Aptos 提議 AIP-137 引入後量子簽名以增強安全性

簡要概述

Aptos 提議 AIP-137 在帳戶層面加入可選的後量子 SLH-DSA 簽名，解決長期量子計算風險，同時不影響現有帳戶。

Layer 1 區塊鏈 Aptos 已推出後量子簽名升級方案 AIP-137，旨在選擇性地啟用帳戶層級的後量子數位簽名支援，以應對未來可能出現的量子計算風險。

該提案不影響現有帳戶，並打算實施基於雜湊的簽名方案 SLH-DSA，該方案已在 FIPS 205 中標準化。AIP-137 建議以 SLH-DSA-SHA2-128s2 作為 Aptos 帳戶的初始後量子簽名選項，這是一個最近被 NIST 認可為後量子安全的方案，僅依賴 SHA2-256 雜湊函數，兼具經典與量子安全。

它採取較為保守的策略，以準備可能在未來五到五十年內出現的密碼學相關量子電腦 (CRQCs)。其重點放在安全性高於效率，同時保持整合的複雜度較低。SLH-DSA 被認為是理想選擇，因為它完全依賴已在 Aptos 生態系統中信任的雜湊函數，與需要額外古典保護措施、增加實作複雜度的較複雜後量子方案不同。

若被採用，該升級將要求全節點、驗證者、索引器、錢包，以及 Aptos SDK 和 CLI 工具支援建立、管理與驗證這些新簽名。相反地，若拒絕該提案，可能使生態系統面臨未預料的技術威脅，而批准則允許治理根據需要啟用後量子帳戶，讓用戶自行決定遷移。

Aptos 評估後量子簽名方案，優先考量安全性

雖然其他後量子簽名方案可能提供較小的簽名大小與較快的驗證速度，但在安全性方面，FIPS-205 標準化的 SLH-DSA 家族被視為最保守的方案，因為它僅依賴已建立的 SHA2-256 安全性。這使其成為一個可靠的選擇，用來防範對假設為後量子安全方案的潛在古典攻擊，例如過去 Rainbow（基於多變數密碼學）在標準硬體上被破解，儘管它曾是 NIST 的決賽方案。SLH-DSA 因此對於重視最大謹慎、希望避免依賴未經測試假設或較激進參數設定的用戶來說具有吸引力。

展望未來，Aptos 也可以考慮支援 ML-DSA 家族的方案 (FIPS-2045)，該方案的公鑰與簽名大小約為 SLH-DSA 的一半，驗證速度也較快，優於 Ed25519。然而，其安全性依賴於模學習錯誤問題 (MLWE)，安全性較不保守。另一個選項是 Falcon，其公鑰與簽名大小約為 1.5 KiB，驗證速度與 Ed25519 相當或更快，但其缺點包括依賴浮點運算，增加實作複雜度，以及基於 NTRU 格子上的 SIS 難題的安全假設，較不保守。

概述後量子簽名時間表，預計明年初進行初步開發網路部署

一種情境是未來五年內未出現 CRQC，但大量 Aptos 用戶採用 SLH-DSA 方案，這可能暫時降低網路效率，但影響可控：可以引入更有效率的後量子方案，並調整 gas 費用以鼓勵用戶遷移。或者，如果 CRQC 比預期更早出現，用戶已經在使用後量子方案，或在威脅明顯後能快速轉換。整體而言，該提案有助於保護網路免受技術突發的影響，若能及時引入更快的後量子選項，對性能的負面影響風險較低。

建議的實作包括在 aptos-crypto crate 添加支援，在 Aptos VM 中整合特徵門控的簽名驗證邏輯，更新 TypeScript SDK 以從助記詞派生金鑰，調整 gas 價格，啟用 CLI 金鑰管理，提供索引器支援，以及發布開發者文件。雖然在未來一年內立即在主網部署的緊迫性不高，但預計在明年初進行初步的開發網路部署，以便測試與逐步採用。