Nytt papir fra teamet vårt. Post-quantum HD-lommebøker med full ikke-herdet offentlig nøkkel-derivation. Kun klokkebøker, xpub-er, hierarkisk nøkkelhåndtering osv., alt med bevisbar sikkerhet under standard gitterforutsetninger. BIP32 sin ikke-herdede utledning avhenger av den lineære algebraen til elliptiske kurver. Du legger til en offset til en forelders offentlig nøkkel og får en gyldig child offentlig nøkkel. Post-kvantegitterskjemaer bryter dette på to måter. Noen skjemaer runder sine offentlige nøkler under nøkkelgenerering, noe som ødelegger lineariteten. Og selv uten avrunding legger hver utledning til støy som endrer den statistiske profilen til avledede nøkler, og bryter ukoblingsbarheten. I dette arbeidet bygde vi to konstruksjoner. Den første bruker ML-DSA for kun herdet utledning med full sikkerhetsgaranti. Det andre, hovedresultatet, bruker Raccoon-G, en variant av Raccoon med Gaussisk-distribuerte hemmeligheter. Vi hopper over avrundingssteget og publiserer hele den offentlige nøkkelen for å bevare lineariteten. I tillegg er Gauss-nøkler stabile under addisjon, så avledede nøkler forblir i samme fordelingsfamilie som nye. Det gir deg ikke-herdet utledning med bevisbar ukobling og uforgebarhet under standard gitterforutsetninger. Avveiningen er større tonearter og signaturer, og en begrenset utledningsdybde. I praksis er dybdegrensen ikke restriktiv, siden ekte lommebokstrukturer som BIP44 uansett bare bruker ikke-herdet utledning for de to siste nivåene. Vi implementerte begge konstruksjonene i Rust. Artikkel og Github nedenfor.

Med all respekt tar Saylor feil her på quantum. Spesifikt tar han feil på fire påstander (jeg fokuserer bare på de tekniske). La meg gå gjennom hver enkelt. Påstand 1: Konsensus i cybersikkerhetsmiljøet er at quantum ikke er en trussel de neste ti årene, og derfor er det ikke nødvendig med umiddelbare tiltak. Det finnes ingen slik konsensus. Det motsatte er sant: alle store nasjonale sikkerhets- og standardiseringsorganer i verden pålegger aktivt post-kvantemigrasjon akkurat nå, fordi selve migrasjonene tar et tiår eller mer. NSA CNSA 2.0 krever at alle nye nasjonale sikkerhetssystemer skal være kvantesikre før 2035, med det meste av dette arbeidet gjort i de neste 5. NIST publiserte ferdigstilte PQC-standarder (ML-KEM, ML-DSA, SLH-DSA) i august 2024 og utga IR 8547, som satte et mål om å avvikle alle kvante-sårbare offentlige nøkkelalgoritmer etter 2030 og forby dem helt innen 2035. Den britiske NCSC satte migrasjonsmilepæler for 2028, 2031 og 2035. Dette er ikke svar på et fjernt hypotetisk scenario. Dette er programmer med etterlevelsesfrister fordi organisasjonene som satte dem har konkludert med at det knapt er tidlig nok å starte nå. Historisk sett har det tatt lang tid fra en ny algoritme er standardisert til den er fullt integrert i informasjonssystemer. Tidligere kryptografiske migrasjoner bekrefter dette. SHA-1-avviklingen tok omtrent 7 år. AES-migreringen tok omtrent 5 år. TLS 1.3-utrullingen tok 3-5 år til tross for at den ga klare ytelsesfordeler. NIST har allerede konkludert med at PQC-migrasjon er fundamentalt mer kompleks enn noen av disse presedensene. Tidslinjeargumentet ignorerer høst-nå-dekrypter-senere fullstendig. Motstandere samler i dag kryptert data for fremtidig dekryptering. Den amerikanske sentralbanken publiserte en analyse av dette i september 2025, med Bitcoin som casestudie. Trusselen er allerede aktiv. Påstand 2: Når kvantum treffer, oppgraderes alt; banker, internett, forsvar, Bitcoin. Internett oppgraderes allerede. 52 % av menneskelig netttrafikk på Cloudflare brukte post-quantum key exchange innen desember 2025, nesten en dobling fra 29 % ved årets start. Chrome leverer ML-KEM for TLS. Apple aktiverte PQ TLS i iOS 26. OpenSSH har som standard gått over til post-quantum nøkkelavtale siden versjon 9.0. Signal har post-kvante-kryptering. AWS og Google Cloud støtter PQC i sine KMS-produkter. Apple la til ML-DSA og ML-KEM i CryptoKit som produksjons-API-er. Banker og betalingsnettverk er sentraliserte. Visa sender en firmwareoppdatering eller SWIFT endrer en protokollspesifikasjon. TLS-oppgraderinger er usynlige for sluttbrukere (hvis du bruker Chrome bruker du en TLS-versjon som støtter post-quantum og du visste det ikke engang). Disse systemene kan og vil migrere uten at kundene gjør noe. Bitcoin kan ikke gjøre dette. Bitcoin krever en fork med global desentralisert konsensus. En PQC-signaturmigrering er kategorisk vanskeligere enn tidligere forks: ML-DSA-44-signaturer er 2 420 byte mot 64 byte for Schnorr, en økning på 38 ganger som bryter Bitcoins eksisterende SegWit-vektøkonomi, skriptstakkgrenser (maksimalt 520 byte) og forutsetninger om transaksjonspropagasjon. En enkelt ML-DSA-44-signatur pluss offentlig nøkkel er flere ganger større enn et helt typisk P2WPKH-forbruk med én inngang i dag. BIP-360 og QBIP eksisterer som (gode) forslag. Dessverre har ingen av dem en aktiveringstidslinje. Enterprise-PQC-migrering er mye enklere. Dette er organisasjoner med utøvende myndighet til å pålegge endringer, dedikerte sikkerhetsteam og etablerte innkjøpsprosesser. Bitcoin har ingen av disse. Blokkjedestyring er strukturelt tregere enn sentralisert styring. Innrammingen «alt oppgraderes sammen» ignorerer også det permanent eksponerte nøkkelproblemet. Når banker oppgraderer TLS, betyr ikke gamle økter noe, de var flyktige. Når Bitcoin oppgraderes, ligger de ~6,9 millioner BTC med allerede eksponerte offentlige nøkler på den uforanderlige hovedboken fortsatt der. Du kan ikke avpublisere en offentlig nøkkel fra en blokkjede. Disse myntene må aktivt flyttes av eierne til nye kvantesikre adresser. Omtrent 1,72 millioner BTC i P2PK-adresser, inkludert Satoshis anslåtte 1,1 millioner BTC, er sannsynligvis permanent eksponert fordi de private nøklene er tapt. Det finnes ikke noe tilsvarende i banksektoren. Banker opprettholder ikke en offentlig, permanent, uforanderlig oversikt over hver kundes autentiseringsnøkkel som går 17 år tilbake. Påstand 3: Digitale eiendeler har den mest avanserte kryptografiske sikkerheten; mer enn bank, kredittkort, aksjer osv Dette forveksler tilliten med kryptografisk styrke. De er ikke samme eiendom. Bitcoin bruker ECDSA i stedet for secp256k1. Bankens TLS-tilkobling bruker ECDHE over P-256 eller X25519. Dette er samme klasse av kryptografiske primitive, elliptiske kurveskjemaer hvis sikkerhet hviler på vanskeligheten til det diskrete logaritmeproblemet. Shors algoritme bryter begge identisk. Ingen av dem er «mer avansert» enn den andre. Det som skiller seg ut, er det vi kaller forsvar-i-dybde-arkitekturen rundt denne primitive. En kredittkort-tap-to-pay-transaksjon innebærer: TLS med midlertidig nøkkelutveksling, en EMV-brikke med maskinvarebundne nøkler i et sertifisert sikkert element, tokenisering slik at forhandleren aldri ser det ekte kortnummeret, sesjonsbasert nøkkelrotasjon, svindeldeteksjon, transaksjonsreversering og regulatorisk forsikring. En Bitcoin-transaksjon innebærer: én ECDSA-signatur. Det er hele autorisasjonslaget. Ingen svindelavdeling, ingen chargeback, ingen identitetsverifiseringslag som kan skille en legitim eier fra en kvanteangriper med samme avledede private nøkkel. Når en forfalsket signatur er akseptert ved konsensus, er overføringen irreversibel. Systemene Saylor beskriver som mindre sikre, implementerer faktisk allerede post-kvantebeskyttelser som Bitcoin ennå ikke har startet. De kan gjøre dette fordi de er sentraliserte. Bitcoins desentralisering, dets kjerneverdiforslag, er nettopp det som gjør kvantemigrasjonen vanskeligere, tregere og senere enn alle systemer han sammenlignet det med. Påstand 4: Kryptomiljøet vil være det første som oppdager trusselen og handler. Dette forutsetter at en CRQC blir offentlig kunngjort. Nasjonalstatlige motstandere har null insentiv til å avsløre en kvantekapasitet. Hele intelligensverdien av en CRQC er at ingen vet at du har den. Du høster stille, du dekrypterer stille, du utnytter stille. Hvordan ville det å «oppdage det» sett ut på Bitcoin? En kvanteangriper utnytter ikke en feil, omgår ikke en brannmur eller kompromitterer en server. De produserer gyldige signaturer som ikke kan skilles fra den legitime eierens, fordi de matematisk har samme nøkkel. Hvis en angriper begynner å tømme P2PK-adresser, er hvert tyveri en korrekt signert transaksjon. Det finnes ikke noe inntrengelsesdeteksjonssystem for Bitcoin-blokkjeden. Transaksjoner er gyldige eller ikke. Når noen legger merke til et mønster på tvers av tusenvis av UTXOer, er skaden allerede skjedd og irreversibel. Og det empiriske materialet motsier direkte påstanden om «først til å bevege seg». Den nåværende beredskapstilstanden: én BIP uten aktiveringstidslinje, en pågående debatt om hvorvidt Satoshis mynter skal fryses, og en kvantesårbar eksponeringsflate som bare øker. Eksponeringen øker, ikke minker, fordi gjenbruk av adresser fortsetter å legge til mer og mer BTC i den sårbare gruppen. I mellomtiden har resten av internett allerede distribuert PQC til milliarder av brukere uten at noen har merket det. Hvor ting faktisk står Vi vedlikeholder Bitcoin Risq List, en åpen kildekode, kontinuerlig oppdatert sporer av kvantesårbare Bitcoin på adressenivå. Per blokkhøyde 936 882 (februar 2026): omtrent 6,9 millioner BTC fordelt på 13,9 millioner adresser har eksponerte offentlige nøkler. Solana er 100 % kvante-sårbar siden adressestrukturen deres eksponerer hele den offentlige nøkkelen. Deloittes analyse fant at 65 % av Ethereum er i kvantesårbare kontoer. Internett startet sin post-kvante-overgang i 2022. Nasjonale sikkerhetssystemer har et krav om etterlevelse i 2027. NIST har som mål å foreldes og forby alle kvante-sårbare offentlige nøkkelalgoritmer lenge før 2035. Blokkjedeindustrien, som direkte beskytter bærerverdien med nøyaktig de kryptografiske primitivene som en kvantedatamaskin bryter, har både en BIP og en debatt. Spørsmålet er ikke om kvantum er en trussel mot digitale eiendeler. Det handler om hvorvidt bransjen vil begynne sin migrering før vinduet stenger. Gapet mellom internettets hastighet i PQC-adopsjon og blokkjedeindustriens tempo er ikke et gap i bevissthet. Det er et gap i hastverk, og viktigst av alt, gapet lukkes ikke ved å hevde at trusselen ikke eksisterer.