这是我在@PresidioBitcoin量子比特币峰会上的演讲幻灯片： 简而言之：我建议在比特币中采用针对较小签名（约3KB，尽可能小）调优的SPHINCs+（SLH-DSA/FIPS-205）sha2参数集作为PQC签名方案。

我还探讨了sig类型在整个堆栈中的影响（tapscript的变化等） 最大的变化是BIP-32公钥派生不再有效（例如：依赖于此的仅观察硬件钱包），因为基于哈希的签名不提供代数结构的类型。

从种子派生的确定性密钥仍然受到支持，但不会有所谓的 "xpub"。

因此，我们可以针对单个密钥的最大签名数量设定一个较小的目标，并调整其他参数，以换取稍慢的签名生成速度（验证仍然很快），以获得更小的签名。 如果超过这个最大目标，安全性会下降（128位 -> 112位），但不会立即崩溃。

因此，可以通过较小的签名或与 ML-DSA（基于格的签名）相当的签名，得出一系列参数，使用更小的私钥和公钥： * SLH-DSA：32字节公钥，64字节私钥 * ML-DSA：2KB+私钥，1KB+公钥 权衡在于没有额外的结构来进行复杂的加密

不够灵活，但更保守 比特币已经在各处使用sha2 所有签名都有某种哈希函数 没有引入新的加密假设（第一或第二预影抵抗等），进行大量哈希运算很快，特别是使用向量化指令和硬件加速时

编写一些代码和规格 😈 对是否应该冻结/没收币的政治问题不太感兴趣，等等，等等 我认为这违反了比特币的基本原则，我们必须抵制试图协调有效重新分配财富的团体 由此造成的价值损失 > PQ 破坏