Uusi paperi tiimiltämme. Post-quantum HD -lompakot, joissa on täysi ei-vahvistettu julkisen avaimen johdannainen. Vain kelloon tarkoitetut lompakot, xpubit, hierarkkinen avainhallinta jne., kaikki todistettavissa olevalla turvallisuudella standardin hilaoletuksen puitteissa. BIP32:n kovettamaton johtaminen riippuu elliptisten käyrien lineaarialgebrasta. Lisäät offsetin vanhempien julkiseen avaimeen ja saat kelvollisen lapsijulkisen avaimen. Post-kvanttihilamenetelmät rikkovat tämän kahdella tavalla. Jotkut järjestelmät kiertävät julkisia avaimia avainten generoinnin aikana, mikä tuhoaa lineaarisuuden. Ja vaikka pyöristystä ei olisi, jokainen johdos lisää kohinaa, joka muuttaa johdettujen avainten tilastollista profiilia, rikkoen yhdistämiskyvyn. Tässä työssä rakensimme kaksi rakennusta. Ensimmäinen käyttää ML-DSA:ta vain vahvistettuun johdannaiseen ja sisältää täydelliset turvallisuustodistukset. Toinen, päätulos, käyttää Raccoon-G:tä, Raccoonin muunnelmaa, jolla on Gaussin jakamat salaisuudet. Ohitamme pyöristysvaiheen ja julkaisemme koko julkisen avaimen lineaarisuuden säilyttämiseksi. Lisäksi Gaussin avaimet ovat vakaita yhteenlaskun suhteen, joten johdetut avaimet pysyvät samassa jakaumaperheessä kuin tuoreet. Se antaa sinulle ei-kovetetun johdannan, jossa on todistettavissa oleva irrottautuvuus ja väärentämättömyys standardin hilaoletusten mukaan. Vaihtokauppana ovat suuremmat sävellajit ja allekirjoitukset sekä rajoitettu johdannastie syvyys. Käytännössä syvyysraja ei ole rajoittava, koska todelliset lompakkorakenteet kuten BIP44 käyttävät viimeisille kahdelle tasolle vain ei-kovettunutta johdannasta. Toteutimme molemmat rakenteet Rustissa. Paper ja Github alla.

Kunnioittavasti, Saylor on väärässä tässä kvantissa. Tarkemmin sanottuna hän on väärässä neljässä väitteessä (keskityn vain teknisiin). Käyn jokaisen läpi. Väite 1: Kyberturvallisuusyhteisön yksimielisyys on, että kvantti ei ole uhka seuraavaan kymmeneen vuoteen, joten välittömiä toimenpiteitä ei tarvita. Sellaista yksimielisyyttä ei ole. Päinvastoin on totta: jokainen merkittävä kansallisen turvallisuuden ja standardien viranomainen maailmassa määrää aktiivisesti kvanttimuuttoliikkeen jälkeen, koska muuttoliikkeet itsessään kestävät vuosikymmenen tai enemmän. NSA:n CNSA 2.0 edellyttää, että kaikki uudet kansallisen turvallisuuden järjestelmät ovat kvanttiturvallisia ennen vuotta 2035, ja suurin osa tästä työstä tehdään seuraavan viiden vuoden aikana. NIST julkaisi lopulliset PQC-standardit (ML-KEM, ML-DSA, SLH-DSA) elokuussa 2024 ja julkaisi IR 8547:n, jossa asetetaan tavoitteeksi poistaa kaikki kvanttiin haavoittuvat julkisen avaimen algoritmit vuoden 2030 jälkeen ja kieltää ne kokonaan vuoteen 2035 mennessä. Yhdistyneen kuningaskunnan NCSC asetti muuttoliikkeen virstanpylväät vuosille 2028, 2031 ja 2035. Nämä eivät ole vastauksia kaukaiseen hypoteesiin. Nämä ovat ohjelmia, joilla on vaatimustenmukaisuuden määräajat, koska ne asettaneet organisaatiot ovat todenneet, että aloittaminen nyt on juuri ja juuri tarpeeksi aikaista. Historiallisesti uuden algoritmin standardisoimisesta on kestänyt kauan siihen hetkeen, kun se on täysin integroitu tietojärjestelmiin. Aiemmat kryptografiset siirrot vahvistavat tämän. SHA-1:n poisto kesti noin 7 vuotta. AES:n siirtyminen kesti noin 5 vuotta. TLS 1.3:n käyttöönotto kesti 3–5 vuotta, vaikka se tarjosi selkeitä suorituskykyetuja. NIST on jo todennut, että PQC-siirtymä on pohjimmiltaan monimutkaisempaa kuin mikään näistä ennakkotapauksista. Aikajanan argumentti sivuuttaa kokonaan harvest-now-purka-myöhemmin -kysymyksen. Vastustajat keräävät tänään salattua dataa tulevaa purkua varten. Yhdysvaltain keskuspankki julkaisi tästä analyysin syyskuussa 2025, käyttäen Bitcoinia tapaustutkimuksena. Uhka on jo aktiivinen. Väite 2: Kun kvantti iskee, kaikki päivittyy; pankit, internet, puolustus, Bitcoin. Internet on jo päivittymässä. Joulukuuhun 2025 mennessä 52 % Cloudflaren ihmisten verkkoliikenteestä käytti post-quantum key exchangea, lähes kaksinkertaistuen vuoden alun 29 %:sta. Chrome toimittaa ML-KEM:n TLS:lle. Apple otti PQ TLS:n käyttöön iOS 26:ssa. OpenSSH on oletuksena siirtynyt post-quantum key -sopimukseen versiosta 9.0 lähtien. Signalilla on postkvanttisalaus. AWS ja Google Cloud tukevat PQC:tä KMS-tuotteissaan. Apple lisäsi ML-DSA:n ja ML-KEM:n CryptoKitiin tuotantorajapintoina. Pankit ja maksuverkot ovat keskitettyjä. Visa julkaisee laiteohjelmistopäivityksen tai SWIFT muuttaa protokollan spesifikaatiota. TLS-päivitykset ovat loppukäyttäjille näkymättömiä (jos käytät Chromea, käytät TLS-versiota, joka tukee post-quantumia, etkä edes tiennyt). Nämä järjestelmät voivat ja tulevat siirtymään ilman, että heidän asiakkaansa tekevät mitään. Bitcoin ei pysty tähän. Bitcoin vaatii haarautun, jossa on globaali hajautettu konsensus. PQC-allekirjoituksen migraatio on kategorisesti vaikeampaa kuin aiemmat haarautumat: ML-DSA-44:n allekirjoitukset ovat 2 420 tavua verrattuna Schnorrin 64 tavuun, mikä on 38-kertainen lisäys ja rikkoo Bitcoinin olemassa olevan SegWit-painotalouten, skriptipinon rajat (maksimissaan 520 tavua) ja transaktioiden etenemisoletukset. Yksi ML-DSA-44-allekirjoitus plus julkinen avain on useita kertoja suurempi kuin nykyinen tavallinen yksisyötteinen P2WPKH-kulutus. BIP-360 ja QBIP ovat olemassa (erinomaisina) ehdotuksina. Valitettavasti kummallakaan ei ole aktivointiaikataulua. Yritysten PQC-migraatio on paljon helpompaa. Nämä ovat organisaatioita, joilla on toimeenpanovalta määrätä muutoksia, omistautuneet tietoturvatiimit ja vakiintuneet hankintaprosessit. Bitcoinilla ei ole mitään näistä. Lohkoketjun hallinta on rakenteellisesti hitaampaa kuin keskitetty hallinto. "Kaikki päivittyy yhdessä" -kehys sivuuttaa myös pysyvästi paljastetun näppäimen ongelman. Kun pankit päivittävät TLS:ää, vanhat istunnot eivät merkitse mitään, ne olivat katoavaisia. Kun Bitcoin päivittyy, ~6,9 miljoonaa BTC:tä, joilla on jo paljastuneet julkiset avaimet muuttumattomassa tilikirjassa, ovat yhä paikallaan. Et voi poistaa julkista avainta lohkoketjusta. Nämä kolikot täytyy aktiivisesti siirtää omistajien toimesta uusiin kvanttiturvallisiin osoitteisiin. Noin 1,72 miljoonaa BTC:tä P2PK-osoitteissa, mukaan lukien Satoshin arviolta 1,1 miljoonaa BTC, on todennäköisesti pysyvästi paljastettu, koska yksityiset avaimet katoavat. Pankkitoiminnassa ei ole vastaavaa pankkitoimintaa. Pankit eivät pidä julkista, pysyvää ja muuttumatonta rekisteriä jokaisen asiakkaan todennusavaimesta 17 vuoden ajalta. Väite 3: Digitaalisilla omaisuuserillä on kehittynein kryptografinen turvallisuus; enemmän kuin pankki, luottokortit, osakkeet jne Tämä sekoittaa luottamuksettomuuden kryptografiseen voimaan. Ne eivät ole sama omaisuus. Bitcoin käyttää ECDSA:ta secp256k1:n sijaan. Pankkisi TLS-yhteys käyttää ECDHE:tä P-256:n tai X25519:n kautta. Nämä ovat samaa kryptografisten primitiivisten, elliptisten käyräkaavioiden luokkaa, joiden turvallisuus perustuu diskreetin logaritmiongelman kovuuteen. Shors-algoritmi rikkoo molemmat identtisesti. Kumpikaan ei ole "edistyneempi" kuin toinen. Eroa on se, mitä kutsumme syvälliseksi puolustusarkkitehtuuriksi tämän primitiivisen ympärillä. Luottokortin tap-to-pay -tapahtuma sisältää: TLS:ää ja väliaikaista avainvaihtoa, EMV-sirua, jossa on laitteistoon sidotut avaimet sertifioidussa suojatussa elementissä, tokenisoinnin, jotta kauppias ei koskaan näe oikeaa korttinumeroa, istuntoon perustuvan avaimen kiertoa, petosten havaitsemisen, transaktioiden peruutusmahdollisuuden sekä sääntelyvakuutuksen. Bitcoin-tapahtuma sisältää: yhden ECDSA-allekirjoituksen. Se on koko valtuutuskerros. Ei petososastoa, ei takaisinveloitusta, ei henkilöllisyyden varmistuskerrosta, joka erottaisi laillisen omistajan kvanttihyökkääjästä, jolla on sama johdettu yksityisavain. Kun väärennetty allekirjoitus hyväksytään yksimielisesti, siirto on peruuttamaton. Järjestelmät, joita Saylor kuvailee vähemmän turvallisiksi, ottavat itse asiassa jo käyttöön post-kvanttisuojauksia, joita Bitcoin ei ole vielä aloittanut. He voivat tehdä tämän, koska ne ovat keskitettyjä. Bitcoinin hajauttaminen, sen ydinarvolupaus, on juuri se, mikä tekee sen kvanttimigraatiosta vaikeampaa, hitaampaa ja myöhempää kuin kaikissa järjestelmissä, joihin hän sitä vertasi. Väite 4: Kryptoyhteisö on ensimmäinen, joka havaitsee uhan ja toimii. Tämä edellyttää, että CRQC julkistetaan julkisesti. Kansallisvaltiovastustajilla ei ole mitään kannustinta paljastaa kvanttikykyä. CRQC:n koko älykkyysarvo on se, ettei kukaan tiedä, että sinulla on se. Satut hiljaa, purat salauksen, hyväksikäytät hiljaa. Miltä "sen havaitseminen" näyttäisi Bitcoinissa? Kvanttihyökkääjä ei hyödynnä bugia, kierrä palomuuria tai vaaranna palvelinta. Ne tuottavat päteviä allekirjoituksia, joita ei voi erottaa laillisesta omistajasta, koska matemaattisesti niillä on sama avain. Jos hyökkääjä alkaa tyhjentää P2PK-osoitteita, jokainen varkaus on oikein allekirjoitettu tapahtuma. Bitcoin-lohkoketjulla ei ole tunkeutumisen tunnistusjärjestelmää. Tapahtumat ovat päteviä tai eivät. Siihen mennessä, kun joku huomaa kaavan tuhansissa UTXO:issa, vahinko on jo tapahtunut ja peruuttamaton. Ja empiirinen aineisto on suoraan ristiriidassa väitteen "ensimmäisenä liikkeelle" -väitteen. Nykyinen valmiustila: yksi PIP ilman aktivointiaikataulua, jatkuva keskustelu siitä, pitäisikö Satoshin kolikot jäädyttää, ja kvanttialttiin altistumispinta, joka vain kasvaa. Altistus kasvaa, ei vähene, koska osoitteen uudelleenkäyttö lisää yhä enemmän BTC:tä haavoittuvaan joukkoon. Samaan aikaan muu internet on jo ottanut PQC:n käyttöön miljardeille käyttäjille ilman, että kukaan huomaa sitä. Missä asiat oikeasti ovat Ylläpidämme Bitcoin Risq List -listaa, joka on avoimen lähdekoodin ja jatkuvasti päivittyvä kvanttihaavoittuvuuden Bitcoinin seuranta osoitetasolla. Lohkokorkeuden 936 882 (helmikuu 2026) mukaan: noin 6,9 miljoonaa BTC:tä 13,9 miljoonassa osoitteessa on paljastanut julkiset avaimet. Solana on 100 % kvanttihaavoittuvainen, sillä heidän osoiterakenteensa paljastaa koko julkisen avaimen. Deloitten analyysin mukaan 65 % Ethereumista on kvanttihavoittuvilla tileillään. Internet aloitti post-kvanttisiirtymänsä vuonna 2022. Kansallisilla turvallisuusjärjestelmillä on vuoden 2027 vaatimustenmukaisuusmääräys. NIST tavoittelee kaikkien kvanttihaavoittuvien julkisen avaimen algoritmien käytöstä poistamista ja kieltämistä hyvissä ajoin ennen vuotta 2035. Lohkoketjuteollisuus, joka suojaa kantaja-arvoa juuri niillä kryptografisilla primitiiveillä, joita kvanttitietokone rikkoo, käy läpi BIP:n ja keskustelun. Kysymys ei ole siitä, onko kvanttiteknologia uhka digitaalisille omaisuuserilleen. Kyse on siitä, aloittaako ala siirtymänsä ennen kuin ikkuna sulkeutuu. Internetin PQC:n käyttöönoton vauhdin ja lohkoketjuteollisuuden vauhdin välinen ero ei ole tietoisuuden puute. Kyse on kiireellisyyden puutteesta, ja mikä tärkeintä, kuilua ei kavenneta väittämällä, ettei uhkaa ole olemassa.