Nový článek od našeho týmu. Post-kvantové HD peněženky s plně nezpevněným odvozením veřejného klíče. Peněženky pouze pro sledování, xpuby, hierarchická správa klíčů atd. – vše s prokazatelnou bezpečností za standardních mřížkových předpokladů. Nekalená derivace BIP32 závisí na lineární algebře eliptických křivek. Přidáte offset k rodičovskému veřejnému klíči a získáte platný podřízený veřejný klíč. Postkvantová mřížková schémata to narušují dvěma způsoby. Některá schémata obcházejí své veřejné klíče během generování klíčů, což ničí linearitu. A i bez zaokrouhlování každé odvození přidává šum, který mění statistický profil odvozených klíčů a narušuje nespojitelnost. V této práci jsme postavili dvě stavby. První používá ML-DSA pro odvození pouze s hardened a plnými bezpečnostními důkazy. Druhá, hlavní výsledek, používá Raccoon-G, variantu Raccoonu s Gaussovsky distribuovanými tajemstvími. Přeskakujeme krok zaokrouhlování a zveřejňujeme celý veřejný klíč, abychom zachovali linearitu. Navíc jsou Gaussovy funkce stabilní při sčítání, takže odvozené klíče zůstávají ve stejné distribuční rodině jako čerstvé. To vám dává nekalenou derivaci s dokazatelnou nevazitelností a nefalšovatelností podle standardních mřížkových předpokladů. Nevýhodou jsou větší klíče a podpisy a omezená hloubka odvození. V praxi není depth bound, protože skutečné struktury peněženek jako BIP44 používají nehardened derivaci pouze pro poslední dvě úrovně. Obě konstrukce jsme implementovali v Rustu. Níže najdete článek a Github.