Aptos 提議 AIP-137 引入後量子簽名以增強安全性

第 1 層區塊鏈 阿普托斯 推出了後量子簽章升級 AIP-137，旨在選擇性地啟用對後量子數位簽章的帳戶級支持，以應對量子運算可能帶來的未來風險。 

該提案不會影響現有帳戶，並計劃實施基於哈希的簽章方案 SLH-DSA，該方案已根據 FIPS 205 標準化。 AIP-137 建議將 SLH-DSA-SHA2-128s2 作為 Aptos 帳戶的初始後量子簽章選項，該方案最近被 NIST 認定為後量子安全方案，僅依賴 SHA2-256 雜湊函數來實現經典安全和量子安全。

為了因應未來五到五十年內可能出現的與密碼學相關的量子電腦（CRQC），我們採取了保守的策略。此策略優先考慮安全性而非效率，同時保持較低的整合複雜度。 SLH-DSA 被認為是理想的解決方案，因為它完全依賴 Aptos 生態系統中已廣泛應用的雜湊函數，而其他更複雜的後量子方案則需要額外的經典安全措施，並會增加實現複雜度。

如果此次升級獲得通過，則需要完整的節點、驗證器、索引器、錢包以及 Aptos SDK 和 CLI 工具來支援建立、管理和驗證這些新簽章。相反，拒絕該提案可能會使生態系統容易受到不可預見的技術威脅，而批准該提案則允許治理機構根據需要激活後量子帳戶，使用戶能夠自行選擇遷移方式。

Aptos評估後量子簽名方案，優先考慮安全性

儘管其他後量子簽章方案可能提供更小的簽章長度和更快的驗證速度，但從安全角度來看，FIPS-2052 標準化的 SLH-DSA 系列被認為是最保守的，因為它完全依賴 SHA2-256 已有的安全性。這使得它成為抵禦針對假定為後量子安全的方案的潛在經典攻擊的可靠選擇，正如過去的例子所示，基於多元密碼學的 Rainbow 等候選方案，儘管入圍了 NIST 最終認證，卻在標準硬體上被破解。因此，SLH-DSA 對那些將安全放在首位，並希望避免依賴未經測試的假設或更高效但不太成熟的後量子方案的激進參數設定的區塊鏈用戶來說極具吸引力。

展望未來，Aptos 也可以考慮支援 ML-DSA 系列（FIPS-2045）中的一種方案。此方案的公鑰和簽章總大小約為 SLH-DSA 的一半，驗證速度更快，效能優於 Ed25519。然而，其安全性依賴於帶有誤差的模組學習 (MLWE) 問題，這使其安全性略顯不足。另一種選擇是 Falcon，其公鑰和簽名總大小約為 1.5 KiB，驗證速度與 Ed25519 相當或更快。其缺點包括依賴浮點運算，這增加了實現的複雜性；以及其安全性假設基於 SIS 在 NTRU 格上的難度，使其成為安全性略顯不足的替代方案。

概述後量子簽名時間表，初步開發網路部署計劃於明年初進行

一種設想是，CRQC 在未來五年內不會出現，但大量 Aptos 用戶仍採用 SLH-DSA 方案。這可能會暫時降低網路效率，但影響可控：可以引入更有效率的後量子方案，並調整 SLH-DSA 的 gas 費用以鼓勵用戶遷移。另一種設想是，如果 CRQC 比預期更早出現，用戶要么已經在使用後量子方案，要么可以在威脅顯現後迅速過渡。總而言之，該方案的潛在優勢在於，如果能及時引入速度更快的後量子方案，則能夠有效保護網路免受技術意外的影響，且對效能產生負面影響的風險相對較低。

建議的實施方案包括在 aptos-crypto crate 中新增支援、在 Aptos VM 中整合基於特性門控的簽章驗證邏輯、更新 TypeScript SDK 以從助記詞派生金鑰、調整 gas 定價、啟用 CLI 金鑰管理、提供索引器支援以及發佈開發者文件。雖然明年內無需立即部署到主網，但計劃在明年初進行初步的開發網路部署，以便進行測試並逐步推廣。