資訊簡報：以太坊的晶格後量子簽章 (Lattice-Based Post-Quantum Signatures)
為以太坊基金會 (Ethereum Foundation) 準備
2026 年 2 月 (v1.1)

執行摘要

許多討論仍將 ML-KEM (FIPS 203，金鑰封裝) 與交易簽章混為一談。這是一個類別錯誤。

ML-KEM 用於建立共享密鑰（密文 + 共享金鑰）。它無法簽署交易，也無法提供不可否認性。

用於後量子交易簽章的正確原語是基於晶格的簽章方案：主要是 ML-DSA (FIPS 204, Dilithium)，以及較小程度的 FN-DSA (FIPS 206, Falcon)。

在所檢查的每個層級（密碼學、執行層、共識層、L2、P2P、MEV、輕客戶端、行動端、FOCIL 等）中，有一項發現是完全一致的：

ML-DSA-65 簽章的大小約為 ECDSA 的 50 倍（3,309 位元組對比 64 位元組）。

這種尺寸的激增為以下方面帶來了連鎖問題：

• 區塊傳播與叔塊率 (Uncle rates)
• 記憶體池 (Mempool) 壓力與 DoS 攻擊面
• 狀態/存檔增長
• L2 Blob 吞吐量（Optimistic Rollups 每個 Blob 的交易量損失約 51 倍）
• ZK 證明時間（電路成本爆炸 100–500 倍）
• 輕客戶端頻寬與行動裝置電池/散熱負荷
• MEV 建構者 (Builder) 經濟學
• FOCIL 包含列表 (Inclusion-list) 容量（若不修正將下降約 98%）

若無強力的緩解措施，在以太坊規模下實現完整的後量子交易簽章，在經濟和技術上都將變得不可行。

三項關鍵干預措施至關重要：

1. EVM 預編譯 (Precompiles) 用於 ML-DSA 驗證（約 200 萬 gas → 約 5 萬 gas）——若能儘早確定優先級，有望在 Hegota 升級（2026 下半年）中實現。
2. 基於 STARK 的簽章聚合，將數百個簽章壓縮成約 100–200 KB 的可驗證證明（目前領先的候選方案：Plonky3, RISC Zero, SP1）。
3. 協議層修正 —— FOCIL IL 大小增加（8 KB → 約 400 KB）、簽章權重單位、P2P 壓縮（每筆交易使用索引而非完整簽章）、檢查點同步 (Checkpoint sync)、ERC-4337 Paymaster gas 抽象等。

以太坊基金會 (EF) 的「加固 L1 (Harden the L1)」路徑正確地標註了後量子安全性，但共識層路線圖在具體的 PQC 里程碑上仍保持沉默。原因很簡單：高效的後量子簽章聚合仍未解決 —— 而這正是目前的束縛約束。

本簡報綜合了跨層級的現實情況，並提供了可立即執行的後續步驟。

快速技術框架（已修正）

• ML-KEM → 節點間加密、加密記憶體池、混合 TLS
• ML-DSA / FN-DSA → 交易與見證簽章中 ECDSA/EdDSA 的直接替代品
• SLH-DSA → 保守的基於雜湊的備援方案（尺寸大得多）

建議起點：ML-DSA-65（NIST 第 III 級，約 96 位元量子安全性）
高價值 / 治理金鑰：ML-DSA-87（第 V 級）
FN-DSA-512（約 666 位元組簽章）雖然尺寸誘人，但其第 I 級量子安全性（透過 Grover 演算法約 64 位元）使其不適合長期使用的帳戶金鑰。

關鍵影響與緩解措施（逐層分析）

簽章大小 (50倍)
→ 傳播延遲、記憶體池膨脹、狀態增長、L2 Blob 成本皆呈線性擴張
緩解措施：預編譯、P2P 簽章壓縮（每個區塊發送一次 + 索引）、Calldata 重新定價（簽章欄位 1 gas/byte）、最終確認後簽章剪裁 (Post-finality sig pruning)

共識層
BLS：512 個見證 → 48 位元組
原生 ML-DSA：每個時隙 (Slot) 約 1.7 MB
目前唯一現實的路徑：ML-DSA 批次驗證的遞迴 STARK 證明（約 100–200 KB 證明，毫秒級驗證）
過渡方案：隨機委員會（128–256 個驗證者）+ STARK，或輪換的指定聚合者

用戶交易 / 帳戶抽象 (Account Abstraction)
EIP-4337 與 EIP-7702 已允許每個帳戶使用獨立的簽章方案
配合預編譯：透過 4337 總計約 9.2 萬 gas（目前約 2.1 萬）
Paymasters 可資助差額 → 過渡期間實現成本中性的用戶體驗 (UX)

L2 Rollups
Optimistic → 排序器聚合 → L1 上的 Merkle 根（約 100 倍壓縮）
ZK → SNARKs 中的晶格運算導致證明時間/成本爆炸 (100–500倍)
路徑：轉向 STARK 證明（設計上即具備量子安全性）或將簽章驗證保持在電路之外

行動端與輕客戶端
目前的 Secure Enclave / StrongBox 尚無硬體 PQC 支援（預計有 3–5 年差距）
較大的簽章會破壞 QR Code 掃描、消耗行動數據、增加電池/散熱負荷
STARK 聚合是行動端/輕客戶端最重要的賦能技術

抗審查性 (FOCIL / EIP-7805)
目前 8 KB 的 IL 限制 → 約 2 個 ML-DSA 交易（對比約 100 個 ECDSA）
若無 SIMD/預編譯，將超過見證者預算 (4 秒)
Hegota 前建議：約 400 KB IL、簽章權重單位、隨機抽樣驗證、鏈上審查遙測

安全性加固
必須使用常數時間 NTT + 掩碼 (Masking)（針對 >$100k 質押金鑰）+ TVLA 驗證
雲端質押 → 高價值金鑰優先選擇 Nitro Enclaves / SEV-SNP + 裸機伺服器

遷移用戶體驗 (UX)
分級緊急程度（綠/黃/橘/紅）、一鍵式 AA 遷移、優先進行雲端/社交恢復備份、過渡期間高價值帳戶採用傳統+PQ 混合模式

與以太坊基金會 (EF) 路線圖的一致性

「加固 L1」已列出 PQC。本簡報補充了：

• 明確的 ML-KEM 與 ML-DSA 修正
• 量化的跨層級影響
• 具體的 Hegota 時代建議
• 診斷為何共識層 PQC 尚未有時間表（聚合問題未解決）

建議的後續步驟（無須資金申請）

1. 發布一份簡短的 EF 說明，為所有工作小組澄清 PQC 分類（ML-KEM ≠ 簽章）。
2. 起草並推廣 ML-DSA-65/87 預編譯的 EIP（目標為 Hegota 或 2027 年）。
3. 組建小型 FOCIL + PQC + 客戶端工作小組，在凍結前修訂 EIP-7805。
4. 持續推動 ML-DSA 電路的 STARK 證明器研發；發布最新基準測試。
5. 定義公開的 PQC 威脅時間表 + 緊急分叉的觸發條件。
6. 運行 ML-DSA 測試網實驗（包含與不包含預編譯），以測量實際傳播、gas 消耗和建構者行為。

本簡報基於誠信提供，旨在協助加固 L1 並確保以太坊的長期安全。
歡迎隨時使用、分叉、批評或忽略任何部分 —— 目標僅是推動對話向前發展。

大家怎麼看 —— 聚合真的是阻礙嗎？還是有我遺漏的更好路徑？
我們應該在 Hegota 中更強力地推動預編譯，還是接受透過 AA 進行用戶層遷移是 2026–27 年較現實的路徑？

期待討論。

        1 貼文 - 1 位參與者        [閱讀完整主題](https://ethereum-magicians.org/t/the-real-blocker-for-post-quantum-ethereum-isn-t-the-math-it-s-aggregation-and-we-don-t-have-it-yet/27839)