Вот слайды для моего выступления на @PresidioBitcoin Quantum Bitcoin Summit: Кратко: я предлагаю принять наборы параметров sha2 для SPHINCs+ (SLH-DSA/FIPS-205), настроенные на более мелкие подписи (~3KB, как можно меньше), в качестве схемы подписи PQC в Bitcoin.

Я также исследую, какие последствия это имеет для типа сигнатуры по всему стеку (изменения в tapscript и т. д.) самое большое изменение заключается в том, что производная публичного ключа BIP-32 больше не работает (например, на что полагаются аппаратные кошельки только для просмотра), так как сигнатуры на основе хешей не предлагают тип алгебраической структуры.

определяемое извлечение ключей из семени по-прежнему поддерживается, но не будет ничего подобного "xpub"

поэтому мы можем нацелиться на меньшую сумму для максимального количества подписей для одного ключа + настроить другие параметры, чтобы немного замедлить генерацию подписей (валидация все еще быстрая), для меньших подписей если вы превысите эту максимальную целевую сумму, безопасность ухудшается (128-бит -> 112-бит), но не ломается мгновенно

возможно достичь диапазона параметров с подписями меньшими или равными ML-DSA (подпись на основе решеток), с меньшими закрытыми и открытыми ключами: * SLH-DSA: 32-байтовые открытые ключи, 64-байтовые закрытые ключи * ML-DSA: более 2КБ закрытые ключи, более 1КБ открытые ключи компромисс заключается в отсутствии дополнительной структуры для сложной криптографии

менее гибкий, но более консервативный Bitcoin уже использует sha2 повсюду все подписи имеют хеш-функцию где-то новые крипто-условия (сопротивление 1-го или 2-го предобраза и т.д.) не вводятся, выполнение множества хешей быстро, особенно с векторизованными инструкциями + аппаратным ускорением

готовим немного кода+спецификаций 😈 не слишком интересуюсь политическим вопросом о том, должны ли монеты быть заморожены/конфискованы и т.д., и т.п. по моему мнению, это нарушает основной принцип Биткойна, мы ДОЛЖНЫ сопротивляться группам, пытающимся координировать перераспределение богатства потеря ценности от этого > разрыв PQ