加入 PolkaWorld 社区，共建 Web 3.0！

在最新的 Polkadot Fellowship Call 直播上，Gavin Wood 分享了 JAM V2 版本计划引入量子抗性，并在直播的最后解释了如何让区块链具有量子抗性！

继续阅读，查看 Gavin Wood 的回答！

这实际上取决于具体的链。例如，像以太坊 L1 这样的交易型链，以及基本上所有类似的链，它们的核心原理是对数据片段进行签名。但问题在于，量子计算会让恢复私钥变得相对容易，或者至少能够使用公钥生成伪装成合法签名的假签名，而当今区块链中流行的签名算法对此是无力应对的。

例如，Edwards 曲线、椭圆曲线加密（Elliptic Curve），像 EC 和 Edwards，这些算法一旦量子计算真正变得实用，就会受到严重威胁。当然，现在的量子计算还没有达到实用阶段。要实现真正的实用性，还有很多问题需要解决，我们目前可能只完成了 “ 10 步中的第 2 步 ”左右。所以，我不认为这是一个特别紧迫的问题，但这仍然是值得提前准备的。因为一旦量子计算接近实用化，这可能会是一场“谁先完成防御”的竞赛。

那么，如何让区块链具有量子抗性呢？基本上，你需要更换加密算法。

• 哈希算法（Hashing algorithms）：通常是安全的。量子计算虽然可以带来一些提升，但只是二次方级别的改进，这不会导致现有哈希算法立即失效。

• 椭圆曲线加密（Elliptic Curve）：这个部分会完全失效，需要更换为量子抗性方案。

• 零知识证明（zk）：需要进行一些调整，使其能够在量子抗性环境中继续工作。不过，这些调整会使其性能稍有下降，尤其是在数据量方面，验证所需的证明数据会变得更大一些。

就 JAM 而言，由于它是无交易型（transactionless）的链，我们无需担心交易相关的问题。因此，这些问题对我们来说并不适用。尽管 JAM 不处理交易，但它仍然需要对外部调用（extrinsics）中的签名进行保护。例如，在 JAM 的环境中，外部调用可能用于：

• 提交数据或请求操作；

• 验证用户身份；

• 与链进行交互。

所以，外部调用的签名需要加密保护，确保这些操作的安全性。

目前，JAM 使用了三种加密算法，但都不是量子安全的。我们使用了椭圆曲线加密（Elliptic Curves）、Edwards 曲线以及 Curve25519，这些需要更换为某种基于晶格（lattice-based）的签名方案。这并不复杂，因为已经有标准化的方案可以使用，我们大概可以直接切换过去。

接下来，我们需要处理 BLS 和 Bandersnatch：

• Bandersnatch：可以替换为一种后量子签名方案，或者用于 Bandersnatch 的环 VRF（验证随机函数）。这种基于零知识证明（ZK）的系统用于保护即将成为验证者的身份信息。这一系统需要调整为后量子版本的 ZK 系统，这会增加验证所需的数据量，但对于 JAM 来说是可以接受的。

• BLS 签名：虽然不是直接用于 JAM 的必要部分，但在以太坊的 Beefy 中需要使用它，用于生成简洁的最终性证明（proofs of finality）。因此，BLS 也需要迁移到以太坊能够支持的后量子加密方案。这需要我们对以太坊未来的发展方向有一定的前瞻性。

从整体来看，实际上我们只需要更改两种核心的加密元素。目前，关于它们的替代方案已有讨论，其中一个替代方案基本已经确定，而另一个正在深入考虑如何实现。我认为我们可能不会在 JAM 1.0 之前看到这些变化，但我们很可能会在 1.0 发布前就发布一个早期的 RFC，以便为未来的 JAM 升级做好准备。

我们可能会有一个 9 个月或 18 个月的升级周期，比如说，把这些协议变更累积起来，然后在需要时进行一次硬分叉。这种升级周期将与质押、治理和 Coretime 分配的变更周期分开运行。后者将作为 JAM 服务中的平行链运行，因此可以按照任意时间表进行升级，而无需硬分叉。相反，底层加密相关的变更会更少、更间隔长一些，但更有规律、更可预测。

我预计，在明年上半年，Web3 基金会的密码学专家团队将提交一份关于需要具体更改内容的报告，或者针对 JAM 的具体提案，可能会以 RFC 的形式提交，描述后量子版本的 JAM 应该是什么样子！

• PolkaWorld Telegram 群：

  https://t.me/+z7BUktDraU1mNWE1

• PolkaWorld Youtube 频道：
  

  https://www.youtube.com/c/PolkaWorld

• PolkaWorld Twitter：

  @polkaworld_org