Nowy artykuł od naszego zespołu. Portfele HD post-kwantowe z pełną nieutwardzoną derivacją kluczy publicznych. Portfele tylko do oglądania, xpuby, hierarchiczne zarządzanie kluczami itp. wszystko z udowodnionym bezpieczeństwem w ramach standardowych założeń dotyczących krat. Nieutwardzona derivacja BIP32 zależy od algebry liniowej krzywych eliptycznych. Dodajesz przesunięcie do klucza publicznego rodzica i otrzymujesz ważny klucz publiczny dziecka. Schematy krat post-kwantowych łamią to na dwa sposoby. Niektóre schematy zaokrąglają swoje klucze publiczne podczas generacji kluczy, co niszczy liniowość. A nawet bez zaokrąglania, każda derivacja dodaje szum, który zmienia profil statystyczny wyprowadzonych kluczy, łamiąc unlinkability. W tej pracy zbudowaliśmy dwie konstrukcje. Pierwsza wykorzystuje ML-DSA do utwardzonej tylko derivacji z pełnymi dowodami bezpieczeństwa. Druga, główny wynik, wykorzystuje Raccoon-G, wariant Raccoon z tajemnicami o rozkładzie Gaussa. Pomijamy krok zaokrąglania i publikujemy pełny klucz publiczny, aby zachować liniowość. Ponadto, rozkłady Gaussa są stabilne w dodawaniu, więc wyprowadzone klucze pozostają w tej samej rodzinie rozkładowej co nowe. To daje ci nieutwardzoną derivację z udowodnioną unlinkability i nienaruszalnością w ramach standardowych założeń dotyczących krat. Kompromis to większe klucze i podpisy oraz ograniczona głębokość derivacji. W praktyce ograniczenie głębokości nie jest restrykcyjne, ponieważ rzeczywiste struktury portfeli, takie jak BIP44, używają tylko nieutwardzonej derivacji dla ostatnich dwóch poziomów. Zaimplementowaliśmy obie konstrukcje w Rust. Artykuł i Github poniżej.

Z szacunkiem, Saylor się myli w kwestii kwantowej. Konkretnie, myli się w czterech twierdzeniach (skupiam się tylko na technicznych). Pozwól, że przeprowadzę przez każde z nich. Twierdzenie 1: Konsensus w społeczności cyberbezpieczeństwa jest taki, że kwantowa nie jest zagrożeniem przez następne 10 lat, więc nie są potrzebne żadne natychmiastowe działania. Nie ma takiego konsensusu. Przeciwnie, każda główna instytucja zajmująca się bezpieczeństwem narodowym i standardami na świecie aktywnie nakazuje migrację post-kwantową już teraz, ponieważ sama migracja zajmuje dekadę lub więcej. NSA CNSA 2.0 wymaga, aby wszystkie nowe systemy bezpieczeństwa narodowego były bezpieczne przed kwantami przed 2035 rokiem, a większość tej pracy ma być wykonana w ciągu następnych 5 lat. NIST opublikował sfinalizowane standardy PQC (ML-KEM, ML-DSA, SLH-DSA) w sierpniu 2024 roku i wydał IR 8547, ustalając cel na deprecjację wszystkich algorytmów publicznych podatnych na kwanty po 2030 roku i całkowity zakaz do 2035 roku. UK NCSC ustalił kamienie milowe migracji na 2028, 2031 i 2035. To nie są odpowiedzi na odległe hipotezy. To programy z terminami zgodności, ponieważ organizacje, które je ustalają, doszły do wniosku, że rozpoczęcie teraz jest ledwie wystarczająco wczesne. Historycznie, zajmuje to dużo czasu od momentu, gdy nowy algorytm jest standaryzowany, do momentu, gdy jest w pełni zintegrowany z systemami informacyjnymi. Przeszłe migracje kryptograficzne to potwierdzają. Deprecjacja SHA-1 zajęła około 7 lat. Migracja AES zajęła około 5 lat. Wdrożenie TLS 1.3 zajęło 3-5 lat, mimo że oferowało wyraźne korzyści wydajnościowe. NIST już doszedł do wniosku, że migracja PQC jest zasadniczo bardziej skomplikowana niż jakiekolwiek z tych precedensów. Argument dotyczący harmonogramu całkowicie ignoruje zbieranie danych teraz, odszyfrowanie później. Przeciwnicy zbierają zaszyfrowane dane dzisiaj do przyszłego odszyfrowania. Amerykańska Rezerwa Federalna opublikowała analizę na ten temat we wrześniu 2025 roku, używając Bitcoina jako studium przypadku. Zagrożenie jest już aktywne. Twierdzenie 2: Kiedy kwant uderzy, wszystko się aktualizuje; banki, internet, obrona, Bitcoin. Internet już się aktualizuje. 52% ludzkiego ruchu w sieci na Cloudflare korzystało z wymiany kluczy post-kwantowych do grudnia 2025 roku, niemal podwajając się z 29% na początku roku. Chrome dostarcza ML-KEM dla TLS. Apple włączył PQ TLS w iOS 26. OpenSSH domyślnie korzysta z umowy kluczy post-kwantowych od wersji 9.0. Signal ma szyfrowanie post-kwantowe. AWS i Google Cloud wspierają PQC w swoich produktach KMS. Apple dodał ML-DSA i ML-KEM do CryptoKit jako produkcyjne API. Banki i sieci płatnicze są scentralizowane. Visa wprowadza aktualizację oprogramowania lub SWIFT zmienia specyfikację protokołu. Aktualizacje TLS są niewidoczne dla użytkowników końcowych (jeśli używasz Chrome, korzystasz z wersji TLS, która wspiera post-kwantowe, a nawet o tym nie wiesz). Te systemy mogą i będą migrować bez działania ich klientów. Bitcoin nie może tego zrobić. Bitcoin wymaga forka z globalnym zdecentralizowanym konsensusem. Migracja podpisów PQC jest kategorycznie trudniejsza niż poprzednie forki: podpisy ML-DSA-44 mają 2420 bajtów w porównaniu do 64 bajtów dla Schnorra, co stanowi 38-krotny wzrost, który łamie istniejącą ekonomię wag SegWit w Bitcoinie, limity stosu skryptów (maksimum 520 bajtów) i założenia dotyczące propagacji transakcji. Pojedynczy podpis ML-DSA-44 plus klucz publiczny jest kilka razy większy niż cała typowa transakcja P2WPKH z jednym wejściem dzisiaj. BIP-360 i QBIP istnieją jako (świetne) propozycje. Niestety, żadna z nich nie ma harmonogramu aktywacji. Migracja PQC w przedsiębiorstwach jest znacznie łatwiejsza. To organizacje z władzą wykonawczą do nakazywania zmian, dedykowanymi zespołami bezpieczeństwa i ustalonymi procesami zakupowymi. Bitcoin nie ma żadnego z tych elementów. Zarządzanie blockchainem jest strukturalnie wolniejsze niż zarządzanie scentralizowane. Ramka "wszystko aktualizuje się razem" ignoruje również problem trwale ujawnionych kluczy. Kiedy banki aktualizują TLS, stare sesje nie mają znaczenia, były efemeryczne. Kiedy Bitcoin się aktualizuje, ~6,9 miliona BTC z już ujawnionymi kluczami publicznymi na niezmiennej księdze wciąż tam siedzi. Nie można usunąć publikacji klucza publicznego z blockchaina. Te monety muszą być aktywnie przenoszone przez ich właścicieli do nowych adresów odpornych na kwanty. Około 1,72 miliona BTC w adresach P2PK, w tym szacowane 1,1 miliona BTC Satoshiego, jest prawdopodobnie trwale ujawnionych, ponieważ klucze prywatne są zgubione. Nie ma bankowego odpowiednika tego. Banki nie prowadzą publicznego, trwałego, niezmiennego rejestru klucza uwierzytelniającego każdego klienta sięgającego 17 lat wstecz. Twierdzenie 3: Aktywa cyfrowe mają najbardziej zaawansowane zabezpieczenia kryptograficzne; więcej niż bankowość, karty kredytowe, akcje itp. To myli bezstronność z siłą kryptograficzną. To nie są te same właściwości. Bitcoin używa ECDSA na secp256k1. Połączenie TLS twojego banku używa ECDHE na P-256 lub X25519. To ta sama klasa prymitywów kryptograficznych, schematy krzywych eliptycznych, których bezpieczeństwo opiera się na trudności problemu logarytmu dyskretnego. Algorytm Shora łamie oba identycznie. Żaden z nich nie jest "bardziej zaawansowany" od drugiego. Różnica polega na tym, co nazywamy architekturą obrony w głębokości wokół tego prymitywu. Transakcja karty kredytowej zbliżeniowej obejmuje: TLS z efemeryczną wymianą kluczy, chip EMV z kluczami związanymi z hardwarem w certyfikowanym bezpiecznym elemencie, tokenizację, aby sprzedawca nigdy nie widział prawdziwego numeru karty, rotację kluczy opartą na sesji, wykrywanie oszustw, możliwość cofnięcia transakcji i ubezpieczenie regulacyjne. Transakcja Bitcoinowa obejmuje: jeden podpis ECDSA. To cała warstwa autoryzacji. Brak działu oszustw, brak zwrotu, brak warstwy weryfikacji tożsamości, która może odróżnić prawowitego właściciela od kwantowego atakującego posiadającego ten sam pochodny klucz prywatny. Gdy sfałszowany podpis zostanie zaakceptowany przez konsensus, transfer jest nieodwracalny. Systemy, które Saylor opisuje jako mniej bezpieczne, w rzeczywistości już wdrażają zabezpieczenia post-kwantowe, których Bitcoin jeszcze nie rozpoczął. Mogą to zrobić, ponieważ są scentralizowane. Decentralizacja Bitcoina, jego podstawowa propozycja wartości, jest dokładnie tym, co sprawia, że jego migracja kwantowa jest trudniejsza, wolniejsza i późniejsza niż w każdym systemie, z którym go porównano. Twierdzenie 4: Społeczność kryptograficzna będzie pierwsza, która dostrzeże zagrożenie i zareaguje. To zakłada, że CRQC zostanie publicznie ogłoszone. Przeciwnicy państwowi nie mają żadnej motywacji, aby ujawniać zdolności kwantowe. Cała wartość wywiadowcza CRQC polega na tym, że nikt nie wie, że go masz. Zbierasz cicho, odszyfrowujesz cicho, wykorzystujesz cicho. Jak wyglądałoby "dostrzeżenie tego" w Bitcoinie? Kwantowy atakujący nie wykorzystuje błędu, nie omija zapory ogniowej ani nie kompromituje serwera. Produkują ważne podpisy, które są nieodróżnialne od podpisu prawowitego właściciela, ponieważ matematycznie posiadają ten sam klucz. Jeśli atakujący zacznie opróżniać adresy P2PK, każda kradzież to poprawnie podpisana transakcja. Nie ma systemu wykrywania intruzów dla blockchaina Bitcoin. Transakcje są ważne lub nie są. W momencie, gdy ktoś zauważy wzór w tysiącach UTXO, szkody są już wyrządzone i nieodwracalne. A empiryczny zapis bezpośrednio zaprzecza twierdzeniu "pierwszy do ruchu". Aktualny stan gotowości: jeden BIP bez harmonogramu aktywacji, trwająca debata na temat tego, czy zamrozić monety Satoshiego, oraz powierzchnia narażona na zagrożenia kwantowe, która tylko rośnie. Ekspozycja rośnie, a nie maleje, ponieważ ponowne użycie adresów nadal dodaje coraz więcej BTC do zestawu podatnego. Tymczasem reszta internetu już wdrożyła PQC dla miliardów użytkowników, nie zauważając tego. Gdzie rzeczywiście stoimy Utrzymujemy Bitcoin Risq List, otwartoźródłowy, ciągle aktualizowany tracker podatnego na kwanty Bitcoina na poziomie adresu. Na dzień 936882 (luty 2026): około 6,9 miliona BTC w 13,9 miliona adresów ma ujawnione klucze publiczne. Solana jest w 100% podatna na kwanty, ponieważ ich struktura adresu ujawnia pełny klucz publiczny. Analiza Deloitte wykazała, że 65% Ethereum znajduje się w kontach podatnych na kwanty. Internet rozpoczął swoją post-kwantową transformację w 2022 roku. Systemy bezpieczeństwa narodowego mają mandat zgodności do 2027 roku. NIST planuje deprecjację i zakazanie wszystkich algorytmów publicznych podatnych na kwanty znacznie przed 2035 rokiem. Przemysł blockchainowy, który bezpośrednio chroni wartość posiadania za pomocą dokładnych prymitywów kryptograficznych, które łamie komputer kwantowy, ma BIP i debatę. Pytanie nie brzmi, czy kwant jest zagrożeniem dla aktywów cyfrowych. Chodzi o to, czy przemysł rozpocznie swoją migrację, zanim okno się zamknie. Różnica między tempem przyjęcia PQC w internecie a tempem w przemyśle blockchainowym nie jest różnicą w świadomości. To różnica w pilności, a co ważne, ta różnica nie zostanie zlikwidowana przez twierdzenie, że zagrożenie nie istnieje.