Aptos 提议 AIP-137 引入后量子签名以增强安全性

简要概述

Aptos 提议 AIP-137 在账户层面添加可选的后量子 SLH-DSA 签名，以应对长期的量子计算风险，同时不影响现有账户。

Layer 1 区块链 Aptos 引入了后量子签名升级方案 AIP-137，旨在可选地支持账户级别的后量子数字签名，解决未来可能出现的量子计算带来的潜在风险。

该提案不影响现有账户，计划实现基于哈希的签名方案 SLH-DSA，该方案已被 FIPS 205 标准化。AIP-137 建议将 SLH-DSA-SHA2-128s2 作为 Aptos 账户的初始后量子签名选项，这一方案最近被 NIST 认可为后量子安全，完全依赖 SHA2-256 哈希函数，确保经典和量子安全。

该方案采取保守策略，为未来可能在未来五到五十年内出现的具有密码学相关性的量子计算机（CRQCs）做准备。其重点优先考虑安全性而非效率，同时保持较低的集成复杂度。SLH-DSA 被认为是理想选择，因为它仅依赖哈希函数，已在 Aptos 生态系统中得到信任，而相比之下，更复杂的后量子方案需要额外的经典安全措施，增加实现难度。

如果被采纳，此升级将要求全节点、验证者、索引器、钱包以及 Aptos SDK 和 CLI 工具支持创建、管理和验证这些新签名。相反，拒绝该提案可能使生态系统面临未预料到的技术威胁，而批准则允许治理根据需要激活后量子账户，使用户可以自主迁移。

Aptos 评估后量子签名方案，优先考虑安全性

虽然其他后量子签名方案可能提供更小的签名尺寸和更快的验证速度，但在安全性方面，FIPS-205 标准化的 SLH-DSA 家族被认为是最为保守的，因为它仅依赖于已被验证的 SHA2-256 的安全性。这使其成为防范潜在经典攻击的可靠选择，尤其是在过去一些基于多变量密码学的候选方案（如 Rainbow）在标准硬件上被破解，尽管它们曾是 NIST 的决赛方案。SLH-DSA 因此对那些优先考虑最大安全性、希望避免依赖未经验证假设或采用更激进参数设置的用户具有吸引力。

展望未来，Aptos 还可以考虑支持 ML-DSA 家族中的方案 (FIPS-2045)，该方案的公钥和签名大小大约只有 SLH-DSA 的一半，验证速度也更快，优于 Ed25519。然而，其安全性依赖于模块学习带误差（MLWE）问题，安全性较为激进。另一种选择是 Falcon，其公钥和签名总大小约为 1.5 KiB，验证速度与或优于 Ed25519，但其缺点包括依赖浮点运算，增加实现复杂度，以及基于 NTRU 格式的 SIS 问题的安全假设，安全性较为保守。

后量子签名时间表概述，计划于明年初部署初步开发网

一种可能的情景是，在未来五年内未出现 CRQC，但大量 Aptos 用户采用 SLH-DSA 方案。这可能会暂时降低网络效率，但影响可控：可以引入更高效的后量子方案，并调整 SLH-DSA 的 gas 费用以鼓励用户迁移。另一种情况是，CRQC 比预期更早出现，用户要么已在使用后量子方案，要么在威胁显现后能迅速切换。总体而言，该提案有助于保护网络免受技术突发的影响，如果能及时引入更快的后量子方案，性能影响风险较低。

建议的实现包括：在 aptos-crypto crate 中添加支持，在 Aptos VM 中集成特征门控的签名验证逻辑，更新 TypeScript SDK 以支持从助记词派生密钥，调整 gas 价格，启用 CLI 密钥管理，提供索引器支持，以及发布开发者文档。虽然未来一年内无需立即在主网部署，但计划在明年初进行初步的开发网部署，以便测试和逐步推广。