Nuovo documento dal nostro team. Wallet HD post-quantum con derivazione della chiave pubblica non indurita. Wallet in sola visione, xpubs, gestione gerarchica delle chiavi, ecc. tutto con sicurezza dimostrabile sotto assunzioni standard di reticolo. La derivazione non indurita BIP32 dipende dall'algebra lineare delle curve ellittiche. Aggiungi un offset a una chiave pubblica genitore e ottieni una chiave pubblica figlia valida. Gli schemi di reticolo post-quantum rompono questo in due modi. Alcuni schemi arrotondano le loro chiavi pubbliche durante la generazione delle chiavi, il che distrugge la linearità. E anche senza arrotondamento, ogni derivazione aggiunge rumore che cambia il profilo statistico delle chiavi derivate, rompendo l'unlinkability. In questo lavoro, abbiamo costruito due costruzioni. La prima utilizza ML-DSA per la derivazione solo indurita con prove di sicurezza complete. La seconda, il risultato principale, utilizza Raccoon-G, una variante di Raccoon con segreti distribuiti gaussiani. Saltiamo il passaggio di arrotondamento e pubblichiamo la chiave pubblica completa per preservare la linearità. Inoltre, i gaussiani sono stabili sotto addizione, quindi le chiavi derivate rimangono nella stessa famiglia distribuzionale di quelle fresche. Questo ti offre una derivazione non indurita con unlinkability e non falsificabilità dimostrabili sotto assunzioni standard di reticolo. Il compromesso sono chiavi e firme più grandi, e una profondità di derivazione limitata. In pratica, il limite di profondità non è restrittivo poiché le strutture di wallet reali come BIP44 utilizzano solo la derivazione non indurita per gli ultimi due livelli comunque. Abbiamo implementato entrambe le costruzioni in Rust. Documento e Github qui sotto.

Rispetto a Saylor, qui è in errore riguardo al quantum. In particolare, è in errore su quattro affermazioni (mi concentrerò solo su quelle tecniche). Permettetemi di esaminare ciascuna di esse. Affermazione 1: Il consenso della comunità di sicurezza informatica è che il quantum non rappresenta una minaccia per i prossimi 10 anni e quindi non è necessaria alcuna azione immediata. Non esiste tale consenso. Il contrario è vero: ogni principale ente di sicurezza nazionale e di standardizzazione nel mondo sta attivamente imponendo la migrazione post-quantum in questo momento, perché le migrazioni stesse richiedono un decennio o più. La NSA CNSA 2.0 richiede che tutti i nuovi sistemi di sicurezza nazionale siano sicuri per il quantum entro il 2035, con la maggior parte di quel lavoro da svolgere nei prossimi 5 anni. Il NIST ha pubblicato standard PQC finalizzati (ML-KEM, ML-DSA, SLH-DSA) nell'agosto 2024 e ha rilasciato l'IR 8547 fissando un obiettivo per deprecare tutti gli algoritmi a chiave pubblica vulnerabili al quantum dopo il 2030 e vietarli completamente entro il 2035. Il NCSC del Regno Unito ha fissato traguardi di migrazione per il 2028, 2031 e 2035. Questi non sono risposte a un'ipotetica lontana. Questi sono programmi con scadenze di conformità perché le organizzazioni che li hanno stabiliti hanno concluso che iniziare ora è appena sufficiente. Storicamente, ci è voluto molto tempo dal momento in cui un nuovo algoritmo viene standardizzato fino a quando non è completamente integrato nei sistemi informativi. Le migrazioni crittografiche passate lo confermano. La deprecazione di SHA-1 ha richiesto circa 7 anni. La migrazione a AES ha richiesto circa 5 anni. Il rollout di TLS 1.3 ha richiesto 3-5 anni nonostante offrisse chiari vantaggi in termini di prestazioni. Il NIST ha già concluso che la migrazione PQC è fondamentalmente più complessa di qualsiasi di questi precedenti. L'argomento della tempistica ignora completamente il raccolto-ora-decripta-dopo. Gli avversari stanno raccogliendo dati crittografati oggi per la decrittazione futura. La Federal Reserve degli Stati Uniti ha pubblicato un'analisi su questo nel settembre 2025, utilizzando Bitcoin come caso studio. La minaccia è già attiva. Affermazione 2: Quando il quantum colpirà, tutto si aggiornerà; banche, internet, difesa, Bitcoin. L'internet si sta già aggiornando. Il 52% del traffico web umano su Cloudflare ha utilizzato lo scambio di chiavi post-quantum entro dicembre 2025, quasi raddoppiando dal 29% all'inizio dell'anno. Chrome include ML-KEM per TLS. Apple ha abilitato PQ TLS in iOS 26. OpenSSH ha impostato come predefinito l'accordo di chiavi post-quantum dalla versione 9.0. Signal ha crittografia post-quantum. AWS e Google Cloud supportano PQC nei loro prodotti KMS. Apple ha aggiunto ML-DSA e ML-KEM a CryptoKit come API di produzione. Le banche e le reti di pagamento sono centralizzate. Visa spinge un aggiornamento del firmware o SWIFT cambia una specifica di protocollo. Gli aggiornamenti TLS sono invisibili per gli utenti finali (se usi Chrome, utilizzi una versione TLS che supporta il post-quantum e nemmeno lo sapevi). Questi sistemi possono e migreranno senza che i loro clienti facciano nulla. Bitcoin non può fare questo. Bitcoin richiede un fork con consenso decentralizzato globale. Una migrazione della firma PQC è categoricamente più difficile rispetto ai fork precedenti: le firme ML-DSA-44 sono 2.420 byte rispetto ai 64 byte per Schnorr, un aumento di 38 volte che rompe l'economia del peso esistente di SegWit di Bitcoin, i limiti dello stack di Script (massimo 520 byte) e le assunzioni di propagazione delle transazioni. Una singola firma ML-DSA-44 più la chiave pubblica è diverse volte più grande di un'intera spesa tipica a singolo input P2WPKH oggi. BIP-360 e QBIP esistono come proposte (ottime). Sfortunatamente, nessuna ha una tempistica di attivazione. La migrazione PQC per le imprese è molto più facile. Queste sono organizzazioni con autorità esecutiva per imporre cambiamenti, team di sicurezza dedicati e processi di approvvigionamento consolidati. Bitcoin non ha nessuna di queste cose. La governance della blockchain è strutturalmente più lenta della governance centralizzata. Il quadro "tutto si aggiorna insieme" ignora anche il problema della chiave permanentemente esposta. Quando le banche aggiornano TLS, le vecchie sessioni non contano, erano effimere. Quando Bitcoin si aggiorna, i ~6,9 milioni di BTC con chiavi pubbliche già esposte nel libro mastro immutabile sono ancora lì. Non puoi dispubblicare una chiave pubblica da una blockchain. Quei coin devono essere attivamente spostati dai loro proprietari a nuovi indirizzi sicuri per il quantum. Circa 1,72 milioni di BTC in indirizzi P2PK, inclusi i 1,1 milioni di BTC stimati di Satoshi, sono probabilmente permanentemente esposti perché le chiavi private sono perse. Non esiste un equivalente bancario a questo. Le banche non mantengono un record pubblico, permanente e immutabile di ogni chiave di autenticazione dei clienti risalente a 17 anni. Affermazione 3: Gli asset digitali hanno la sicurezza crittografica più avanzata; più delle banche, delle carte di credito, delle azioni, ecc. Questo confonde l'assenza di fiducia con la forza crittografica. Non sono la stessa proprietà. Bitcoin utilizza ECDSA su secp256k1. La connessione TLS della tua banca utilizza ECDHE su P-256 o X25519. Questi sono la stessa classe di primitive crittografiche, schemi a curva ellittica la cui sicurezza si basa sulla difficoltà del problema del logaritmo discreto. L'algoritmo di Shor rompe entrambi in modo identico. Nessuno è "più avanzato" dell'altro. Ciò che differisce è ciò che chiamiamo l'architettura di difesa in profondità attorno a quella primitiva. Una transazione di pagamento con carta di credito implica: TLS con scambio di chiavi effimere, un chip EMV con chiavi legate all'hardware in un elemento sicuro certificato, tokenizzazione in modo che il commerciante non veda mai il numero reale della carta, rotazione delle chiavi basata su sessione, rilevamento delle frodi, capacità di annullamento delle transazioni e assicurazione normativa. Una transazione Bitcoin implica: una firma ECDSA. Questo è l'intero strato di autorizzazione. Nessun dipartimento antifrode, nessun rimborso, nessun strato di verifica dell'identità che possa distinguere un legittimo proprietario da un attaccante quantistico che detiene la stessa chiave privata derivata. Una volta che una firma contraffatta è accettata dal consenso, il trasferimento è irreversibile. I sistemi che Saylor descrive come meno sicuri stanno, di fatto, già implementando protezioni post-quantum che Bitcoin non ha ancora iniziato. Possono farlo perché sono centralizzati. La decentralizzazione di Bitcoin, la sua proposta di valore fondamentale, è precisamente ciò che rende la sua migrazione quantistica più difficile, più lenta e successiva rispetto a ogni sistema con cui lo ha confrontato. Affermazione 4: La comunità crypto sarà la prima a individuare la minaccia e a muoversi. Questo presuppone che un CRQC sarà annunciato pubblicamente. Gli avversari statali non hanno alcun incentivo a rivelare una capacità quantistica. L'intero valore di intelligence di un CRQC è che nessuno sa che lo possiedi. Raccogli silenziosamente, decripta silenziosamente, sfrutta silenziosamente. Cosa significherebbe "individuarlo" su Bitcoin? Un attaccante quantistico non sfrutta un bug, bypassa un firewall o compromette un server. Producono firme valide indistinguibili da quelle del legittimo proprietario, perché matematicamente, detengono la stessa chiave. Se un attaccante inizia a drenare indirizzi P2PK, ogni furto è una transazione correttamente firmata. Non esiste un sistema di rilevamento delle intrusioni per la blockchain di Bitcoin. Le transazioni sono valide o non lo sono. Quando qualcuno nota un modello attraverso migliaia di UTXO, il danno è fatto e irreversibile. E il record empirico contraddice direttamente l'affermazione "primo a muoversi". L'attuale stato di preparazione: un BIP senza tempistica di attivazione, un dibattito in corso su se congelare i coin di Satoshi e una superficie di esposizione vulnerabile al quantum che sta solo aumentando. L'esposizione sta aumentando, non diminuendo, perché il riutilizzo degli indirizzi continua ad aggiungere sempre più BTC al set vulnerabile. Nel frattempo, il resto dell'internet ha già implementato PQC per miliardi di utenti senza che nessuno se ne accorgesse. Dove si trova realmente la situazione Manteniamo la Bitcoin Risq List, un tracker open-source, continuamente aggiornato, delle vulnerabilità al quantum di Bitcoin a livello di indirizzo. A partire dall'altezza del blocco 936.882 (febbraio 2026): circa 6,9 milioni di BTC su 13,9 milioni di indirizzi hanno chiavi pubbliche esposte. Solana è 100% vulnerabile al quantum poiché la loro struttura degli indirizzi espone l'intera chiave pubblica. L'analisi di Deloitte ha trovato che il 65% di Ethereum è in account vulnerabili al quantum. L'internet ha iniziato la sua transizione post-quantum nel 2022. I sistemi di sicurezza nazionale hanno un mandato di conformità per il 2027. Il NIST mira a deprecare e vietare tutti gli algoritmi a chiave pubblica vulnerabili al quantum ben prima del 2035. L'industria della blockchain, che protegge direttamente il valore di portatore con le esatte primitive crittografiche che un computer quantistico rompe, ha un BIP e un dibattito. La domanda non è se il quantum rappresenti una minaccia per gli asset digitali. È se l'industria inizierà la sua migrazione prima che la finestra si chiuda. Il divario tra il ritmo di adozione del PQC dell'internet e il ritmo dell'industria della blockchain non è un divario di consapevolezza. È un divario di urgenza e, cosa importante, il divario non si chiude affermando che la minaccia non esiste.