här är bilderna för mitt föredrag vid @PresidioBitcoin Quantum Bitcoin Summit: TL; DR: Jag föreslår att sha2 param-uppsättning(ar) av SPHINCs+ (SLH-DSA/FIPS-205) inställda för mindre signaturer (~3KB, mindre möjligt) antas i Bitcoin som PQC-signaturschema

Jag undersöker också vad konsekvenserna är för sig-typen över hela stacken (ändringar av tapscript, etc.) den största förändringen är att BIP-32 härledning av offentliga nycklar inte längre fungerar (t.ex. vilka hårdvaruplånböcker som endast tittar på), eftersom hashbaserade sig:er inte erbjuder någon typ av algebraisk struktur

Deterministisk nyckelhärledning från ett frö stöds fortfarande, men det skulle inte finnas något sådant som en "xpub"

Så vi kan rikta in oss på en mindre AMT för max AMT av SIG:er för en enda nyckel + ställa in andra parametrar för att byta bort något långsammare SIG-generering (valideringen är fortfarande snabb), för mindre SIG:er Om du bryter mot det maximala AMT-målet försämras säkerheten (128-bitars -> 112-bitars) men inte insta bryts

så möjligt att komma fram till en rad parametrar med SIGS mindre eller med par w / ML-DSA (gitterbaserad sig), med mindre privata + offentliga nycklar: * SLH-DSA: 32-byte pub-nycklar, 64-byte priv-nycklar * ML-DSA: 2KB+ priv nycklar, 1KB + pub nycklar Tradeoff är ingen extra struktur för att göra snygg krypto

mindre flexibel, men mer konservativ Bitcoin använder redan sha2 överallt Alla SIGS har en hash-funktion någonstans Inga nya kryptoantaganden (1:a eller 2:a förbildsmotstånd, etc.) introducerade, att göra massor av hash går snabbt, särskilt med vektoriserad inst + hårdvaruacceleration

kokar 😈 ihop lite kod + specifikationer inte så intresserad av den politiska frågan om mynt ska frysas/beslagtas, etc, etc imo som bryter en grundläggande hyresgäst i Bitcoin, måste vi motstå grupper som försöker samordna sig för att effektivt omfördela rikedom värdeförlust från den > PQ-brytningen