后量子区块链: 抗量子攻击的区块链密码学研究综述(上)

笔记作者：CDra90n@SecQuan原文作者：Tiago M. Fernández-Caramès ; Paula Fraga-Lamas原文标题：Towards Post-Quantum Blockchain: A Review on Blockchain Cryptography Resistant to Quantum Computing Attacks原文来源：IEEE Access ( Volume: 8 )原文链接：https://ieeexplore.ieee.org/document/8967098区块链和其他分布式账本技术（DLT，Distributed Ledger Technologies）在过去几年中已有长足发展，由于其提供透明性，冗余性和问责性的能力，已建议将其用于众多应用。就区块链而言，此类特征是通过公钥加密和哈希函数提供的。但是，量子计算的快速发展为在不久的将来基于Grover和Shor算法进行攻击提供了可能性。这样的算法威胁着公钥加密和哈希函数，迫使重新设计区块链以利用能够承受量子攻击的密码系统，从而创建了被称为后量子（post-quantum）、量子证明（quantum-proof）、量子安全（ quantum-safe）或抗量子（quantum-resistant）的密码系统。
[h1]0x01 Introduction[/h1]区块链是一种诞生于加密货币比特币的技术，能够提供安全的通信，数据隐私，弹性和透明性。区块链充当基于由哈希链接的数据块链的分布式帐本，这些数据块允许在不一定彼此信任的对等方之间共享信息，从而为双花问题提供了一种解决方案。近年来，这些功能已普及了区块链，并且已被建议作为与智能健康，测量系统，物流，电子投票或智能工厂相关的不同应用程序的关键技术。
区块链用户通过利用公钥/非对称加密技术与区块链进行安全交互，这对于认证交易至关重要。哈希函数也是区块链中的关键，因为它们允许生成数字签名并链接区块链的块。问题在于，量子计算机的发展威胁着公钥密码系统和散列函数。在公钥密码系统的情况下，可以通过将来的量子计算攻击快速恢复安全交易数据。
此类攻击会影响最流行的公钥算法，包括RSA（Rivest，Shamir，Adleman），椭圆曲线数字签名算法（ECDSA，Elliptic Curve Digital Signature Algorithm），ECDH（Elliptic Curve Diffie-Hellman）或数字签名算法（DSA，Digital Signature Algorithm），可以在功能强大的量子计算机上用Shor算法在多项式时间内进行分解。
此外，量子计算机可以利用Grover的算法来加速哈希的生成，从而可以重新创建整个区块链。此外，Grover的算法可能适用于检测哈希冲突，该哈希冲突可用于替换区块链的块，同时保持其完整性。
本文分析了如何发展区块链加密技术（即其公钥安全算法和哈希函数），从而使其能够抵抗基于Grover和Shor算法的量子计算攻击，从而推动了后量子区块链的创建。为了指导研究人员开发这种区块链，本文首先对后量子密码系统的当前状态提供了广阔的视野。具体而言，分析了与区块链最相关的后量子密码系统及其主要挑战。此外，针对最有前途的后量子公共密钥加密和数字签名方案的特性和性能进行了广泛的比较。
[h1]0x02 Blockchain Basics and Cryptographic Primitives[/h1][h2]A.术语和关键概念[/h2]在开始审查后量子区块链（例如，其密码系统可以抵抗量子计算攻击的区块链）的最新技术之前，有必要介绍几个基本概念，因为有些术语在文献中可能因作者而异。
首先要注意的是，自从最初对比特币的定义以来，区块链的概念已经有了长足的发展。实际上，研究人员仍在讨论区块链必须考虑到的不同元素，才能被实际视为区块链。区块链最常见的定义是本文引言中给出的定义：它是一种公共分布账本，用于存储在不一定彼此信任的多个实体之间共享的数据（例如交易信息，事件日志）。遵循共识协议，对区块链上的每个交易进行验证和存储。一旦存储了交易，理想情况下，如果不付出大量的计算工作，就无法将其从区块链中删除。
区块链节点是能够在区块链上执行操作的计算实体。区分仅与区块链交互的常规区块链节点和具有区块链副本并通过验证交易对其进行贡献的完整节点之间的区分是很常见的。区块链矿工是存在于许多区块链中的第三类节点，其贡献在区块链交易验证中至关重要：为了进行验证，他们遵循共识协议执行某些动作。有许多共识协议，例如最受欢迎的工作量证明（PoW）（由比特币使用），拜占庭容错（BFT）方法的变体或权益证明（PoS）。
智能合约的概念也很重要：它是存储在区块链上的一段代码，可以自动执行。可以根据区块链的状态以及称为预言机（oracle）的其他外部数据源，使用智能合约来自动执行某些任务。先前介绍的概念为区块链的成功及其主要安全功能做出了贡献：
分布式：如果区块链的一个节点遭到攻击或关闭，则其信息仍可从其他区块链节点继续获得。
数据隐私和完整性：区块链使用公钥加密和哈希函数来提供数据保密性，完整性和身份验证。
数据不变性：一旦交易存储在区块链上，就无法对其进行进一步的修改（唯一的例外是区块链分叉，这需要在参与区块链的实体之间达成共识）。
[h2]B.区块链安全原则[/h2]区块链提供的安全性功能基本上由公钥/非对称加密和哈希函数来维持，它们在区块链安全性中的作用将在下一部分中详细介绍。
[h2]1）公钥密码学[/h2]区块链通常利用公钥密码系统通过数字签名对交易进行身份验证，以确保各方之间的信息交换。在签名过程中，签名者使用私钥签名，而公开共享的公钥用于验证签名是否有效。因此，当签名算法安全时，可以保证只有具有私钥的人才能生成某些签名。例如，比特币使用带有Koblitz曲线secp256k的ECDSA签名，该签名依赖于私钥来签名消息，而依赖于相应的公钥来签名。
对于所谓的钱包来说，公钥加密也是必不可少的。钱包是存储文件和简单数据的私钥容器。因此，在区块链系统中，每个用户都有一个钱包，该钱包至少与一个公共地址（通常是用户公钥的哈希值）和一个用户签署交易所需的私钥相关联。例如，在像比特币这样的区块链中，每笔交易最终都被“sent”到接收者的公共地址，并用发送者的私钥签名。为了使用比特币，其所有者必须证明私钥的所有权。为了验证所接收货币的真实性，每个接收比特币的实体都使用发送者的公钥来验证其数字签名。
[h2]2）哈希函数[/h2]诸如SHA-256或Scrypt之类的哈希函数通常易于区块链使用，因为它们易于检查，但实际上很难伪造，从而允许生成数字签名，以供区块链用户自行验证其身份或在他人面前进行数据交易。
区块链还使用哈希函数来链接其块（即被认为在同一时间发生的交易组）。这些块按时间顺序链接，每个块包含前一个块的哈希。哈希区块链很简单，但是像比特币这样的一些区块链限制区块哈希以使其满足特定的数学条件（例如，哈希应包含多个前导零），这减慢了区块添加。
最后，值得一提的是，哈希函数在区块链中用于生成用户地址（即，用户公共/专用密钥）或缩短公共地址的大小。
[h1]0x03 From Pre-Quantum to Post-Quantum Blockchain[/h1][h2]A.区块链公钥安全[/h2]首先必须指出，传统上已经通过所谓的安全位级别来估计公钥密码系统抵抗经典计算攻击的强度。此级别定义为经典计算机执行暴力攻击所需的工作量。例如，当用经典计算机进行攻击所需的工作量类似于对1024位加密密钥进行强力攻击所需要的工作量时，非对称密码系统具有1024位安全性。作为参考，下表列出了一些最流行的对称和非对称密码系统的安全级别。

用经典计算机破坏当前的80位安全密码系统的成本估计在数万至数亿美元之间。对于112位密码系统，在接下来的30到40年中，它们被认为对经典计算攻击是安全的。然而，研究人员已经确定，使用1000量子位的量子计算机可以打破160位的椭圆曲线，而1024位RSA大约需要2,000量子位。这种威胁不仅影响依赖整数分解（例如RSA）或椭圆曲线（例如ECDSA，ECDH）的密码系统，而且还会影响其他基于离散对数问题的问题，这些问题通过Shor的算法可以快速解决。
在撰写本文时，还没有强大的量子计算机：最强大的量子计算机（IonQ声称）只有79个量子比特，甚至像美国国家安全局（NSA）这样的技术先进的组织似乎也没有什么意义。在大型量子计算机上的进步。但是据估计，在未来20年中，这种计算机将具有足够的功能，能够轻松破解当前强大的公钥密码系统。
实际上，像NSA这样的组织已经警告了量子计算对IT产品的影响，并建议提高某些密码套件的ECC（椭圆曲线密码学）安全级别。尽管一些研究人员推测了这样的NSA声明背后的真正原因，但长期的公钥加密似乎受到了威胁，开发人员需要为后量子时代准备当前的区块链。

上表列出了受量子威胁影响的最相关的公钥密码系统的主要特征。该表还包含其他相关密码系统的特征，这些特征将受到与Shor和Grover算法有关的量子攻击的破坏或严重影响。还包含了相关区块链当前使用的最受欢迎的哈希函数的主要特征，并指出了量子计算对其安全级别的影响。
[h2]B.哈希函数安全[/h2]与公钥密码系统相反，传统的哈希函数被认为能够抵御量子攻击，因为开发针对NP难题的量子算法似乎不太可能。尽管学者们最近提出了新的哈希函数来抵御量子攻击，但通常建议增加传统哈希函数的输出大小。此建议与可以利用Grover算法加速蛮力的量子二次方攻击有关。
具体来说，Grover的算法可以两种方式用于攻击区块链：
首先，搜索哈希冲突，然后替换整个区块链块。例如特定情况下，建议使用Grover算法在哈希函数中查找冲突，认为哈希函数必须输出3*n位以提供n-bit安全级别。这样的结论意味着许多当前的哈希函数在后量子时代将是无效的，而其他类似SHA-2或SHA-3的哈希函数将不得不增加其输出大小。
其次Grover算法可用于加速比特币等区块链中的挖掘（即能够加快随机数的生成），这将导致快速重建整个区块链，从而破坏其完整性。
此外，通过Shor算法进行的量子攻击也会影响哈希功能：如果打破了区块链哈希功能，那么拥有足够强大的量子计算机的人可能会使用Shor算法来伪造数字签名，威胁原始的区块链用户并窃取他们的数字资产。
[h2]C.后量子区块链方案[/h2]后量子密码目前是研究项目（例如PQCrypto ，SAFEcrypto，CryptoMathCREST或PROMETHEUS），标准化方案和研讨会，获得了相关的结果并产生了有趣的报告。在先前提到的举措中，值得注意的是NIST要求提供关于后量子公共密钥密码系统的提案，目前正处于第二轮，预计将在2022年至2024年期间交付第一份标准草案。
尽管之前的项目和方案产生了非常有价值的成果，但它们并没有明确地专注于后量子区块链。但是，已经出现了与最受欢迎的区块链有关的特定的后量子方案。例如，后量子比特币是比特币主要区块链的一个实验分支，它使用后量子数字签名方案。另一个例子是以太坊3.0，它计划包括像zk-STARKs（零知识可扩展透明知识论证）之类的抗量子成分。其他区块链平台（例如Abelian）建议使用格基的后量子密码系统来防止量子攻击，而某些区块链（例如Corda）正在使用SPHINCS 等后量子算法进行实验。
[h2]D.区块链量化后方案的理想特征[/h2]为了提高效率，后量子密码系统将需要为区块链提供以下主要功能：
小密钥：与区块链交互的设备在理想情况下需要利用小型公私密钥，以减少所需的存储空间。另外，小密钥在管理时涉及较少的复杂计算操作。对于需要物联网（IoT）终端设备交互的区块链而言，这一点尤其重要，因为后者通常在存储和计算能力方面受到限制。值得指出的是，物联网与其他新兴技术（例如深度学习）一样，在过去几年中经历了显着增长，但是物联网设备仍面临一些重要挑战，主要是关于安全性，这在一定程度上限制了它与区块链的结合使用以及其广泛采用。
小签名和哈希长度：区块链本质上存储数据交易，包括用户签名和数据/块哈希。因此，如果签名/哈希长度增加，则区块链大小也将增加。
快速执行：后量子方案需要尽可能快，以便允许区块链每秒处理大量交易。此外，快速执行通常涉及较低的计算复杂度，这对于不将资源受限的设备从区块链交易中排除是必要的。
计算复杂度低：此功能与快速执行有关，但需要注意的是，使用某些硬件进行快速执行并不意味着后量子密码系统的计算简单。例如，某些方案可以在使用高级矢量扩展2（AVX2，Advanced Vector Extensions 2）指令集的Intel微处理器中快速执行，但是在基于ARM的微控制器上执行时，相同的方案可能被认为是慢速的。因此，有必要在计算复杂性，执行时间和支持的硬件设备之间寻求折衷。
低能耗：诸如比特币之类的一些区块链被认为是耗电的，主要是因为执行其共识协议所需的能量。还有其他影响功耗的因素，例如使用的硬件，已执行的通信事务量，以及显然已实施的安全方案，由于所执行的操作的复杂性，可以提取相关的电流量。
[h1]0x04 Post-Quantum Cryptosystems for Blockchain[/h1]后量子密码系统有四种主要类型，第五种实际上混合了前量子密码系统和后量子密码系统。以下各节分析了此类方案在实现加密/解密机制以及签署区块链交易中的潜在应用。

作为总结，上图描绘了五种不同类型的后量子密码系统，以及加密和数字签名方案实现的示例。
[h2]A.公钥后量子加密系统[/h2][h2]1）基于编码的密码系统（CODE-BASED CRYPTOSYSTEMS）[/h2]它们本质上是基于支持纠错码的理论。例如，McEliece的密码系统就是一个基于编码的密码系统的例子，其历史可以追溯到20世纪70年代，其安全性基于syndrome decoding问题。McEliece的方案提供了快速加密和相对快速的解密，这是执行快速区块链交易的优势。但是，McEliece的密码系统要求使用充当公钥和私钥的大型矩阵来存储和执行操作。
这样的矩阵通常占用100 KB到几兆字节，这在涉及资源受限的设备时可能是一个限制。为了解决这个问题，未来的研究人员将不得不研究矩阵压缩技术以及使用不同的编码（例如，低密度奇偶校验(LDPC)码、准环低等级奇偶校验(QC-LRPC)码）和特定的编码技术。

作为参考，上表比较了NIST第二轮的基于公钥代码的后量子加密密码系统的主要特征。还有其他的后量子密码系统，但是，NIST第二轮候选人特别有趣，因为他们的标准化机会，因为他们已经被密码社区彻底分析了。
重要的是要注意，表中比较的算法的参数可以根据所需的安全性进行调整，因此密钥大小和性能可能会有所不同。具体而言，选择表的密码系统的目的是比较具有最小密钥大小的密码系统，这些密钥大小可提供NIST要求的主要量子安全级别（128、192和256位）。在本文的其余部分中进行比较时，采用相同的标准选择算法。
如表所示，评估后的基于代码的密码方案可提供128到256位的经典安全性，但是就量子安全性而言，该级别显着降低。关于比较的公钥/私钥大小，它们的范围介于非常小的大小（对于ROLLO-II和RQC的私钥为320位）和最大15.5 KB（对于HQC最高安全级别的公钥）之间。平均而言，即使使用压缩技术，基于代码的方案密钥的大小也明显大于当前基于ECDSA和RSA的加密系统所需的密钥。
值得指出的是，在HQC的情况下，指出了两个密钥大小：括号内的一个与种子扩展器的使用有关。但是，请注意，在执行算法期间，扩展键将消耗括号外指示的内存量，并且还需要执行扩展操作，这会减慢算法的执行速度。
总体而言，在表中比较的方案中，尽管RQC-II并不是最快的后量子方案，但它似乎在安全性和密钥大小之间提供了最佳的权衡。
[h2]2）基于多变量的密码系统（MULTIVARIATE-BASED CRYPTOSYSTEMS）[/h2]基于多变量的方案依赖于多元方程组求解系统的复杂性，这已被证明是NP-hard或NP-complete。尽管它们抵抗量子攻击，但仍需要进一步研究以提高其解密速度（由于涉及“猜测工作”）并减少其大密钥大小和密文开销。
目前，一些最有前途的基于多变量方案是基于带有随机二次多项式的平方矩阵，基于Matsumoto-Imai算法得出的密码系统以及依赖于隐藏字段方程（HFE，Hidden Field Equation）的方案。
[h2]3）格基加密系统（LATTICE-BASED CRYPTOSYSTEMS）[/h2]这种加密方案基于格，格是具有周期性结构的n维空间中的点集。基于格的安全性方案依赖于诸如最短向量问题（SVP，Shortest Vector Problem）这样的格问题的假定硬度，这是一个NP难问题，其目的是在格内找到最短的非零向量。还有其他类似的与格相关的问题，例如最近向量问题（CVP，Closest Vector Problem ）或最短独立向量问题（SIVP，Shortest Independent Vectors Problem），目前这些问题无法通过量子计算机有效解决。
基于格的方案提供了可加快区块链用户交易速度的实现，因为它们通常计算简单，因此可以快速高效地执行它们。但是，就像在其他后量子方案中发生的那样，基于格的实现需要存储和使用大密钥，并且涉及大量密文开销。例如，像NTRU或NewHope这样的基于格的方案通常需要管理几千位的密钥。
在撰写本文时，最有前途的基于格的密码系统是基于多项式代数以及基于容错学习（LWE，Learning With Errors）问题及其变体（例如LP-LWE（Lindner -Peikert LWE）或Ring-LWE ）。

上表比较了NIST第二轮的公钥格密码系统。从表中可以看出，所包括的方案在128位和368位之间提供了经典的安全性，在84位和300位之间提供了量子的安全性，因此，它们的复杂度将根据算法和所提供的安全级别而显着不同。
密钥大小也会显着波动：从IoT版本的Round5的128位私钥到FrodoKEM-1344的344704位私钥。正如之前针对基于编码的加密方案所提到的那样，种子扩展器可用于压缩密钥。通过指示两个密钥大小（使用种子扩展器时所需的密钥大小在括号内），在表中显示了使用种子扩展器的基于格的密码系统。
表中比较的提供大约100位量子安全级别的密码系统中，Round5 KEM IoT似乎是密钥最小的系统。
[h2]4）超奇异椭圆曲线同源密码系统（SUPERSINGULAR ELLIPTIC CURVE ISOGENY CRYPTOSYSTEMS）[/h2]这些方案基于普通椭圆曲线的等规性协议，但是经过了改进，可以承受量子攻击。存在这种类型的不同的有希望的后量子密码系统，其密钥大小通常约为几千比特。
仅一种基于同源的公钥加密方案进入NIST的第二轮：SIKE。SIKE基于超奇异同源图中的伪随机游动。SIKEp434是SIKE密钥大小的一个很好的参考，对于128位的经典安全性，SIKEp434使用2640位的公共密钥和2992位的私有密钥。
[h2]5）混合加密系统（HYBRID CRYPTOSYSTEMS）[/h2]混合方案似乎是向后量子安全性迈出的下一步，因为混合方案合并了前量子和后量子密码系统，目的是保护交换的数据免受量子攻击和对使用过的后量子方案的攻击，安全性是目前正在由工业界和学术界评估。
谷歌已对这种密码系统进行了测试，该系统将New Hope与基于ECC的Diffie-Hellman密钥协商方案X25519合并。目前正在测试混合方案的第二个版本（CECPQ2）：它将X25519与NTRU（HRSS（Hülsing，Rijneveld，Schanck，Schwabe）和SXY（Saito，Xagawa，Yamakawa）的实例化合并。
尽管这些方案看起来很有希望，但是必须注意，它们涉及实现两个复杂的密码系统，这需要大量的计算资源和更多的能耗。因此，未来用于区块链的混合后量子密码系统的开发人员将不得不在安全性，计算复杂性和资源消耗之间寻求权衡。此外，开发人员在提供传输层安全性（TLS）通信时将不得不解决这种密码系统引起的大有效载荷问题（此类问题是由于所需的公钥和密文大小引起的）。
[h2]B. 后量子签名算法[/h2][h2]1）基于编码的密码系统[/h2]过去已经提出了不同的基于后量子的签名算法。这种密码系统中一些最相关的子类型是基于Niederreiter和CFS（Courtois，Finiasz，Sendrier）的方案，它们确实与McEliece的加密方案相似。这种方案的签名很短，可以很快地被验证，但是，正如在传统的McEliece的密码系统中发生的那样，使用大密钥需要大量的计算资源，结果，签名生成可能会变得效率低下。
文献中还提出了其他基于代码的签名算法，例如与Fiat-Shamir变换的应用相关的识别协议，在某些情况下其性能优于诸如CFS的密码系统。尽管如此，必须指出的是，还不知道Fiat-Shamir签名不能完全安全地抵抗量子攻击（仅在某些情况下），因此应考虑使用诸如Unruh变换之类的替代方法。
[h2]2）基于多变量的密码系统[/h2]在这种签名方案中，公钥是通过用作私钥的陷门函数生成的。这通常衍生为大型公钥，但签名很小。
一些最流行的基于多变量的方案依赖于Matsumoto-Imai的算法，多项式同源（IP，Isomorphism of Polynomials）或HFE的变体，它们能够生成大小与当前使用的RSA或ECC-based signatures。已经提出了其他相关的基于多元变量的数字签名方案，例如基于伪随机多元二次方程或基于Rainbow-like签名方案的方案（例如，TTS，TRMS或Rainbow）。然而，由于密钥系统通常每个密钥需要数万个字节，因此需要进一步改进密钥大小。

上表比较了NIST第二轮的数字签名方案的主要特征。在这样的表中，对于诸如Rainbow之类的方案，括号内的值表示压缩密钥的长度。可以看出，在比较的基于多变量的密码系统中，MQDSS提供了非常小的密钥，但是其签名的大小在比较中最大。相比之下，其余的比较后的基于多变量方案的每个密钥都需要几千字节，但它们产生的签名较短（长度在239位和1,632位之间）。
[h2]3）格基加密系统[/h2]在描述的不同的基于格的签名方案中，基于短整数解决方案（SIS，Short Integer Solution）的方案由于其减小的密钥大小而似乎很有希望。根据一些性能分析，依靠SIS问题的难度的BLISS-B（Bimodal Lattice Signatures B）可为基于格的签名密码系统提供最佳性能之一，与RSA和ECDSA相当。但是，请注意，原始的BLISS 在2016年的特定条件下被进行边信道攻击，而其变体BLISS-B也容易受到高速缓存攻击，能够在6,000次签名轮次后恢复秘密签名密钥。
除BLISS之外，还有其他基于SIS问题的基于格的签名方案，但它们是专门为区块链设计的[。研究人员还开发了基于格的盲签名方案，该机制由David Chaum在80年代初引入，旨在创建不可追溯的支付系统。
最后，值得一提的是一种针对嵌入式系统优化的基于格的签名方案，对于100位安全性级别，该方案使用了12,000位的公钥和2,000位的私钥，并生成9,000位的签名。由于后者的简单性和效率，后一种方案被选为与区块链相关的开发的签名算法，例如QChain ，这是一种用于管理公钥加密的后量子分布式系统。
上表允许比较传递给NIST调用第二轮的基于网格的方案的主要特征。可以看出，基于格的签名方案要求密钥的大小通常小于基于多元方案的密钥，但是生成的签名略大。在比较的基于格的密码系统中，FALCON使用最小的密钥大小和签名长度。其他方案例如qTESLA，速度很快，但是它们的主要缺点是密钥大小较大。
[h2]4）超奇异椭圆曲线同源密码系统[/h2]可以使用超奇异椭圆曲线等值线来创建后量子数字签名方案，但文献中没有很多这样的方案，而且它们仍然表现不佳。例如提出了基于同源问题和Unruh变换的不同签名方案，该方案利用了较小的密钥大小和相对有效的签名和验证算法。另一种基于Unruh变换的签名方案，该方案针对128位量子安全级别，使用336字节的公钥和48字节的私钥，但生成了122,880字节的签名（即使使用压缩技术时）。因此，有必要在实施基于奇异的密码系统和超奇异Diffie-Hellman（SIDH，Supersingular Isogeny Diffifie-Hellman）时解决密钥大小问题，尤其是在资源受限的设备中，这些设备需要使用通常涉及计算密集型的密钥压缩技术步骤。
[h2]5）基于哈希的签名方案[/h2]这些方案的安全性取决于基础哈希函数的安全性，而不是数学问题的难度。这种方案可以追溯到70年代后期，当时Lamport提出了一种基于单向函数的签名方案。当前，扩展的Merkle签名方案（XMSS，eXtended Merkle Signature Scheme）的变体，例如XMSS-T和SPHINCS，被认为是Merkle树方案衍生而来的，用于后量子时代的有希望的基于哈希的签名方案。
然而由于其性能，一些研究人员认为XMSS和SPHINCS对于区块链应用是不切实际的，因此已经提出了替代方案。例如，XMSS已通过使用单一身份验证路径而不是树来适应区块链，同时使用一次性和受限密钥来保留匿名性并最小化用户跟踪。其他作者建议用XNYSS（扩展的Naor-Yung签名方案）代替XMSS，该签名方案将基于哈希的一次性签名方案与Naor-Yung链相结合，从而可以创建相关签名的链。
[h1]0x05 Conclution[/h1]本文中描述了与区块链及其安全原语有关的基本概念，研究了量子攻击对区块链公钥安全方案和最流行的哈希函数的影响。此外还列举了最相关的后量子方案，重点介绍并指出区块链后量子方案需要提供的主要功能。最后回顾了量子后公钥和数字签名方案的主要类型，并分析了它们在区块链中的应用。
在下一篇文章中，将介绍最有前途的后量子密码系统在可被区块链节点使用的硬件上运行时的性能，和已经考虑使用后量子方案的主要区块链提案。指出后量子区块链方案目前面临的最重大挑战，以及未来研究人员和开发人员应遵循的不同途径。最后总结最相关的发现，并给出结论。

安全学术圈招募队友-ing,有兴趣加入学术圈的请联系secdr#qq.com