Nový článek od našeho týmu. Post-kvantové HD peněženky s plně nezpevněným odvozením veřejného klíče. Peněženky pouze pro sledování, xpuby, hierarchická správa klíčů atd. – vše s prokazatelnou bezpečností za standardních mřížkových předpokladů. Nekalená derivace BIP32 závisí na lineární algebře eliptických křivek. Přidáte offset k rodičovskému veřejnému klíči a získáte platný podřízený veřejný klíč. Postkvantová mřížková schémata to narušují dvěma způsoby. Některá schémata obcházejí své veřejné klíče během generování klíčů, což ničí linearitu. A i bez zaokrouhlování každé odvození přidává šum, který mění statistický profil odvozených klíčů a narušuje nespojitelnost. V této práci jsme postavili dvě stavby. První používá ML-DSA pro odvození pouze s hardened a plnými bezpečnostními důkazy. Druhá, hlavní výsledek, používá Raccoon-G, variantu Raccoonu s Gaussovsky distribuovanými tajemstvími. Přeskakujeme krok zaokrouhlování a zveřejňujeme celý veřejný klíč, abychom zachovali linearitu. Navíc jsou Gaussovy funkce stabilní při sčítání, takže odvozené klíče zůstávají ve stejné distribuční rodině jako čerstvé. To vám dává nekalenou derivaci s dokazatelnou nevazitelností a nefalšovatelností podle standardních mřížkových předpokladů. Nevýhodou jsou větší klíče a podpisy a omezená hloubka odvození. V praxi není depth bound, protože skutečné struktury peněženek jako BIP44 používají nehardened derivaci pouze pro poslední dvě úrovně. Obě konstrukce jsme implementovali v Rustu. Níže najdete článek a Github.

S úctou, Saylor se v kvantovém otázce mýlí. Konkrétně se mýlí ve čtyřech tvrzeních (zaměřuji se jen na technické). Nechte mě projít každou z nich. Tvrzení 1: Konsenzus komunity kybernetické bezpečnosti je, že kvantové technologie nejsou hrozbou na příštích 10 let, a proto není potřeba žádná okamžitá akce. Takový konsenzus neexistuje. Opak je pravdou: každý hlavní orgán pro národní bezpečnost a standardy na světě aktivně nařizuje postkvantovou migraci právě teď, protože samotné migrace trvají deset let nebo déle. NSA CNSA 2.0 vyžaduje, aby všechny nové systémy národní bezpečnosti byly kvantově bezpečné před rokem 2035, přičemž většina této práce bude provedena v následujících pěti letech. NIST zveřejnil finální standardy PQC (ML-KEM, ML-DSA, SLH-DSA) v srpnu 2024 a vydal IR 8547, který stanovil cíl ukončit všechny kvantově zranitelné algoritmy s veřejným klíčem po roce 2030 a zcela je zakázat do roku 2035. UK NCSC stanovila migrační milníky pro roky 2028, 2031 a 2035. Nejde o odpovědi na vzdálenou hypotetickou situaci. Jedná se o programy s termíny pro dodržování předpisů, protože organizace, které je stanovily, dospěly k závěru, že začít nyní je sotva dost brzy. Historicky trvalo dlouho od chvíle, kdy byl nový algoritmus standardizován, až do jeho úplné integrace do informačních systémů. Minulé kryptografické migrace to potvrzují. Zrušení SHA-1 trvalo asi 7 let. Migrace AES trvala přibližně 5 let. Nasazení TLS 1.3 trvalo 3–5 let, přestože přineslo jasné výkonnostní výhody. NIST již dospěl k závěru, že migrace z PQC je zásadně složitější než jakýkoli z těchto precedentů. Argument o časové ose zcela ignoruje princip sklizeň a dešifrování později. Protivníci dnes sbírají šifrovaná data pro budoucí dešifrování. Federální rezervní systém USA zveřejnil analýzu tohoto tématu v září 2025, přičemž použil Bitcoin jako případovou studii. Hrozba je už aktivní. Tvrzení 2: Když zasáhne kvantum, vše se upgraduje; banky, internet, obrana, Bitcoin. Internet už se modernizuje. Do prosince 2025 52 % lidského webového provozu na Cloudflare využívalo postkvantovou výměnu klíčů, což je téměř dvojnásobek oproti 29 % na začátku roku. Chrome dodává ML-KEM pro TLS. Apple povolil PQ TLS v iOS 26. OpenSSH je od verze 9.0 standardně na post-kvantové dohodě o klíčích. Signal má postkvantové šifrování. AWS a Google Cloud podporují PQC ve svých produktech KMS. Apple přidal ML-DSA a ML-KEM do CryptoKit jako produkční API. Banky a platební sítě jsou centralizované. Visa posílá aktualizaci firmwaru nebo SWIFT mění specifikaci protokolu. TLS upgrady jsou pro koncové uživatele neviditelné (pokud používáte Chrome, používáte TLS verzi, která podporuje post-quantum, a ani jste o tom nevěděli). Tyto systémy mohou a budou migrovat, aniž by jejich zákazníci cokoli dělali. Bitcoin to nedokáže. Bitcoin vyžaduje fork s globálním decentralizovaným konsensem. Migrace podpisu PQC je jednoznačně obtížnější než předchozí forky: podpisy ML-DSA-44 mají 2 420 bajtů oproti 64 bajtům u Schnorru, což je 38násobné zvýšení a překonání stávající ekonomiky váhy Bitcoinu v SegWitu, limitů zásobníku skriptů (maximum 520 bajtů) a předpokladů šíření transakcí. Jeden podpis ML-DSA-44 plus veřejný klíč je několikanásobně větší než celková dnešní typická jednovstupová výdajová P2WPKH. BIP-360 a QBIP existují jako (skvělé) návrhy. Bohužel ani jeden z nich nemá časový plán aktivace. Migrace podnikových PQC je mnohem jednodušší. Jedná se o organizace s výkonnou pravomocí nařizovat změny, vyhrazené bezpečnostní týmy a zavedené procesy nákupu. Bitcoin nemá nic z toho. Správa blockchainu je strukturálně pomalejší než centralizovaná správa. Rámování "vše se upgraduje společně" také ignoruje trvale odhalený problém s klíčem. Když banky aktualizují TLS, staré relace nejsou důležité, byly pomíjivé. Když Bitcoin upgraduje, ~6,9 milionu BTC s již vystavenými veřejnými klíči v neměnné knize stále leží. Nemůžete zveřejnit veřejný klíč z blockchainu. Tyto mince musí být jejich majiteli aktivně přesouvány na nové kvantově bezpečné adresy. Přibližně 1,72 milionu BTC na P2PK adresách, včetně Satoshiho odhadovaných 1,1 milionu BTC, je pravděpodobně trvale vystaveno, protože soukromé klíče jsou ztraceny. Neexistuje bankovní ekvivalent tohoto. Banky nevedou veřejný, trvalý a neměnný záznam o autentizačních klíčích každého zákazníka za posledních 17 let. Tvrzení 3: Digitální aktiva mají nejpokročilejší kryptografickou bezpečnost; Více než bankovnictví, kreditní karty, akcie atd To zaměňuje nedůvěru s kryptografickou silou. Nejsou to stejná nemovitost. Bitcoin používá ECDSA místo secp256k1. TLS připojení vaší banky používá ECDHE přes P-256 nebo X25519. Jedná se o stejnou třídu kryptografických primitivních schémat s eliptickými křivkami, jejichž bezpečnost spočívá v obtížnosti problému diskrétního logaritmu. Shorsův algoritmus obě poruchy rozbije stejně. Ani jeden není "pokročilejší" než druhý. Co se liší, je to, co nazýváme architekturou obrany do hloubky kolem tohoto primitiva. Transakce tap-to-pay kreditní kartou zahrnuje: TLS s dočasnou výměnou klíčů, EMV čip s hardwarově omezenými klíči v certifikovaném zabezpečeném prvku, tokenizaci, aby obchodník nikdy neviděl skutečné číslo karty, rotaci klíčů na základě relace, detekci podvodů, možnost obrácení transakcí a regulační pojištění. Bitcoinová transakce zahrnuje: jeden podpis ECDSA. To je celá autorizační vrstva. Žádné oddělení pro podvody, žádné chargebacky, žádná vrstva ověřování identity, která by dokázala odlišit legitimního vlastníka od kvantového útočníka držícího stejný odvozený soukromý klíč. Jakmile je padělaný podpis přijat konsenzem, převod je nevratný. Systémy, které Saylor popisuje jako méně bezpečné, ve skutečnosti již nasazují postkvantové ochrany, které Bitcoin ještě nezačal. Mohou to dělat, protože jsou centralizovaní. Decentralizace Bitcoinu, jeho základní hodnotová nabídka, je právě to, co činí jeho kvantovou migraci obtížnější, pomalejší a pozdější než všechny systémy, které s ním srovnával. Tvrzení 4: Kryptokomunita bude první, kdo hrozbu rozpozná a zareaguje. To předpokládá, že CRQC bude veřejně oznámeno. Protivníci národních států nemají žádnou motivaci zveřejňovat kvantovou schopnost. Celá inteligence CRQC spočívá v tom, že nikdo neví, že ho máte. Sklízíte tiše, dešifrujete potichu, tiše vykořisťujete. Jak by vypadalo "odhalování" na Bitcoinu? Kvantový útočník nevyužije chybu, neobchází firewall ani nekompromituje server. Produkují platné podpisy, které nejsou k nerozlišení od legitimního vlastníka, protože matematicky drží stejný klíč. Pokud útočník začne vyčerpávat P2PK adresy, každá krádež je správně podepsaná transakce. Pro Bitcoin blockchain neexistuje žádný systém detekce průniků. Transakce jsou platné, nebo nejsou. Než si někdo všimne vzorce mezi tisíci UTXO, škoda je už napáchaná a nevratná. A empirický záznam přímo odporuje tvrzení "první, kdo se pohne". Současný stav připravenosti: jeden BIP bez časového limitu aktivace, probíhající debata o tom, zda zmrazit Satoshiho mince, a kvantově zranitelný povrch expozice, který jen roste. Expozice roste, nikoli klesá, protože opětovné použití adres stále více přidává BTC do zranitelné skupiny. Mezitím zbytek internetu už nasadil PQC miliardám uživatelů, aniž by si toho někdo všiml. Kde to skutečně stojí Udržujeme Bitcoin Risq List, open-source, průběžně aktualizovaný tracker kvantově zranitelného Bitcoinu na úrovni adres. K výšce bloku 936 882 (únor 2026): přibližně 6,9 milionu BTC na 13,9 milionu adres bylo vystaveno veřejným klíčům. Solana je stoprocentně zranitelná vůči kvantovým faktorům, protože jejich adresová struktura odhaluje plný veřejný klíč. Analýza Deloitte zjistila, že 65 % Etherea je na kvantově zranitelných účtech. Internet zahájil svůj postkvantový přechod v roce 2022. Národní bezpečnostní systémy mají povinnost dodržovat předpisy pro rok 2027. NIST si klade za cíl zastarávat a zakazovat všechny kvantově zranitelné algoritmy s veřejným klíčem ještě před rokem 2035. Blockchainový průmysl, který přímo chrání hodnotu nositele přesně těmi kryptografickými primitivy, které kvantový počítač rozbije, má BIP a debatu. Otázkou není, zda quantum představuje hrozbu pro digitální aktiva. Jde o to, zda průmysl začne migraci dříve, než se okno uzavře. Rozdíl mezi tempem přijímání PQC na internetu a tempem blockchainového průmyslu není rozdílem v povědomí. Je to mezera v naléhavosti a co je důležité, ta mezera se nepřekračuje tvrzením, že hrozba neexistuje.