這是我在 @PresidioBitcoin 量子比特幣峰會上演講的幻燈片： 簡而言之：我提議在比特幣中採用針對較小簽名（約 3KB，盡可能小）調整的 SPHINCs+ 的 sha2 參數集（SLH-DSA/FIPS-205）作為 PQC 簽名方案。

我也探討了 sig 類型在整個堆疊中的影響（例如 tapscript 的變更等） 最大的變化是 BIP-32 公鑰衍生不再有效（例如：依賴於此的只看硬體錢包），因為基於哈希的簽名不提供代數結構的類型。

從種子進行確定性密鑰衍生仍然受到支持，但不會有所謂的 "xpub"。

因此，我們可以針對單個密鑰的最大簽名數量設定較小的目標，並調整其他參數，以換取稍微較慢的簽名生成速度（驗證仍然很快），以獲得較小的簽名。 如果超過該最大目標，安全性會下降（128位 -> 112位），但不會立即崩潰。

因此，有可能達到一系列參數，使用的簽名比 ML-DSA（基於格的簽名）小或相當，並且私鑰和公鑰都更小： * SLH-DSA：32 字節公鑰，64 字節私鑰 * ML-DSA：2KB+ 私鑰，1KB+ 公鑰 權衡是沒有額外的結構來進行花哨的加密

不太靈活，但更保守 比特幣已經在各處使用 sha2 所有簽名都有某處的哈希函數 沒有引入新的加密假設（第一或第二前像抗性等），進行大量哈希運算是快速的，特別是使用向量化指令 + 硬體加速

編寫一些代碼和規格 😈 對於是否應該凍結/沒收硬幣的政治問題不太感興趣，等等等等 我認為這違反了比特幣的一個基本原則，我們必須抵制那些試圖協調有效重新分配財富的團體 這樣的價值損失大於 PQ 破壞