量子FUD。 由Luke Gorman和Ray Dalio呈现。 “我不理解它，但价格看起来很弱，所以我在卖出。” 圣诞节前在影院上映

你每天的Wynn FUD

BIP-QSE 标题：基于哈希的量子紧急支出恢复签名 摘要 本提案引入了一种可选的基于哈希的签名验证机制，旨在作为一种恢复路径，以防 Bitcoin 现有的椭圆曲线签名方案变得不安全。该机制使用户能够使用基于哈希的签名预先承诺一个抗量子攻击的支出路径，而无需修改现有的签名方案、地址格式或交易结构。该变更可以作为软分叉部署，并保持完全的向后兼容性。 动机 Bitcoin 当前的签名方案依赖于椭圆曲线密码学，一旦公开密钥被揭示，就容易受到量子攻击。虽然此类攻击目前不可行，但其最终可能性促使提供一种最小的、保守的恢复机制，可以在不进行紧急协议更改的情况下使用。 设计目标： 最小的共识和代码更改 仅依赖于已建立的哈希函数 自愿使用，无需强制迁移 仅用于紧急或低频恢复 避免新的密码学假设 本提案并不试图替代现有的签名方案，而是提供一种最后的支出路径。 设计概述 该提案引入对基于哈希的一次性签名（具体来说，是 Winternitz 风格的构造）的支持，作为脚本路径支出条件。 关键特征： 仅基于哈希的安全假设（SHA256） 每个承诺密钥仅使用一次 设计上接受大签名 不适用于频繁或自动化使用 该机制适用于恢复、保险库、继承或紧急迁移。 规范 新的脚本验证规则 引入了一种新的脚本验证规则，该规则验证基于哈希的签名与承诺的哈希根的有效性。 该构造等同于使用 SHA256 的 Winternitz 一次性签名方案。 脚本语义 使用此机制的脚本必须： 承诺一个表示 Winternitz 公钥的哈希根 提供一个见证，包含： Winternitz 签名元素 任何所需的校验和或消息编码 验证： 每个揭示的哈希链元素必须正确哈希到承诺的根 派生的消息摘要必须与交易签名哈希匹配 任何验证步骤的失败都会导致脚本失败。 一次性使用要求 每个承诺的 Winternitz 密钥必须最多使用一次。 重复使用 Winternitz 密钥签署多个消息是不安全的，可能导致私钥泄露。单次使用语义的强制执行由钱包和用户负责。 共识规则 通过基于哈希的恢复路径支出的交易仅在所有基于哈希的验证规则成功时有效 不执行此 BIP 的节点将拒绝此类支出，直到升级 由于该变更仅添加新的验证约束，因此部署为软分叉 钱包行为（非规范） 钱包可以： 生成用于恢复目的的 Winternitz 密钥材料 构建同时具有： 标准 Schnorr 或 ECDSA 支出路径 基于哈希的恢复路径 限制 Winternitz 的使用仅限于用户的明确操作 钱包应警告用户 Winternitz 密钥为一次性使用，不适合频繁支出。 安全考虑 量子抗性 基于哈希的签名依赖于密码哈希函数的前像抗性。虽然 Grover 算法提供了二次加速，但有效的安全级别仍然足够用于恢复使用。 签名大小 Winternitz 签名显著大于现有签名。这是一个有意的权衡，限制了该机制的适用性，仅限于低频使用。 误用风险 重复使用 Winternitz 密钥会危害安全性。本提案故意将正确使用的责任放在钱包软件和知情用户身上。 理由 为什么选择基于哈希的签名 基于哈希的签名： 避免新的数学假设 仅依赖于 SHA256，已经是 Bitcoin 的基础 易于实现和审计 为什么不选择通用的 PQ 签名 基于格的方案引入了更大的实现复杂性和审查负担。本提案专注于提供一种保守的、最小的逃生机制，而不是全面的后量子过渡。 部署 本提案可以通过版本位信号（BIP-9）或 Taproot 风格的快速试验进行部署。激活参数故意未指定。 向后兼容性 完全向后兼容。现有的输出和交易不受影响。不升级的节点仍与网络兼容，但不会中继或挖掘基于哈希的恢复支出。 参考实现 待提供。 致谢 本工作是在 QSF 研究计划下进行的。作者感谢 Bitcoin Core 开发者和密码学研究社区在脚本验证、Taproot 和基于哈希的密码学方面的先前工作。