在 Starkware 中首次完成 Falcon 签名验证 - 开启向量子安全以太坊的过渡

原文： https://www.btq.com/research-insights/first-falcon-signature-verification-in-starkware-initiating-transition-to-quantum-safe-ethereum↳

译者： Kurt Pan

随着我们在 Starknet（以太坊上的一个零知识二层扩展解决方案）上成功集成第一个后量子数字签名基于 STARK 的验证，以太坊在达到量子安全方面取得了重大进展。 这一成就标志着在以太坊上支持NIST标准后量子数字签名算法，用量子安全算法替换易受攻击的密码原语的第一步。

这一成就是在美国主要政府组织释放资源用于向后量子密码学迁移的同时实现的。 上周，网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和国家标准与技术研究所 (NIST) 联合制定了一份关于量子能力影响的情况说明书。 ISA、NSA 和 NIST 正在建议各组织去开始制定做好量子准备的路线图，紧迫性来自于针对可能需要长期保护的当前数据的潜在网络威胁，例如“现在收集，稍后破解”策略的攻击者。 目前以太坊中使用的密码算法（例如 ECDSA）必须更新或替换为抗量子算法，以应对这种预期的威胁。

以太坊中 ECDSA 的一种替代就是 Falcon，即 NTRU 上基于快速傅里叶的紧凑格签名。 Falcon 是一种基于 NTRU 假设的数字签名算法，该假设依赖于带错误学习 (LWE) 问题的难度，被认为可以提供针对量子攻击的防护。Falcon也是 NIST 宣布将于 2024 年进行标准化的算法之一。除了安全优势之外，Falcon 签名还因其效率而脱颖而出，其签名大小可与其他标准化后量子签名方案相媲美。 此外，Falcon 强调紧凑性，提供了非常简洁的公钥，有助于更容易地传输和验证。

在以太坊的世界中显然区块空间是珍贵的。 即使是更紧凑的 ECDSA 签名（其占用空间比 Falcon 签名小近十倍），也正在通过二层解决方案进行进一步优化，以提高交易速度并减少相关的 Gas 费。 这促使我们去开发一个用于 Falcon 签名验证的 STARK，使我们能够从 Falcon 的安全性质中受益，同时保持以太坊所需的效率。 通过使用 STARK，我们可以将数千个 Falcon 签名的验证汇总到一个证明中，并将结果发布到链上。 该 STARK 实现基于我们之前使用 PQScale（我们 BTQ 的核心技术之一）进行的量子安全签名聚合的工作。 PQScale 使用抗量子的 AURORA 证明系统聚合 Falcon 签名，实现了 12.5 倍的空间节省。 这使得 Falcon 的每个签名的成本要低于 ECDSA。

• PQScale : https://btq.gitbook.io/pqscale/

展望未来，有几个关键领域引起了我们的兴趣。 首先，我们希望使用递归证明方案，将证明大小保持在与单个签名验证相当的范围内。 这将确保聚合大量签名不会导致证明大小大幅增加。 此外，我们希望通过 EIP-4337 中提出的帐户抽象模型来利用签名抽象。 通过账户抽象，可以指定智能合约账户来签署和验证 Falcon 签名，以代替账户合约代码中的 ECDSA。 这使得应用和用户可以更轻松地开始使用 Falcon 或其他后量子签名方案，而无需等待整个以太坊网络去采用新签名。 Starkware 原生支持账户抽象，其中所有账户都以智能合约的形式实现。

我们要感谢Eli和Starkware团队帮助我们实现了这一里程碑。非常期待在我们的路线图上进一步发展，特别是当深入研究递归证明方案和帐户抽象的细节时。我们可以一起继续突破界限，塑造以太坊的未来。我们还要感谢feltroid prime在整个项目中对Cairo发展和咨询的贡献。