aqui estão os slides da minha palestra no @PresidioBitcoin Quantum Bitcoin Summit: Resumo: Proponho que o(s) conjunto(s) de parâmetros sha2 do SPHINCs+ (SLH-DSA/FIPS-205) ajustados para assinaturas menores (~3KB, o menor possível) sejam adotados no Bitcoin como esquema de assinatura PQC.
Eu também exploro quais são as implicações para o tipo de sig ao longo da pilha (mudanças no tapscript, etc) a maior mudança é que a derivação de chave pública BIP-32 já não funciona (por exemplo: em que as carteiras de hardware apenas para visualização dependem), uma vez que as sigs baseadas em hash não oferecem esse tipo de estrutura algébrica.
a derivação de chave determinística a partir de uma semente ainda é suportada, mas não haveria tal coisa como um "xpub"
portanto, podemos direcionar um valor menor para a quantidade máxima de assinaturas para uma única chave + ajustar outros parâmetros para trocar uma geração de assinatura ligeiramente mais lenta (a validação ainda é rápida), por assinaturas menores se você ultrapassar esse valor máximo alvo, a segurança degrada (128-bit -> 112-bit), mas não quebra instantaneamente.
é possível chegar a uma gama de parâmetros com assinaturas menores ou iguais às do ML-DSA (assinatura baseada em rede), com chaves privadas e públicas menores: * SLH-DSA: chaves públicas de 32 bytes, chaves privadas de 64 bytes * ML-DSA: chaves privadas de mais de 2KB, chaves públicas de mais de 1KB o tradeoff é que não há estrutura extra para fazer criptografia sofisticada.
menos flexível, mas mais conservador O Bitcoin já utiliza sha2 em todo o lado todas as assinaturas têm uma função de hash em algum lugar nenhuma nova suposição criptográfica (resistência à 1ª ou 2ª pré-imagem, etc.) introduzida, fazer um monte de hashes é rápido, especialmente com instruções vetorizadas + aceleração de hardware
a cozinhar algum código+especificações 😈 não estou muito interessado na questão política de se as moedas devem ser congeladas/apreendidas, etc, etc na minha opinião, isso quebra um princípio fundamental do Bitcoin, DEVEMOS resistir a grupos que tentam coordenar para redistribuir efetivamente a riqueza perda de valor a partir disso > quebra de PQ
19,77K