Ось слайди для моєї доповіді на @PresidioBitcoin Quantum Bitcoin Summit: ТЛ; Д.Р.: Я пропоную, щоб набір параметрів sha2 SPHINC+ (SLH-DSA/FIPS-205), налаштований на менші підписи (~3 КБ, можливо менше), був прийнятий у Bitcoin як схема підпису PQC

Я також досліджую, які наслідки це матиме для типу sig у стеку (зміни в тапскрипті тощо) найбільшим зрушенням є те, що виведення відкритих ключів BIP-32 більше не працює (наприклад, на які покладаються апаратні гаманці лише для годинника), оскільки SIG на основі хешу не пропонують типу алгебраїчної структури

Детерміноване похідне ключа з початкового числа все ще підтримується, але не було б такого поняття, як "xpub"

Таким чином, ми можемо орієнтуватися на менший AMT для максимальної кількості SIG для однієї клавіші + налаштовувати інші параметри, щоб обміняти трохи повільнішу генерацію SIG (перевірка все ще швидка), для менших SIG Якщо ви порушите цільовий показник максимального AMT, безпека погіршиться (128-бітна -> 112-бітна), але не зламається в Insta

таким чином, можливо отримати діапазон параметрів з sigs меншими або на рівні з ML-DSA (sig на основі решітки), з меншими приватними + публічними ключами: * SLH-DSA: 32-байтові pub-ключі, 64-байтові priv ключі * ML-DSA: 2KB+ priv ключі, 1KB+ pub keys Компроміс – це не додаткова структура для створення вишуканих криптовалют

менш гнучкий, але більш консервативний Біткоїн вже повсюдно використовує sha2 У всіх SIGS десь є хеш-функція Не введено жодних нових крипто-припущень (1-й або 2-й опір до зображення тощо), робити тонну хешів швидко, особливо з векторизованим INST + апаратним прискоренням

Готуємо код + специфікації 😈 не надто цікавить політичне питання про те, чи потрібно заморожувати/конфіскувати монети тощо, тощо Імо, який порушує фундаментальний принцип Bitcoin, ми ПОВИННІ протистояти групам, які намагаються координувати свої дії для ефективного перерозподілу багатства втрата вартості від цього > розриву PQ