基於分隔符的參與承諾：用於後量子見證聚合的改進方案

感謝 Arnav Anirudha 的審閱與回饋。

內容摘要 (TL;DR)

公開的後量子以太坊路線圖指向使用較大的基於雜湊的驗證者簽名（如 leanXMSS），並配合透過 leanVM / leanMultisig 進行基於證明的聚合，因為後量子簽名體積太大，無法依賴 BLS 風格的原生聚合。如果我的理解正確，目前的基於摺疊（folding-based）的方案運作如下：聚合（Aggregate）與合併（Merge），在聲明中保留精確的簽署者參與情況，並將見證數據（witness）的移動部分視為網路問題，而不僅僅是證明問題。該路線圖也正朝向獨立的聚合者角色、傳播協議，以及遞歸合併為每條訊息一個最終聚合結果的方向發展。(後量子以太坊路線圖)。我的基準參考是最近關於摺疊的文章。

我建議的變動是：與其在每次內部合併中都攜帶一個全域參與對象，不如讓每個葉節點攜帶一個針對驗證者集合中某個「區塊」（patch）的區域參與對象，並附帶與相鄰區塊重疊部分的精確承諾。內部合併會檢查這些重疊部分的一致性並結合子節點。全域簽署者集合僅在根節點重建一次，法定人數檢查（quorum check）也僅在根節點發生一次。

換句話說，盡可能長時間地保持簽署者計數的局部性。每個驗證者小組記錄該區塊內的簽署情況以及共享邊界發生的情況。如果相鄰區塊對共享的驗證者達成一致，那麼在樹狀覆蓋（tree cover）上，就只會存在一個與所有局部視圖一致的全域簽署者集合。

如果實施，此提案唯一改變的是遞歸內部負責問責對象（accountability object）的形狀。

非正式概述

將驗證者集合想像成一張非常大的點名表。在通常的遞歸算法中，一個全域點名對象會穿過許多內部合併。而現在，驗證者集合被拆分成重疊的鄰域，每個鄰域保留自己的局部點名表，相鄰區塊僅比較共享的條帶。

核心直覺是：如果每一對相鄰區塊都在共享條帶上達成一致，那麼全域點名表就已經被確定了。分隔符（separator）是兩側需要溝通的唯一地方；一旦邊界固定，內部就可以保持局部化。這是 Observers Are All You Need (OAAYN, r1378) 中的分隔符定理，定理 2.3（§2.3, 第 9 段；證明見 §2.3, 第 14-24 段）。

提案

固定一條訊息 $m$、一個驗證者快照根 $R$，以及所討論的證明或終局性對象的驗證者全集 $V$。

選擇一個確定性的覆蓋：

$V = \bigcup_{i=1}^k P_i$

具有以下屬性：

區塊相鄰圖是一棵樹；

該覆蓋滿足連續交集性質（running-intersection property）；

每個區塊內的區塊標識符和驗證者排序是規範的，並源自 $R$ 和該時隙（slot）或紀元（epoch）的協議隨機性。

在樹上，局部重疊一致性足以固定一個全域截面。在有環的圖上，路徑依賴和上閉鏈（cocycle）類型的障礙更容易出現。對於第一個協議版本，那是沒必要的複雜性。樹狀覆蓋是安全的起點。這是 OAAYN (r1378) 引理 3.2b（§3.4.2, 第 4 段）中關於樹與環的分別。

對於每個區塊 $P_i$，定義一個局部聚合對象：

$L_i = (m, R, P_i, b_i, C_i, {\alpha_{ij}}_{j \sim i}, \pi_i)$，

其中：

$b_i \in {0,1}^{P_i}$ 是局部參與位元場（bitfield）；

$C_i$ 是該區塊局部見證數據的承諾；

$\alpha_{ij}$ 是重疊部分 $S_{ij} = P_i \cap P_j$ 的分隔符承諾；

$\pi_i$ 證明在 $m$ 和 $R$ 下簽名和局部承諾的局部有效性。

分隔符承諾可以實例化為：

$\alpha_{ij} = H\Big( m ,|, R ,|, \mathrm{id}(P_i) ,|, \mathrm{id}(P_j) ,|, \mathrm{id}(S_{ij}) ,|, b_i|{S{ij}} ,|, C_i|{S{ij}} \Big)$。

見證承諾 $C_i$ 需要規範的序列化。否則，兩個誠實的聚合者可能會用不同的根描述相同的局部數據，導致合併失敗。因此，序列化必須固定驗證者排序、分塊佈局、Merkle 分叉度、域標籤以及重疊部分受限開放（restricted openings）的編碼。

合併規則

給定兩個子對象 $L_u$ 和 $L_v$，定義 MergeSep(u,v) 如下：

驗證兩個子對象是否使用相同的訊息 $m$、驗證者快照根 $R$ 以及兼容的區塊元數據；

驗證兩個子證明；

驗證 $S_{uv} = P_u \cap P_v$ 上的分隔符是否完全相等；

結合非重疊部分的參與者集合；

保留重疊狀態的一個規範副本；

將見證承諾摺疊或累積到父對象中。

父對象存在於 $P_t = P_u \cup P_v$ 上。

請注意，內部合併不計算法定人數，也不嘗試加總證明權重。它僅檢查精確的局部一致性並結合局部主張。法定人數或證明權重檢查在根節點發生一次，即在全域簽署者集合規範重建之後。這解決了當一個驗證者存在於兩個重疊區塊時可能出現的重複計算漏洞。

精確黏合定理

這是承載共識路徑的精確陳述。

命題。 令 ${P_i}$ 為具有連續交集性質的確定性樹狀覆蓋。對於每個區塊 $P_i$，令 $b_i$ 為由 $P_i$ 索引的局部參與位元場。如果對於每條邊 $(i,j)$：

$b_i|{P_i \cap P_j} = b_j|{P_i \cap P_j}$，

則在 $V$ 上存在唯一的全域位元場 $b$，使得：

對於所有 $i$，$b|_{P_i} = b_i$。

一旦序列化和承諾方案被規範固定，同樣的陳述也適用於底層的見證關係。相鄰區塊對共享的驗證者達成一致，因此它們只能來自唯一的一個全域簽署者集合。

同樣的形狀也出現在 OAAYN (r1378) 中：定理 3.1（§3.4.1, 第 1 段）給出了樹狀覆蓋上的構造性黏合，定理 2.3（§2.3, 第 9 段；證明見 §2.3, 第 14-24 段）分離出分隔符作為左右通訊的地方，而引理 3.2b（§3.4.2, 第 4 段）解釋了為什麼樹是簡單的情況。

為什麼這有幫助

這裡有三種不同的成本：

第一，精確簽署者恢復的不可削減成本。這種成本不會消失。之前的《簽名合併》文章指出：如果你想要精確提取簽署者集合，系統中某處必然存在一個線性大小的組件。(大規模共識的簽名合併)

第二，在每次內部合併中攜帶該資訊的成本。這正是分隔符承諾所減少的部分。精確的簽署者集合仍然存在且可恢復，但它是在根部實例化一次，而不是作為全域對象拖過整個遞歸樹。

第三，證明者成本。這取決於證明後端（無論是 leanMultisig、WHIR 風格的遞歸還是其他），並且與此處提出的幾何變化基本無關。

在這種設計中，問責對象在遞歸期間局部存在於區塊級承諾中，僅在根部重建為一個全域簽署者集合。改進之處在於內部合併僅攜帶分隔符局部的問責數據，而不是完整的全域簽署者對象。

安全條件

對於第一個版本，我認為協議需要滿足以下條件。

1. 共識路徑上的分隔符精確相等

分叉選擇、終局性和罰沒（slashing）應僅取決於精確的分隔符相等和精確的根重建。近似恢復應保持在共識路徑之外。

近似恢復定理仍然有用，當跨分隔符的條件互資訊（conditional mutual information）較小時，它提供了一個真實的跡距離（trace-distance）界限。在 OAAYN (r1378) §2.2, 第 1 段中指出：

$I(A:C \mid B) \le \varepsilon \quad \Longrightarrow \quad | \rho_{ABC} - (\mathrm{id}A \otimes \mathcal R)(\rho{AB}) |_1 \le 2 \sqrt{\ln 2, \varepsilon}$，

並在定理 3.1（§3.4.1, 第 5 段）中將其擴展到具有跨步驟加性誤差的樹狀黏合。這對於局部修復很有趣，但不能作為共識的有效性規則。目前的摺疊基準已經將見證處理視為 P2P 問題，而這正是近似方法所屬的地方。

2. 僅在根部進行法定人數檢查

考慮區塊 $P_1 = {v_1, v_2}$ 和 $P_2 = {v_2, v_3}$。如果 $v_1$ 和 $v_2$ 簽名了，那麼局部計數分別為 2 和 1，而真實的唯一簽署者集合大小為 2。任何允許內部節點在沒有精確去重的情況下加總局部計數的協議，都會直接導致重複計數攻擊。

安全的第一個版本是僅在根部進行閾值判斷。內部節點合併精確的局部主張。根部重建規範的全域位元場並計算一次證明權重。

之後的優化版本可以使用確定性的所有者映射 $h(v)$，將每個驗證者分配到一個主區塊。這最終可能有用，但它是額外的機制，第一個版本不需要它。

3. 規範覆蓋與規範序列化

聚合者使用的覆蓋必須由驗證者快照和協議隨機性確定。合併樹必須是規範的。見證承諾的序列化也必須是規範的。

如果誠實的聚合者可以選擇不同的覆蓋或不同的編碼，那麼路徑依賴就會無故出現。參見 OAAYN (r1378) 引理 3.2b（§3.4.2, 第 4 段）中的樹與環分析。一旦出現環，路徑獨立性就成為一個問題。 樹在第一個版本中避免了整類歧義。

4. 用於罰沒的單個驗證者開放

以太坊需要精確的問責制。最終聚合必須支持後續形式為「驗證者 $v$ 簽署了訊息 $m$」或「驗證者 $v$ 簽署了衝突訊息 $m$ 和 $m'$」的證明。因此，局部承諾需要支持單個驗證者的開放，並保留足夠長的時間以覆蓋罰沒窗口。

5. 分隔符的多源獲取

分隔符扣留（withholding）是一個明顯的活性問題。惡意的聚合者可以扣留一個小的重疊部分開放，從而使合併停滯。基於摺疊的基準已經將見證視為網路問題。在這種構造中，分隔符數據成為扣留的特別自然目標，因此它應該可以從多個節點獲取，並且如果一個提供者停滯，另一個聚合者應該能夠從葉節點重建合併。(後量子簽名聚合：一種摺疊方法)

簡易計數結果

一個簡單的粗略模型給出了擴展性的直覺。假設一個簡易樹狀覆蓋：

$N = 131,072, \quad k = 64, \quad s = 256$。

如果精確計數關係為：

$N = km - (k-1)s$，

則：

$m = \frac{N + (k-1)s}{k} = 2300$。

假設天真的遞歸實例在每次內部合併中都攜帶一個完整的 $N$ 位元全域簽署者對象。那麼內部問責負載為：

$B_{\mathrm{naive,int}} = (k-1)N = 63 \cdot 131,072 = 8,257,536 \text{ 位元} \approx 1008 \text{ KiB}$。

在分隔符方案中，內部合併僅攜帶面向分隔符的問責數據：

$B_{\mathrm{sep,int}} = (k-1)s = 63 \cdot 256 = 16,128 \text{ 位元} \approx 1.97 \text{ KiB}$。

這在內部遞歸問責負載中減少了：

$\frac{N}{s} = 512$ 倍。

如果我們包括葉節點局部的區塊位元場和完整位元場的一次性根部實例化，簡易總計變為：

$km + (k-1)s + N = 147,200 + 16,128 + 131,072 = 294,400 \text{ 位元} \approx 35.9 \text{ KiB}$。

在這種簡易計數模型下，遞歸內部的重複問責負載大幅下降，而完整的問責對象仍然在根部精確地存在一次。重點是，如果分隔符寬度保持遠小於總驗證者數量，那麼遞歸問責負載將隨分隔符大小而非全域驗證者集合大小擴展。這些數字也僅涵蓋問責組件；端到端證明時間仍取決於簽名驗證成本、見證獲取模式和證明後端。

與當前工作的關係

摺疊與 leanMultisig

最近關於摺疊的文章是最接近的基準，我認為此提案是對該基準的修改而非取代。聚合（Aggregate）仍然處理原始簽名，合併（Merge）仍然結合聚合對象，精確參與仍然重要，因為獎勵、懲罰和罰沒取決於它。唯一的變化是內部合併攜帶的公開問責對象。遞歸聲明不再在每一步攜帶一個全域位元場形狀的對象，而是攜帶局部區塊承諾和精確的重疊承諾。(後量子簽名聚合：一種摺疊方法)

WHIR

WHIR 針對的是證明引擎。分隔符承諾位於其上一層。它們改變的是被摺疊或遞歸驗證的對象的幾何形狀，而不是底層證明原語。因此，我預期這兩個想法可以相當整潔地結合。(用於以太坊的 WHIR)

動態可用性與心跳加尾隨終局性

最近的共識文章主張建立快速心跳鏈（heartbeat chain）和尾隨終局性層。一個擁有約 256 個驗證者的採樣心跳可以使用串聯簽名，並在關鍵路徑上避免大規模 PQ 聚合。這使得全集終局性層成為遞歸聚合仍然重要的地方。分隔符承諾直接針對該層。(具有約 256 個驗證者和快速跟隨終局性組件的 LMD GHOST)

QC 風格的分中心化聚合

最近的 SSF 聚合文章提出了一個大型分層分組過程，可以並行吸收許多證明。這在方向上是相似的。分隔符視角為重疊增加了更明確的規則：重複簽署者存在於分隔符上，精確去重是合併條件的一部分，局部不匹配證明存在於一個重疊上，而不是強制全域重新計算。(基於法定人數證明單時隙終局性的去中心化證明聚合)

簽名合併

《大規模共識的簽名合併》是有用的背景，因為它指出了此處仍然重要的精確要求：合併後的對象應允許提取簽署者集合，而這一要求在數據中產生了一個線性大小的組件。分隔符承諾尊重這一事實。線性成本在根部支付一次，而不是在每次內部合併中全域攜帶。(大規模共識的簽名合併)

最近的 PQ 聚合替代方案

最近的文章還探討了執行層聚合的權衡，甚至更激進的替代方案，例如完全從授權路徑中移除簽名對象。這些討論很有用，因為它們強調了正確答案是多麼依賴於上下文。共識比交易聚合有更嚴格的問責要求，因為簽署者集合直接影響證明權重和可罰沒性。因此，本提案堅定地留在驗證者證明設置中，並保留顯式簽名和顯式簽署者身份。(重新審視 PQ 內存池的 Falcon 簽名聚合)

近似局部修復，未來工作

一個看起來非常有用的方向（雖然絕對不是共識關鍵的）是在丟失見證分塊後的修復。如果一個節點擁有兩個子區塊的大部分局部數據，但缺少少量的內部見證數據，分隔符可能仍然能提供足夠的資訊來決定合併是否可修復、應該先獲取哪些分塊，或者哪個候選父節點與局部情況一致。

在論文中，這是以下內容的實質：

$I(A:C \mid B) \le \varepsilon \Longrightarrow \text{跨 } B \text{ 的可恢復性}$，

以及 OAAYN (r1378) 定理 3.1（§3.4.1, 第 5 段）中的加性樹狀黏合界限。同一篇論文的 §2.3, 第 37-38 段，結合 §5.9, 第 7-10 段，隨後表明分隔符缺陷在正確的體制下可以隨分隔符寬度呈指數級衰減。

這暗示了一個有用的未來工作計劃：

基於分隔符狀態的見證預取；

基於可修復性估計的局部合併調度；

封包丟失或延遲開放後的局部恢復。

分叉選擇、終局性和罰沒應繼續使用精確的分隔符相等和精確的根重建。

原型計劃

一個嚴肅的第一個原型可以分三步完成。

第一步：leanSpec / leanMultisig 中的精確模式

使用當前的 lean 堆疊，並將內部的全域位元場遞歸對象替換為局部區塊對象和精確分隔符承諾的樹狀覆蓋。根部發出重建的一次性完整位元場，以便共識機制的其餘部分可以保持接近當前基準。這直接符合當前的路線圖，因為 pq-devnet-3 和 pq-devnet-4 已經涉及獨立的聚合者角色、傳播、遞歸聚合以及每條訊息一個最終聚合。(Lean 共識路線圖)

第二步：衝突定位與活性測試

模擬延遲或丟失的分隔符開放、重複交付以及對重疊分塊的對抗性扣留。目標是衡量：

合併失敗的拒絕成本；

備用重建成本；

局部衝突見證的大小；

從多個節點獲取分隔符時的恢復時間。

第三步：融入心跳加尾隨終局性架構

僅在全集終局性側使用該方案。讓心跳路徑保持簡單和採樣，本著最近共識討論的精神。這給了提案一個更乾淨的部署表面，並避免將同樣的機制強加到協議中不需要它的部分。(具有約 256 個驗證者和快速跟隨終局性組件的 LMD GHOST)

開放性問題

我看到的主要開放性問題包括：

什麼是最佳的確定性覆蓋：基於委員會、基於子網、延遲感知還是權重平衡？

根部是否應始終實例化完整位元場，或者未來版本應轉向僅承諾的根部並根據需求顯式開放？

什麼是最佳的分隔符承諾：受限位元場根、受限見證根，還是聯合根？

分隔符不匹配證明能否成為聚合者不當行為的緊湊欺詐證明？

什麼是最佳的分塊放置規則，以便分隔符局部性也能改善網路側的見證獲取？

在系統基準測試後，所有者映射變體在實踐中是否優於僅根部閾值判斷？

結論

以太坊的後量子路徑現在已經足夠具體，聚合介面本身值得優化。後量子以太坊路線圖已經指向 leanXMSS 加基於證明的聚合，而《後量子簽名聚合：一種摺疊方法》已經提供了正確的聚合（Aggregate）加合併（Merge）抽象。

基於分隔符的參與承諾是一個自然的契合點。它們保持遞歸問責的局部性，使重複處理顯式化，並將衝突證明定位到重疊部分。精確共識定理很簡單。OAAYN (r1378) 貢獻了定理 2.3（§2.3, 第 9 段；證明見 §2.3, 第 14-24 段）的分隔符優先視角，以及來自 §2.2, 第 1 段和定理 3.1（§3.4.1, 第 1 和 5 段）的樹狀黏合/恢復工具包；Reality as a Consensus Protocol (r1378) 在引言第 1-3 段和定理 3.5（§3, 第 9 段）中給出了專用的共識通道。

OPH 機制建議的其他方向

觀測者-區塊全息術 (OPH) 將現實本身建模為重疊的、主觀的觀測者視角之間的共識。這使其成為真實共識工程想法的豐富來源，直接從自然界中借鑒。

修復預算。 近似恢復加樹狀黏合為局部缺陷累積提供了預算。收益：更好的獲取/調度決策，減少在不可恢復的部分狀態上浪費的工作。參見 OAAYN (r1378) §2.2, 第 1 段和定理 3.1（§3.4.1, 第 5 段）。

重疊定尺寸。 指數缺陷界限建議根據目標缺陷預算選擇分隔符寬度，而非根據啟發式方法。收益：在相同的可靠性目標下，降低重疊負載、見證流量和證明者工作量。參見 OAAYN (r1378) §2.3, 第 37-38 段和 §5.9, 第 7-10 段。

障礙審計。 樹/環和上閉鏈視角建議檢查去中心化合併計劃中的環障礙和路徑依賴。收益：更好的正確性和可審計性，加上更早的故障檢測和更緊湊的不一致證書。參見 OAAYN (r1378) 引理 3.2b（§3.4.2, 第 4 段）。

拓撲調優。 局部 Gibbs / MaxEnt 視角建議根據顯式的局部成本選擇樹形狀、重疊寬度和聚合者位置。收益：在固定安全目標下降低延遲、頻寬和證明成本。參見 OAAYN (r1378) §2.3, 第 31-42 段。

即時障礙監控。 循環障礙定理建議使用分隔符承諾作為局部輸入數據，持續審計即時聚合圖。收益：在分叉實際形成之前，當網路正朝向易分叉形狀漂移時發出更早的警告。參見 Reality as a Consensus Protocol (r1378) 定理 4.1（§4, 第 2 段；證明見 §4, 第 3-4 段）。