Nieuw paper van ons team. Post-quantum HD wallets met volledige niet-verstevigde publieke sleutelafleiding. Kijk-enkel wallets, xpubs, hiërarchisch sleutelbeheer, enz. allemaal met bewijsbare beveiliging onder standaard roosterveronderstellingen. BIP32 niet-verstevigde afleiding hangt af van de lineaire algebra van elliptische krommen. Je voegt een offset toe aan een ouder publieke sleutel en krijgt een geldige kind publieke sleutel. Post-quantum rooster schema's breken dit op twee manieren. Sommige schema's ronden hun publieke sleutels tijdens de sleutelgeneratie, wat de lineariteit vernietigt. En zelfs zonder afronding voegt elke afleiding ruis toe die het statistische profiel van afgeleide sleutels verandert, waardoor ontkoppelbaarheid wordt verbroken. In dit werk hebben we twee constructies gebouwd. De eerste gebruikt ML-DSA voor alleen verstevigde afleiding met volledige beveiligingsbewijzen. De tweede, het belangrijkste resultaat, gebruikt Raccoon-G, een variant van Raccoon met Gaussisch verdeelde geheimen. We slaan de afrondingsstap over en publiceren de volledige publieke sleutel om de lineariteit te behouden. Bovendien zijn Gaussische verdelingen stabiel onder optelling, zodat afgeleide sleutels in dezelfde distributiefamilie blijven als verse. Dat geeft je niet-verstevigde afleiding met bewijsbare ontkoppelbaarheid en onvervalsbaarheid onder standaard roosterveronderstellingen. De afweging zijn grotere sleutels en handtekeningen, en een beperkte afleidingsdiepte. In de praktijk is de dieptebeperking niet beperkend, aangezien echte walletstructuren zoals BIP44 alleen niet-verstevigde afleiding gebruiken voor de laatste twee niveaus. We hebben beide constructies in Rust geïmplementeerd. Paper en Github hieronder.

Respectvol gezien heeft Saylor hier ongelijk over quantum. Specifiek heeft hij ongelijk over vier claims (ik focus alleen op de technische). Laat me elke claim doornemen. Claim 1: De consensus van de cyberbeveiligingsgemeenschap is dat quantum de komende 10 jaar geen bedreiging vormt en dat er dus geen onmiddellijke actie nodig is. Er is geen dergelijke consensus. Het tegendeel is waar: elk belangrijk nationaal veiligheids- en normeringsorgaan ter wereld verplicht momenteel actief de migratie naar post-quantum, omdat de migraties zelf een decennium of langer duren. NSA CNSA 2.0 vereist dat alle nieuwe nationale beveiligingssystemen quantumveilig zijn vóór 2035, waarbij het meeste werk in de komende 5 jaar moet worden gedaan. NIST publiceerde in augustus 2024 de definitieve PQC-normen (ML-KEM, ML-DSA, SLH-DSA) en bracht IR 8547 uit, waarin een doelstelling werd gesteld om alle quantum-kwetsbare publieke-sleutelalgoritmen na 2030 te depreceren en volledig te verbieden vóór 2035. De UK NCSC stelde migratiemijlpalen voor 2028, 2031 en 2035 vast. Dit zijn geen reacties op een verre hypothetische situatie. Dit zijn programma's met nalevingsdeadlines omdat de organisaties die ze hebben vastgesteld hebben geconcludeerd dat nu beginnen nauwelijks vroeg genoeg is. Historisch gezien heeft het lang geduurd vanaf het moment dat een nieuw algoritme is gestandaardiseerd tot het volledig is geïntegreerd in informatiesystemen. Eerdere cryptografische migraties bevestigen dit. De deprecatie van SHA-1 duurde ongeveer 7 jaar. De migratie naar AES duurde ongeveer 5 jaar. De uitrol van TLS 1.3 duurde 3-5 jaar, ondanks dat het duidelijke prestatievoordelen bood. NIST heeft al geconcludeerd dat de migratie naar PQC fundamenteel complexer is dan al deze precedenten. Het tijdlijnargument negeert volledig de oogst-nu-decrypt-later. Tegenstanders verzamelen vandaag de dag versleutelde gegevens voor toekomstige decryptie. De Amerikaanse Federal Reserve publiceerde in september 2025 een analyse hierover, waarbij Bitcoin als casestudy werd gebruikt. De bedreiging is al actief. Claim 2: Wanneer quantum toeslaat, upgraden alles; banken, het internet, defensie, Bitcoin. Het internet is al aan het upgraden. 52% van het menselijke webverkeer op Cloudflare gebruikte post-quantum sleuteluitwisseling in december 2025, bijna verdubbeld van 29% aan het begin van het jaar. Chrome levert ML-KEM voor TLS. Apple heeft PQ TLS ingeschakeld in iOS 26. OpenSSH heeft standaard post-quantum sleutelovereenkomst sinds versie 9.0. Signal heeft post-quantum encryptie. AWS en Google Cloud ondersteunen PQC in hun KMS-producten. Apple heeft ML-DSA en ML-KEM toegevoegd aan CryptoKit als productie-API's. Banken en betalingsnetwerken zijn gecentraliseerd. Visa duwt een firmware-update of SWIFT verandert een protocolspecificatie. TLS-upgrades zijn onzichtbaar voor eindgebruikers (als je Chrome gebruikt, gebruik je een TLS-versie die post-quantum ondersteunt en je wist het niet eens). Deze systemen kunnen en zullen migreren zonder dat hun klanten iets hoeven te doen. Bitcoin kan dit niet. Bitcoin vereist een fork met wereldwijde gedecentraliseerde consensus. Een PQC-handtekeningmigratie is categorisch moeilijker dan eerdere forks: ML-DSA-44-handtekeningen zijn 2.420 bytes versus 64 bytes voor Schnorr, een toename van 38x die de bestaande SegWit-gewichtsstructuur van Bitcoin, de Script-stacklimieten (maximaal 520 bytes) en de aannames over transactiepropagatie doorbreekt. Een enkele ML-DSA-44-handtekening plus publieke sleutel is meerdere keren groter dan een typische enkele-input P2WPKH-uitgave vandaag. BIP-360 en QBIP bestaan als (geweldige) voorstellen. Helaas heeft geen van beide een activatietijdlijn. De migratie naar enterprise PQC is veel gemakkelijker. Dit zijn organisaties met uitvoerende autoriteit om veranderingen te mandateren, toegewijde beveiligingsteams en gevestigde inkoopprocessen. Bitcoin heeft geen van deze. Blockchain-governance is structureel langzamer dan gecentraliseerde governance. De framing van "alles upgrade samen" negeert ook het probleem van permanent blootgestelde sleutels. Wanneer banken TLS upgraden, doen oude sessies er niet toe, ze waren ephemeraal. Wanneer Bitcoin upgrade, zitten de ~6,9 miljoen BTC met al blootgestelde publieke sleutels op het onveranderlijke grootboek nog steeds daar. Je kunt een publieke sleutel niet on-publiceren van een blockchain. Die munten moeten actief worden verplaatst door hun eigenaren naar nieuwe quantumveilige adressen. Ongeveer 1,72 miljoen BTC in P2PK-adressen, inclusief Satoshi's geschatte 1,1 miljoen BTC, zijn waarschijnlijk permanent blootgesteld omdat de privésleutels verloren zijn. Er is geen bankequivalent hiervoor. Banken houden geen openbaar, permanent, onveranderlijk record bij van elke authenticatiesleutel van klanten die 17 jaar teruggaat. Claim 3: Digitale activa hebben de meest geavanceerde cryptografische beveiliging; meer dan banken, creditcards, aandelen, enz. Dit verwart vertrouwenloosheid met cryptografische sterkte. Het zijn niet dezelfde eigenschappen. Bitcoin gebruikt ECDSA over secp256k1. De TLS-verbinding van je bank gebruikt ECDHE over P-256 of X25519. Dit zijn dezelfde klasse van cryptografische primitieve, elliptische kromme-schema's waarvan de beveiliging rust op de moeilijkheid van het discrete logaritmeprobleem. Shor's algoritme breekt beide identiek. Geen van beide is "geavanceerder" dan de andere. Wat verschilt is wat we de verdediging-in-diepte-architectuur rond die primitieve noemen. Een creditcard tap-to-pay-transactie omvat: TLS met ephemerale sleuteluitwisseling, een EMV-chip met hardwaregebonden sleutels in een gecertificeerd veilig element, tokenisatie zodat de handelaar nooit het echte kaartnummer ziet, sessie-gebaseerde sleutelrotatie, fraudedetectie, mogelijkheid tot terugboeking van transacties en regelgevende verzekering. Een Bitcoin-transactie omvat: één ECDSA-handtekening. Dat is de hele autorisatielaag. Geen fraudedepartement, geen terugboeking, geen identiteitsverificatielaag die een legitieme eigenaar kan onderscheiden van een quantumaanvaller die dezelfde afgeleide privésleutel heeft. Zodra een vervalste handtekening door consensus wordt geaccepteerd, is de overdracht onomkeerbaar. De systemen die Saylor beschrijft als minder veilig, implementeren in feite al post-quantumbescherming die Bitcoin nog niet is begonnen. Ze kunnen dit doen omdat ze gecentraliseerd zijn. De decentralisatie van Bitcoin, zijn kernwaardepropositie, is precies wat zijn quantum-migratie moeilijker, langzamer en later maakt dan elk systeem waarmee hij het vergeleek. Claim 4: De crypto-gemeenschap zal als eerste de bedreiging opmerken en zich verplaatsen. Dit gaat ervan uit dat een CRQC publiekelijk zal worden aangekondigd. Natie-staat tegenstanders hebben geen enkele prikkel om een quantumcapaciteit bekend te maken. De hele inlichtingenwaarde van een CRQC is dat niemand weet dat je het hebt. Je oogst stilletjes, je decrypt stilletjes, je exploiteert stilletjes. Hoe zou "het opmerken" eruitzien op Bitcoin? Een quantumaanvaller exploiteert geen bug, omzeilt geen firewall of compromitteert geen server. Ze produceren geldige handtekeningen die niet te onderscheiden zijn van die van de legitieme eigenaar, omdat ze wiskundig dezelfde sleutel bezitten. Als een aanvaller begint met het leegroven van P2PK-adressen, is elke diefstal een correct ondertekende transactie. Er is geen inbraakdetectiesysteem voor de Bitcoin-blockchain. Transacties zijn geldig of ze zijn het niet. Tegen de tijd dat iemand een patroon opmerkt over duizenden UTXO's, is de schade aangericht en onomkeerbaar. En het empirische record weerlegt direct de claim "als eerste bewegen". De huidige staat van gereedheid: één BIP zonder activatietijdlijn, een lopende discussie over de vraag of de munten van Satoshi moeten worden bevroren, en een quantum-kwetsbare blootstellingsoppervlakte die alleen maar toeneemt. De blootstelling neemt toe, niet af, omdat adreshergebruik blijft meer en meer BTC aan de kwetsbare set toevoegen. Ondertussen heeft de rest van het internet al PQC uitgerold naar miljarden gebruikers zonder dat iemand het opmerkt. Waar dingen daadwerkelijk staan We onderhouden de Bitcoin Risq List, een open-source, continu bijgewerkte tracker van quantum-kwetsbare Bitcoin op adresniveau. Vanaf blokhoogte 936.882 (februari 2026): ongeveer 6,9 miljoen BTC over 13,9 miljoen adressen hebben blootgestelde publieke sleutels. Solana is 100% quantum-kwetsbaar omdat hun adresstructuur de volledige publieke sleutel blootstelt. De analyse van Deloitte vond dat 65% van Ethereum zich in quantum-kwetsbare accounts bevindt. Het internet begon zijn post-quantum transitie in 2022. Nationale beveiligingssystemen hebben een nalevingsmandaat voor 2027. NIST richt zich op het depreceren en verbieden van alle quantum-kwetsbare publieke-sleutelalgoritmen ruim vóór 2035. De blockchain-industrie, die de waarde van dragers direct beschermt met de exacte cryptografische primitieve die een quantumcomputer breekt, heeft een BIP en een debat. De vraag is niet of quantum een bedreiging vormt voor digitale activa. Het is of de industrie zal beginnen met zijn migratie voordat het venster sluit. De kloof tussen het tempo van PQC-adoptie van het internet en het tempo van de blockchain-industrie is geen kloof in bewustzijn. Het is een kloof in urgentie en belangrijker nog, de kloof wordt niet gedicht door te beweren dat de bedreiging niet bestaat.