文章提出了一种名为 ZK-ACE 的后量子授权方案,核心思想是跳过昂贵的后量子签名验证,直接在零知识证明中验证身份授权语义。该方案将电路约束从数百万个减少至约 4000 个,显著降低了证明生成时间和交易数据体积,且兼容 ERC-4337 账户抽象标准,无需以太坊协议层更改即可部署。
迈向后量子时代的以太坊
目前的以太坊主要依赖椭圆曲线数字签名算法(ECDSA)来验证交易。然而,随着量子计算的发展,ECDSA 将面临被破解的风险。为了应对这一威胁,以太坊需要转向后量子(PQ)安全机制。
通常的思路是替换现有的签名方案,例如采用基于格的签名(如 Dilithium 或 Falcon)或基于哈希的签名(如 SPHINCS+)。但在这些传统的签名方案之外,我们是否可以完全不需要签名?
什么是“无签名”方案?
在传统的账户模型中,用户通过私钥对交易哈希进行签名,验证者使用公钥验证该签名。
在“无签名”的设想中,我们不再使用传统的数字签名算法,而是利用 ZK-STARKs。用户不再提交签名,而是提交一个 STARK 证明,证明其拥有某个秘密(即私钥),且该秘密对应于账户的公开承诺(即公钥哈希)。
为什么选择 STARKs 而非传统 PQ 签名?
1. 更好的抗量子特性
STARKs 仅依赖于哈希函数(如 Keccak 或 Poseidon),而哈希函数被认为是具有天然抗量子特性的。相比之下,许多基于格的签名方案虽然也是后量子的,但其数学假设相对较新,安全性仍在不断评估中。
2. 签名大小与聚合
后量子签名通常非常庞大。例如,Dilithium 的签名大小约为几 KB,这会显著增加以太坊的 L1 数据负担。虽然 STARK 证明本身也不小,但 STARKs 具有可聚合性。
通过递归证明(Recursive Proofs),我们可以将数千个交易的证明聚合为一个极小的证明。这意味着在后量子时代,以太坊的扩展性不仅不会下降,反而可能因为强制使用 STARKs 而得到提升。
实现机制:从 ECDSA 到哈希承诺
在现有的以太坊中,地址是公钥的哈希。在无签名方案中:
- 账户状态:账户不再关联一个 ECDSA 公钥,而是关联一个哈希值 $H$。
- 交易发起:用户生成一个证明 $\pi$,证明“我知道一个秘密 $s$,使得 $Hash(s) = H$”。
- 验证:以太坊虚拟机(EVM)或共识层只需验证这个 STARK 证明 $\pi$。
这种模式实际上将“身份验证”转化为了一种“计算完整性”问题。
账户抽象的终极形态
这种“无签名”方案与账户抽象(Account Abstraction)完美契合。如果以太坊原生支持 STARK 验证,那么:
- 任何逻辑都可以作为验证条件。
- 我们可以轻松实现多签、社交恢复等功能,而无需担心底层签名算法的兼容性。
- 所有的验证逻辑都包裹在同一个 STARK 证明中。
面临的挑战
尽管“无签名”方案在理论上非常优雅,但仍面临一些实际障碍:
- 证明生成时间:在移动设备上生成 STARK 证明目前仍然较慢,可能会影响用户体验。
- Gas 成本:在链上验证单个 STARK 证明的 Gas 消耗目前远高于验证 ECDSA 签名。这需要通过 EIP-4844 或专用的 STARK 预编译合约来优化。
- 基础设施升级:这需要对以太坊的执行层和共识层进行深层次的修改。
总结
后量子以太坊不一定非要寻找 ECDSA 的直接替代品。通过利用 ZK-STARKs 的强大功能,我们可以跳过传统的签名范式,直接进入一个更安全、更具扩展性且高度抽象的“无签名”时代。这不仅解决了量子威胁,还为以太坊的长期演进奠定了基础。
