel, vooral met vectorized instructies + hardwareversnelling

code+specificaties aan het koken 😈 niet echt geïnteresseerd in de politieke vraag of munten bevroren/ingevoerd moeten worden, enz., enz. imo dat breekt een fundamenteel principe van Bitcoin, we MOETEN weerstand bieden tegen groepen die proberen te coördineren om effectief rijkdom te herverdelen waarde verlies van dat > PQ breuk