A Practical Post-Quantum Distributed Ledger Protocol for Financial Institutions

本文提出了一种基于格的后量子分布式账本协议，通过引入新型零知识证明技术和紧凑范围证明，解决了传统金融机构在采用私有账本时面临的隐私与审计难题，实现了兼具机密性、可审计性及多资产高效验证的加密交易方案。

要点

这篇论文提出了一种名为 PQ-TaDL 的新型区块链协议，专门设计给银行和金融机构使用。它的核心目标是解决一个长期存在的难题：如何在保护交易隐私（不让别人知道谁转了多少钱）的同时，又能让监管机构进行审计，并且还要能抵御未来“量子计算机”的破解攻击。

为了让你轻松理解，我们可以把整个系统想象成一个**“超级保密的共享记账本”**。

1. 背景：为什么现有的方案不行？

想象一下，传统的区块链（比如比特币）像是一个透明的玻璃账本。

• 优点：每个人都能看到每一笔交易，非常透明。
• 缺点：银行不能接受这个，因为客户不想让全世界知道他们转了多少钱，或者谁给谁转了钱。

为了解决隐私，现在的隐私币（如门罗币）使用了一种叫**“环签名”（RingCT）的技术。这就像一群人混在一起，你无法分辨哪个人是真正的付款人，就像“大雾中的人群”**。

• 问题：这种“大雾”对银行来说太麻烦了。银行需要审计每一笔账，但在“大雾”里，审计员得把过去所有的交易都翻一遍才能确认某笔钱是否合法，效率极低。而且，现有的这些技术大多基于传统的数学难题，未来的量子计算机（一种超级强大的电脑）能轻易破解它们，就像用激光刀切豆腐一样。

2. 核心方案：PQ-TaDL（后量子表格账本）

作者提出了一种全新的方法，叫 PQ-TaDL。我们可以把它想象成一个**“加密的 Excel 表格”**。

核心比喻：加密的 Excel 表格 vs. 迷雾人群

• 旧方法（环签名/RingCT）：像是一个**“迷雾人群”**。每个人混在一起，很难分清谁是谁。审计员要查账，得把所有人叫出来一个个核对，非常慢。
• 新方法（PQ-TaDL）：像是一个**“加密的 Excel 表格”**。
  • 行（Rows）：代表每一笔交易。
  • 列（Columns）：代表每一个银行客户的账户。
  • 单元格：里面填的是加密的数字（比如转账金额）。

在这个表格里，虽然数字是加密的（别人看不见具体金额），但数学结构保证了：

1. 总和守恒：如果你从 A 列减去 100，B 列必须加上 100，总账本里的钱不会凭空变多或变少（就像 Excel 里的公式自动平衡）。
2. 隐私保护：只有拥有“钥匙”的人（账户持有者）才能看到自己那一列的具体数字。
3. 易于审计：审计员不需要把所有人叫出来，只需要检查表格的“公式”是否正确（零知识证明），就能确认账目是平的，而不需要知道具体是谁转了多少钱。

3. 三大关键创新（魔法道具）

为了让这个“加密 Excel 表格”既安全又好用，作者发明了三个“魔法道具”：

① 后量子锁（Post-Quantum Lock）

• 作用：防止未来量子计算机破解。
• 比喻：传统的锁（基于离散对数）像是一把普通的挂锁，量子计算机有万能钥匙能打开。作者用的是一种基于**“格（Lattice）”**的锁。这就像是一个极其复杂的迷宫，即使有超级计算机，要在迷宫里找到出口也需要几亿年。这是整个系统安全的基石。

② 零知识证明（Zero-Knowledge Proofs, ZKP）

• 作用：证明“我是对的”，但不透露“我是怎么做的”。
• 比喻：想象你要向保安证明你**“口袋里有钱”**，但你不想让他看到钱，也不想让他知道你有几张。
  • 你不需要把口袋翻出来（暴露隐私）。
  • 你只需要通过一个特殊的数学游戏（零知识证明），让保安确信你口袋里确实有钱，而且金额是合法的。
  • 在论文中，这用于证明：“这笔交易是平衡的（没多印钱）” 和 “我有足够的余额（没透支）”，而无需暴露具体金额。

③ 承诺等价性证明（Proof of Equivalence）—— 最厉害的魔法

• 作用：这是论文最大的亮点。它允许接收方在不知道原始随机数的情况下，证明两笔加密交易里的金额是一样的。
• 比喻：
  • 想象发送者把一笔钱装进一个上锁的盒子（加密承诺），并扔给了接收者。发送者知道盒子里的钥匙（随机数），但接收者不知道。
  • 通常，接收者如果想花这笔钱，必须等发送者把钥匙告诉他。如果发送者是个坏人，不给钥匙，接收者就永远花不了这笔钱。
  • PQ-TaDL 的魔法：接收者可以拿出一个新的盒子，把原来的钱装进去，然后向外界证明：“这两个盒子里的东西是一模一样的！”
  • 关键点：接收者不需要知道原来那个盒子的钥匙，就能完成这个证明。这确保了**“只要钱到了我的账上，我就一定能花出去”**，消除了对发送者“君子协定”的依赖。

4. 为什么这对银行很重要？

1. 隐私与审计的平衡：银行可以隐藏客户的具体交易细节（隐私），但监管机构可以验证账目是否平衡（审计）。这就像审计员可以检查 Excel 表格的公式是否正确，而不需要打开每一个单元格看具体数字。
2. 多资产支持：这个系统不仅能处理一种货币（比如美元），还能同时处理多种资产（比如美元、欧元、黄金），就像在一个表格里同时管理多种商品。
3. 未来安全：它专门设计用来抵抗量子计算机的攻击，确保银行的数据在未来几十年内依然是安全的。
4. 效率：论文通过实验证明，这个系统在实际运行中速度是可以接受的（虽然比现在的普通转账慢一点，但在隐私和安全的权衡下是合理的）。

总结

简单来说，这篇论文发明了一种**“给银行用的、防量子黑客的、既能藏私房钱又能让老板查账的超级记账本”**。

它不再依赖那种让人摸不着头脑的“迷雾人群”模式，而是用一种结构清晰、数学严谨的“加密表格”模式，配合神奇的数学证明，让银行在享受区块链便利的同时，不再担心隐私泄露或未来被黑客攻破。

技术摘要

这是一份关于论文《A Practical Post-Quantum Distributed Ledger Protocol for Financial Institutions》（面向金融机构的实用后量子分布式账本协议）的详细技术总结。

1. 研究背景与问题 (Problem)

背景：
分布式账本技术（DLT）有望解决传统金融机构的效率问题，但现有的公有链方案因交易数据公开而无法满足金融机构对隐私（交易金额、账户匿名性、资产匿名性）和审计（合规性检查）的严格要求。

现有方案的局限性：

• Ring-CT (环签名保密交易) 模型： 如 Monero 使用的方案。虽然提供了隐私，但依赖“隐形地址”（Stealth Addresses）和“环签名”。这导致审计极其困难，因为审计员必须扫描整个交易历史才能找到与特定账户相关的交易。此外，现有的基于格（Lattice-based）的 Ring-CT 方案（如 MatRiCT+）通常缺乏对“可花费令牌”（Spendable Token）的严格证明，且难以支持多资产交易和定制化的审计密钥。
• 基于离散对数假设的方案： 现有的加密账本方案大多基于离散对数问题，面临量子计算的威胁，不具备后量子安全性。

核心挑战：
如何构建一个后量子安全、基于格密码的分布式账本协议，既能满足金融机构对隐私和多资产交易的需求，又能支持高效的零知识审计和可验证的资产所有权，同时避免 Ring-CT 模型中审计复杂的问题。

---

2. 方法论与核心设计 (Methodology)

作者提出了一种名为 PQ-TaDL (Post-Quantum Table-based Distributed Ledger) 的新协议，该协议基于加密表式账本 (Encrypted Table-based Ledger, ETL) 模型，而非传统的 UTXO 或 Ring-CT 模型。

2.1 核心架构：ETL 模型

• 数据结构： 账本被建模为一个表格。每一列代表一个参与者（账户），每一行代表一笔交易。
• 状态表示： 账户余额是该列中所有交易条目值的总和。这种结构使得账户状态可以通过简单的求和承诺（Summation Commitment）来 succinctly（简洁地）表示，极大地简化了审计过程。
• 加密： 所有交易值使用基于格的承诺方案（Homomorphic Lattice-based Commitment）进行加密，以保护隐私。

2.2 密码学原语

协议主要基于 Module-LWE (MLWE) 和 Module-SIS (MSIS) 困难假设，并使用了以下关键技术：

• BDLOP 承诺方案： 用于构建交易承诺。
• ABDLOP 承诺方案： 结合了 Ajtai 承诺，用于处理短范数但高维度的消息，提高范围证明效率。
• 零知识证明 (ZKP)： 包括范围证明、线性关系证明和乘积证明。
• NTT (数论变换)： 在 NTT 域中进行范围证明，优化计算效率。

2.3 关键创新技术

1. 无需随机数的承诺等价性证明 (Proof of Equivalence without Opening)：
   • 问题： 在 ETL 中，接收方需要证明其持有的新承诺与发送方生成的原始承诺具有相同的值，但接收方不知道原始承诺中使用的随机数（Randomness）。
   • 解决方案： 提出了一种新方法，利用 $\sqrt{q}$ 因子放大差异。通过构造两个承诺的差值，如果秘密密钥和随机数足够短，任何非零的差值都会被 $\sqrt{q}$ 放大并超出范数界限，从而被检测到。这使得在不打开原始承诺的情况下，也能在零知识下证明两个承诺的值相等。
2. 可提取性 (Extractability) 与可花费令牌：
   • 通过引入包含 $\sqrt{q}v$ 项的承诺结构，结合一致性证明（Proof of Consistency），确保接收方可以提取出确切的交易值，从而保证令牌是“可花费的”（Always-spendable），解决了 Ring-CT 中令牌可能无法被接收方使用的风险。
3. 紧凑的多资产交易 (Compact Multi-Asset)：
   • 提出了 PQ-TaDL$_{Compact}$ 扩展，将多个资产的值编码到单个多项式环元素的系数中。利用随机线性组合和二次关系检查，实现了多资产交易证明大小的多项式级扩展，而非线性增长。
4. QROM 模型下的安全性：
   • 不仅证明了方案在经典随机预言机模型（ROM）下的安全性，还进一步在量子随机预言机模型 (QROM) 下进行了分析，证明了所使用的零知识证明协议是“量子知识证明”（Quantum Proof of Knowledge），具备“弱坍缩”（Weakly Collapsing）性质。

---

3. 主要贡献 (Key Contributions)

1. PQ-TaDL 协议设计： 提出了首个面向金融机构的、基于格的 ETL 交易方案。支持多资产交易、可验证的可花费令牌以及高效的零知识账户状态审计。
2. 新的承诺等价性技术： 发明了一种在零知识下证明两个承诺具有相同值的技术，且无需知道原始承诺的随机数。这是构建 ETL 环境下公开可验证交易协议的关键。
3. 紧凑的多资产扩展 (PQ-TaDL$_{Compact}$)： 设计了一种随多项式度数扩展的紧凑多资产交易方案，显著降低了通信开销。
4. 严格的安全性分析： 提供了在 QROM 模型下的安全性证明，确立了方案在后量子环境下的安全性，特别是证明了协议具备量子知识证明属性。
5. 性能评估： 提供了具体的实现和性能分析，证明了该方案在实际部署中的可行性。

---

4. 实验结果与性能 (Results)

作者在 Rust 语言中实现了 PQ-TaDL 协议，并在 M3 Pro MacBook 上进行了基准测试：

• 证明时间 (Proving Time)：
  • 一致性证明 (PoC) 和等价性证明 (PoE) 是主要开销，分别约为 161ms 和 142ms。
  • 资产证明 (PoA)、余额证明 (PoB) 等较快，约为 10-16ms。
  • 单个参与者的总交易生成时间约为 500ms。
  • 在紧凑模式 (Compact) 下，每参与者的证明时间约为 900ms（或按资产分摊后每资产 3.5ms）。
• 验证时间 (Verification Time)：
  • 验证非常快，约为 25ms。
• 通信开销 (Communication Size)：
  • 普通模式下，每参与者的交易大小约为 1078 KB。
  • 紧凑模式下，每参与者的总大小约为 1562 KB，但分摊到每个资产后仅为 6.1 KB，显著优于线性扩展方案。
• 对比 Ring-CT (如 MatRiCT+)：
  • PQ-TaDL 在审计性（支持自定义审计密钥）、多资产支持（原生支持）和令牌可花费性（Always-spendable）方面优于 Ring-CT。
  • 虽然交易大小随参与者数量线性增长（ETL 特性），但在金融机构场景下（参与者数量远少于公有链），这种线性增长是可接受的，且换来了审计效率的巨大提升。

---

5. 意义与影响 (Significance)

• 填补空白： 解决了传统金融机构在采用 DLT 时面临的“隐私 vs 审计”以及“后量子安全”的矛盾。现有的 Ring-CT 方案不适合机构场景，而 PQ-TaDL 提供了更优的替代方案。
• 审计友好： 通过 ETL 模型，审计员可以高效地验证账户状态，无需扫描整个链，且支持定制化的审计密钥，符合金融监管需求。
• 后量子就绪： 方案完全基于格密码，并在 QROM 模型下进行了严格分析，为金融机构应对未来量子计算威胁提供了切实可行的技术路径。
• 多资产支持： 原生支持多资产交易和原子交换，适应了现代金融市场中多币种、多资产并存的复杂需求。

总结：
这篇论文提出了一种实用且安全的后量子分布式账本协议，通过创新的格密码技术和 ETL 架构，成功平衡了金融机构对隐私、审计、多资产支持和后量子安全性的多重需求，为下一代金融基础设施的构建奠定了坚实的理论基础。