以太坊研究人员提出 SPHINCS- 后量子签名方案

以太坊研究人员在 6 月 12 日发布于 Ethereum Research 的一篇文章中提出了 SPHINCS-，这是一种为以太坊虚拟机优化的无状态后量子签名验证方案。该提案由 nicocsgy 撰写，并向 Vitalik Buterin 及其他贡献者表示致谢，引入了一种设计：用 EVM 原生的 KECCAK256 替代标准 SHAKE256 哈希函数，从而无需协议变更或新的预编译即可实现 Solidity 版本的落地。该方案旨在应对未来可能出现的威胁：足够强大的量子计算机可能对当前区块链钱包的加密假设构成挑战，并提供一种研究阶段的思路，使用现有 EVM 基础设施实现对抗量子的“钱包验证”。

SPHINCS- 为 EVM 兼容性用 KECCAK256 替代 SHAKE256

该提案用 KECCAK256（以太坊原生）替换了标准 SLH-DSA 哈希函数，例如 SHAKE256。这样的设计选择使得无需新的预编译或对以太坊基础层进行协议级别的改动，就能在 Solidity 中实现验证逻辑。文章称，SPHINCS-（读作“SPHINCS minus”）的设计围绕着在今天的 EVM 环境中工作的实际约束展开。

C13 变体：用 3,704 字节签名在 127,000 Gas 左右完成验证

SPHINCS- 的 C13 变体被描述为：使用 3,704 字节的签名进行验证，所需 gas 约为 127,000。文章将其与标准 SLH-DSA-SHA2-128-24 进行对比：后者的成本为 142,000 gas，签名为 3,856 字节，并且在签名时需要大约 1.07 billion 次哈希调用。该提案将这些指标作为其技术性能分析的一部分进行了报告。

提案为钱包用例缩减签名预算

SPHINCS- 将签名预算缩减到每个密钥 2^14 到 2^20 个签名的范围，而不是以每个密钥 2^64 个签名为目标。文章称，自合并以来，以太坊交易的平均年度 99.9th percentile（99.9 百分位）约为每个地址 431 笔，这表明针对钱包场景调整的参数可能比面向通用的宽泛标准更高效。该提案认为，普通的以太坊地址不需要天文数量的签名。

列出 C11 与 C12 变体的硬件钱包签名耗时

文章称，C11 与 C12 变体与硬件钱包兼容，并给出了在 ST33K1M5 安全元件上的签名时间：分别为 390 秒与 47.5 秒。上述数据作为提案中关于实际钱包约束的讨论内容的一部分被列出。

非标准设计被指出为研究阶段工作

该提案指出，SPHINCS- 属于非标准方案，并且并不严格符合 FIPS 205 参数，因为它使用 Keccak 且签名预算有限。文章称应将其视为研究而非已完成的以太坊账户标准。该提案被描述为为以太坊不断增长的后量子安全讨论增添了内容。

常见问题（FAQ）

以太坊研究人员在 6 月 12 日提出了什么？

以太坊研究人员在 6 月 12 日发布于 Ethereum Research 的一篇文章中提出了 SPHINCS-，这是一种为以太坊虚拟机优化的无状态后量子签名验证方案。该提案由 nicocsgy 撰写，并向 Vitalik Buterin 及其他贡献者表示致谢。

SPHINCS- 如何实现与 EVM 的兼容？

SPHINCS- 用以太坊原生的 KECCAK256 替换了诸如 SHAKE256 之类的标准 SLH-DSA 哈希函数。这样的设计使得验证逻辑能够在 Solidity 中实现，而无需新的预编译或对以太坊基础层进行协议级别的改动。

C13 变体的报告性能指标是什么？

SPHINCS- 的 C13 变体被描述为：使用 3,704 字节的签名进行验证，所需 gas 约为 127,000。文章将其与标准 SLH-DSA-SHA2-128-24 进行对比：后者的成本为 142,000 gas，签名为 3,856 字节。