後量子區塊鏈面臨的主要挑戰和研究主題

與日同新 知見量觀

導語

量子密碼學（QuantumCryptography）是一個新興的研究領域，目前已在一定的範圍內進行了試驗，距離應用落地或已不太遙遠。量子密碼體系採用量子態作為信息載體，經由量子通道在合法的用戶之間傳送密鑰。量子密碼的安全性由量子力學原理所保證。

因為具規模的量子計算機在未來可能出現，所以研究可抵抗量子攻擊的密碼架構更顯重要，這類的研究常被歸類為「後量子密碼學」。對後量子密碼學的需求，始於現今許多公鑰加密和籤章（如RSA和楕圓曲線）將會被量子電腦上的秀爾算法所破解。目前為止，McEliece和lattice-based的架構仍被認為可以抵抗此類的量子攻擊。

本文通過介紹5種後量子公鑰密碼系統和5種後量子籤名算法，進而分析後量子區塊鏈面臨的主要挑戰和研究主題，對區塊鏈未來所面臨的量子威脅提供了廣闊的視野和見解。

1 區塊鏈與後量子密碼系統

後量子密碼系統有四種主要類型，第五種實際上混合了前量子密碼系統和後量子密碼系統。下述的幾種方案旨在分析加密/解密機制和其在區塊鏈交易中的潛在應用。圖1描繪了五種不同類型的後量子密碼系統，以及加解密和數字籤名方案實現的示例。

圖1 後量子公鑰密碼系統分類法和主要的實現方式

1.1後量子公鑰密碼系統

1）基於代碼的密碼系統

基於代碼的McEliece密碼系統可追溯到20世紀70年代，提供了快速加解密的功能，這對於區塊鏈交易的快速執行是一個優勢。但是，McEliece的密碼系統需要使用存儲公鑰和私鑰的大型矩陣執行操作。這樣的矩陣通常佔用100KB到幾兆字節，這在涉及資源受限的設備時可能是一個限制。

2）基於多元的密碼系統

基於多變量的方案依賴於多元方程組求解系統的複雜性，儘管它們抵抗量子攻擊，但仍需要進一步研究以提高其解密速度（由於涉及「猜測工作」）並減少其大密鑰大小和密文開銷。目前，一些最有前途的基於多變量方案是基於帶有隨機二次多項式的平方矩陣，基於Matsumoto-Imai算法得出的密碼系統以及依賴於隱藏欄位方程（ HFE，Hidden Field Equation ）的方案。

3）基於晶格的密碼系統

這種加密方案基於晶格，晶格是n維空間中具有周期性結構的點集。基於晶格的安全性方案依賴於諸如最短向量問題（SVP），其目的是在晶格中找到最短的非零向量。還有其他與晶格相關的類似問題，例如向量問題（CVP）或最短獨立向量問題（SIVP），這些問題還無法通過量子計算機有效解決。

基於晶格的方案提供了可加快區塊鏈用戶交易速度的實現，因為通常計算較為簡單。但是，就像在其他後量子區塊鏈方案中一樣，基于格的實現需要存儲和使用大密鑰，並且涉及大量密文開銷。如像基於晶格的NTRU或NewHope方案通常需要管理幾千位的密鑰。

4）超奇異橢圓曲線同構密碼系統

該系統方案是基於普通橢圓曲線的等值協議，但是經過了改進，可以承受量子攻擊。存在這種類型的不同的有希望的後量子密碼系統，其密鑰大小通常約為幾千比特。NIST的第二輪SIKE加密系統是基於超奇異同構圖中的偽隨機遊動。SIKEp434是SIKE密鑰大小的一個很好的參考，使用2640位的公共密鑰和2299位的私有密鑰。

5）混合密碼系統

混合方案似乎是邁向量子後安全性的下一步，因為混合方案合併了量子前和量子後密碼系統，目的是保護交換的數據免受量子攻擊和對使用過的量子後方案的攻擊，工業界和學術界正在評估其安全性。谷歌已對這種密碼系統進行了測試，將與基於ECC的Diffie-Hellman密鑰協商方案X25519合併在一起。目前正在測試混合方案的第二個版本（CECPQ2）。

儘管這些方案看起來很有希望，但必須注意，它們涉及兩個複雜的密碼系統實現，因此需要大量的計算資源和更多的能耗。未來，基於區塊鏈的混合後量子密碼系統的開發人員將不得不在安全性，計算複雜性和資源消耗之間尋求權衡。此外，開發人員在提供傳輸層安全性（TLS）通信時，必須解決這種密碼系統引起的超高負載問題（此類問題是由於所需的公鑰和密文大小引起的）。

1.2後量子籤名算法

1）基於代碼的籤名算法

過去已經提出了不同的基於代碼的籤名算法。這種密碼系統中一些最相關的子類型是基於Niederreiter和CFS（Courtois，Finiasz，Sendrier）的方案，它們確實與McEliece的密碼系統相似。這種方案儘管籤名很短，可以很快得到驗證，由於與傳統的McEliece密碼系統相似，將因大密鑰的存在消耗大量的計算資源，導致籤名生成效率低下。

2）基於多元的籤名方案

在這種籤名方案中，公鑰是通過用作私鑰的陷門函數（trapdoor function）生成的，因而將衍生出小籤名和大公鑰。

目前非常流行的基於多變量的方案依賴於Matsumoto-Imai的算法，多項式同構（IP）或HFE的變體，從而生成大小與基於RSA或ECC籤名相似的籤名方案。多元變量的數字籤名方案包括基於偽隨機多元二次方程或基於Rainbow-like籤名方案的方案，但由於密鑰系統中的每個密鑰需要數萬個字節，因此需要進一步改進密鑰大小。

3）基於晶格的籤名方案

在不同的基於晶格的籤名方案中，基於短整數解決方案（SIS）的方案，由於其減小了密鑰大小，而具有更好的應用前景。通過性能分析，依靠SIS問題的難度的BLISS-B可為基於晶格的籤名密碼系統提供最佳性能之一，與RSA和ECDSA相當。除BLISS之外，還有其他基於SIS問題的基于格的籤名方案，但它們是專門為區塊鏈設計的。研究人員還開發了基于格的盲籤名方案，該機制由David Chaum在80年代初引入，旨在創建不可追溯的支付系統。

4）超奇異橢圓曲線同構密碼系統

使用超奇異橢圓曲線等值線來創建量子後數字籤名方案比較小眾，而且大多表現不佳。有研究這提出基於同構問題和Unruh變換的籤名方案，該方案利用了較小的密鑰大小和相對有效的籤名和驗證算法。在128位量子安全級別的設定下，使用了336位元組的公鑰和48位元組的私鑰時，卻生成了122,880位元組的籤名（即使使用壓縮技術時）。因此，有必要在實現基於同構的密碼系統和超奇異同構Diffie-Hellman（SIDH）時解決密鑰大小問題，尤其是在資源受限的設備的情況下，這些設備需要使用通常涉及計算密集型步驟的密鑰壓縮技術。

5）基於哈希的籤名方案

這些方案的安全性取決於基礎哈希函數的安全性，而不是數學問題的難度。這種方案可以追溯到70年代後期，彼時Lamport提出了一種基於單向函數的籤名方案。當前，擴展的Merkle籤名方案的變體，如XMSS-T和SPHINCS被認為是Merkle樹方案衍生而來的，也是用於後量子時代最有價值的基於哈希的籤名方案。然而，由於其性能，一些研究人員認為XMSS和SPHINCS對於區塊鏈應用而言是不切實際的，而且已經提出了替代方案。

2 主要挑戰與研究主題

後量子區塊鏈的主要挑戰和未來研究主題主要有以下幾個方向：

A.量子計算的快速發展

量子計算是當前的熱門話題，已經引起了學術界和工業界的廣泛關注。對於後量子密碼系統開發可能面臨的新攻擊，研究人員需要密切關注量子計算領域及其發展。

B.從前量子區塊鏈到後量子區塊鏈的過渡

當散列函數或數字籤名的安全性受到損害時，可以實施擴展區塊鏈塊的過渡方案，為避免區塊鏈的硬分叉，可以實施軟分叉機制。

C.大密鑰和籤名大小

後量子密碼系統需要使用其大小遠大於當前公鑰密碼系統（通常在128到4,096位之間）的密鑰。在數字籤名密碼系統的情況下，有一些基於超奇異性異構體的方案密鑰大小合適但籤名很大，與其他密碼系統相比，性能很差，不適合區塊鏈的數據存儲。相反，某些基於多變量的方法可以提供簡短的籤名，但是用於生成和驗證此類籤名的密鑰可能會佔用幾千字節。

關於後量子的公共密鑰加密密碼系統，某些優化版本的方案如Round5似乎很有希望，因為對於當前的大多數區塊鏈節點硬體保持了較小的密鑰大小（公共密鑰為2736位，而只有128位）私鑰的位）。儘管如此，在後量子方案中仍然需要更多的研究，以便在密鑰大小和區塊鏈的安全性之間取得良好的平衡。

D.慢速密鑰生成

為了提高安全性，某些後量子方案限制了使用同一密鑰籤名的消息的數量，因此有必要連續生成新密鑰，這涉及專用計算資源和減慢某些區塊鏈的生成過程。區塊鏈開發人員必須確定如何調整此類密鑰生成機制以優化區塊鏈效率。

E.計算與能源效率

某些後量子方案需要大量的執行時間，存儲和計算資源。此類需求通常會導致能源消耗增加，因此還需研究人員不斷優化密碼系統，最大程度提高計算效率和能源效率，並因此提高整個區塊鏈系統的效率。

F.標準化

目前有多項計劃正在分析後量子密碼系統和推進標準化過程。由於這是一項持續的工作，尋求保證區塊鏈兼容性的研究人員將必須監控後量子密碼系統的適用場景，並避免使用非標準化技術方案的風險。

G.區塊鏈硬體不適合

一些計算量大的後量子密碼系統可能不適用於當前用於實現區塊鏈節點的某些硬體。因此，後量子方案應在安全性和計算複雜性之間進行權衡，以免限制可能與區塊鏈交互的潛在硬體。

H.大密文開銷

某些密碼系統會產生大量開銷，可能會影響區塊鏈的性能。為了解決這個問題，未來的開發人員將必須最小化密文開銷並考慮潛在的壓縮技術。

I.量子區塊鏈

除了使用密碼系統從前量子的區塊鏈過渡到後量子的區塊鏈之外，一些研究者還提出了基於量子計算的區塊鏈。有學者提議將比特幣遷移到量子計算機，而其他人則描述了如何通過修改Grover算法來加速挖掘。而且，一些作者已經建議使用量子密碼術來實現智能合約。此外，有必要對基於密鑰建立的物理方法進行更多研究，這些方法被統稱為量子密鑰分配（QKD）。

如今，沒有後量子區塊鏈算法可同時提供較小的密鑰大小，較短的籤名/哈希大小，快速執行，較低的計算複雜度和較低的能耗。這些因素對於資源受限的嵌入式設備（如物聯網設備）尤其重要。選擇後量子區塊鏈密碼系統並非易事。未來的開發人員將必須根據其區塊鏈節點硬體，可用資源（即內存，速度），所需的區塊鏈節點性能和必要的安全級別做出此類決定。

3 主要發現

本文主要從以下幾個方面進行了分析和比較：

• 量子攻擊對區塊鏈公鑰密碼系統和哈希函數的影響的詳細分析；

• 審查最相關的後量子區塊鏈項目和標準化計劃；

• 詳細分析了可能應用於後量子區塊鏈的加密和數字籤名方案的主要類型的特徵；

• 對最有前途的後量子區塊鏈密碼系統的性能進行了系統比較。

儘管本文中進行的分析集中在區塊鏈上，但是由於其他DLT的工作方式相似，因此，可以基於有向無環圖（DAG）（例如IOTA ，Byteball）或散列圖（例如Swirlds ）將此類建議和結論外推到DLT 。

4 結論

量子計算的最新進展激發了與區塊鏈及DLT技術研究人員開展深入合作的興趣，在區塊鏈系統中，公鑰密碼學和哈希函數是必不可少的。本文分析了量子計算攻擊（基於Grover和Shor的算法）對區塊鏈的影響，並研究了如何應用後量子密碼系統來緩解此類攻擊。為此，對最相關的後量子方案進行了審查，並分析了它們在區塊鏈中的應用以及主要挑戰。此外，還對最有前途的後量子公共密鑰加密和數字籤名方案的特性和性能進行了廣泛的比較。因此，本文對區塊鏈面臨的量子威脅提供了廣闊的視野和見解。

版權聲明

未經「量觀網絡/QVN」授權，不得以任何方式加以使用，違者必究；

如需轉載，需關注本公眾號並留言，請註明公眾號名稱及ID信息。