Nuovo documento dal nostro team. Wallet HD post-quantum con derivazione della chiave pubblica non indurita. Wallet in sola visione, xpubs, gestione gerarchica delle chiavi, ecc. tutto con sicurezza dimostrabile sotto assunzioni standard di reticolo. La derivazione non indurita BIP32 dipende dall'algebra lineare delle curve ellittiche. Aggiungi un offset a una chiave pubblica genitore e ottieni una chiave pubblica figlia valida. Gli schemi di reticolo post-quantum rompono questo in due modi. Alcuni schemi arrotondano le loro chiavi pubbliche durante la generazione delle chiavi, il che distrugge la linearità. E anche senza arrotondamento, ogni derivazione aggiunge rumore che cambia il profilo statistico delle chiavi derivate, rompendo l'unlinkability. In questo lavoro, abbiamo costruito due costruzioni. La prima utilizza ML-DSA per la derivazione solo indurita con prove di sicurezza complete. La seconda, il risultato principale, utilizza Raccoon-G, una variante di Raccoon con segreti distribuiti gaussiani. Saltiamo il passaggio di arrotondamento e pubblichiamo la chiave pubblica completa per preservare la linearità. Inoltre, i gaussiani sono stabili sotto addizione, quindi le chiavi derivate rimangono nella stessa famiglia distribuzionale di quelle fresche. Questo ti offre una derivazione non indurita con unlinkability e non falsificabilità dimostrabili sotto assunzioni standard di reticolo. Il compromesso sono chiavi e firme più grandi, e una profondità di derivazione limitata. In pratica, il limite di profondità non è restrittivo poiché le strutture di wallet reali come BIP44 utilizzano solo la derivazione non indurita per gli ultimi due livelli comunque. Abbiamo implementato entrambe le costruzioni in Rust. Documento e Github qui sotto.