Nowy artykuł od naszego zespołu. Portfele HD post-kwantowe z pełną nieutwardzoną derivacją kluczy publicznych. Portfele tylko do oglądania, xpuby, hierarchiczne zarządzanie kluczami itp. wszystko z udowodnionym bezpieczeństwem w ramach standardowych założeń dotyczących krat. Nieutwardzona derivacja BIP32 zależy od algebry liniowej krzywych eliptycznych. Dodajesz przesunięcie do klucza publicznego rodzica i otrzymujesz ważny klucz publiczny dziecka. Schematy krat post-kwantowych łamią to na dwa sposoby. Niektóre schematy zaokrąglają swoje klucze publiczne podczas generacji kluczy, co niszczy liniowość. A nawet bez zaokrąglania, każda derivacja dodaje szum, który zmienia profil statystyczny wyprowadzonych kluczy, łamiąc unlinkability. W tej pracy zbudowaliśmy dwie konstrukcje. Pierwsza wykorzystuje ML-DSA do utwardzonej tylko derivacji z pełnymi dowodami bezpieczeństwa. Druga, główny wynik, wykorzystuje Raccoon-G, wariant Raccoon z tajemnicami o rozkładzie Gaussa. Pomijamy krok zaokrąglania i publikujemy pełny klucz publiczny, aby zachować liniowość. Ponadto, rozkłady Gaussa są stabilne w dodawaniu, więc wyprowadzone klucze pozostają w tej samej rodzinie rozkładowej co nowe. To daje ci nieutwardzoną derivację z udowodnioną unlinkability i nienaruszalnością w ramach standardowych założeń dotyczących krat. Kompromis to większe klucze i podpisy oraz ograniczona głębokość derivacji. W praktyce ograniczenie głębokości nie jest restrykcyjne, ponieważ rzeczywiste struktury portfeli, takie jak BIP44, używają tylko nieutwardzonej derivacji dla ostatnich dwóch poziomów. Zaimplementowaliśmy obie konstrukcje w Rust. Artykuł i Github poniżej.