NTT-EIP作为FALCON、DILITHIUM和Stark验证器的构建块
随着Willow cheap的发布,对以太坊面临量子威胁的担忧似乎加速了。Asanso和PMiller的帖子总结了这些风险和可能的解决方案。这些解决方案包括使用基于格子的签名,如Dillithium或FALCON(后者更适合链上约束),STARKs和FHE。密码学研究界达成了共识,认为格子是未来非对称协议的基础,而STARKs赢得了ZKEVMS实现的竞争(如Scroll、Starknet和ZKsync所使用)。
这些协议都需要在素数域上快速进行多项式乘法,并使用NTT(一种针对素数域的特殊FFT)。过去,椭圆曲线域上的Montgomery乘法器是优化的关键目标(硬件和软件),而NTT优化是高性能PQ实现的关键。
讨论
过去,以太坊选择了特殊性,选择了secp256k1作为其唯一的签名候选。后来,在专用硬件和其他硬件上的证明系统发布后,出现了一系列EIP来提出替代曲线。曾经有尝试提出更高级别的EIP来一次性支持所有这些,如EWASM、SIMD、EVMMAX或RIP7696(按通用性和复杂性递减的顺序)。
选择NTT作为EIP而不是特定方案,将为所有依赖它的方案带来大幅的gas成本降低。
- 优点:对所有提到的协议都有大幅降低,对未来演化更加灵活。
- 缺点:需要包装到实现中,与专用EIP相比不是最优的,不是无状态的。
