Novo artigo da nossa equipe. Carteiras HD pós-quântica com derivação completa de chave pública não reforçada. Carteiras apenas de monitoramento, xpubs, gerenciamento hierárquico de chaves, etc., todos com segurança comprovável sob suposições padrão de rede. A derivação não endurecida do BIP32 depende da álgebra linear das curvas elípticas. Você adiciona um offset a uma chave pública parental e obtém uma chave pública filha válida. Esquemas de rede pós-quântica quebram isso de duas maneiras. Alguns esquemas arredondam suas chaves públicas durante a geração de chaves, o que destrói a linearidade. E mesmo sem arredondamento, cada derivação adiciona ruído que altera o perfil estatístico das chaves derivadas, quebrando a desvinculabilidade. Nessa obra, construímos duas construções. O primeiro utiliza ML-DSA para derivação somente reforçada com provas de segurança completas. O segundo, o principal resultado, usa Raccoon-G, uma variante de Raccoon com segredos distribuídos por Gaussian. Pulamos a etapa de arredondamento e publicamos a chave pública completa para preservar a linearidade. Além disso, as Gaussianas são estáveis sob adição, então as chaves derivadas permanecem na mesma família distribucional que as novas. Isso te dá derivação não endurecida com desvinculabilidade e não falsificabilidade comprováveis sob suposições padrão de rede. A troca é chaves e assinaturas maiores, além de uma profundidade de derivação limitada. Na prática, o limite de profundidade não é restritivo, já que estruturas reais de carteiras como a BIP44 só usam derivação não reforçada para os dois últimos níveis. Implementamos ambas as construções no Rust. Papel e Github abaixo.

Respeitosamente, Saylor está errado aqui sobre o quântico. Especificamente, ele está errado em quatro afirmações (estou focando apenas nas técnicas). Deixe-me explicar cada uma. Afirmação 1: O consenso da comunidade de cibersegurança é que o quantum não representa uma ameaça pelos próximos 10 anos e, portanto, não é necessária uma ação imediata. Não existe tal consenso. O oposto é verdadeiro: todos os principais órgãos de segurança nacional e padrões do mundo estão ativamente exigindo migração pós-quântica neste momento, porque as próprias migrações levam uma década ou mais. O CNSA 2.0 da NSA exige que todos os novos Sistemas de Segurança Nacional sejam seguros em termos quânticos antes de 2035, com a maior parte desse trabalho sendo realizada nos próximos 5 anos. O NIST publicou os padrões PQC finalizados (ML-KEM, ML-DSA, SLH-DSA) em agosto de 2024 e lançou o IR 8547, estabelecendo como meta a de desutilizar todos os algoritmos de chave pública vulneráveis à quantidade quântica após 2030 e despermitir completamente até 2035. O NCSC do Reino Unido estabeleceu marcos migratorios para 2028, 2031 e 2035. Essas não são respostas a um hipotético distante. São programas com prazos de conformidade porque as organizações que os estabeleceram concluíram que começar agora é ainda cedo o suficiente. Historicamente, leva muito tempo desde o momento em que um novo algoritmo é padronizado até que ele seja totalmente integrado aos sistemas de informação. Migrações criptográficas passadas confirmam isso. A descontinuação da SHA-1 levou cerca de 7 anos. A migração do AES levou cerca de 5 anos. O lançamento do TLS 1.3 levou de 3 a 5 anos, apesar de oferecer benefícios claros de desempenho. O NIST já concluiu que a migração do PQC é fundamentalmente mais complexa do que qualquer um desses precedentes. O argumento da linha do tempo ignora completamente o método de colher agora-decifrar-depois. Adversários estão coletando dados criptografados hoje para futuras descriptografias. O Federal Reserve dos EUA publicou uma análise disso em setembro de 2025, usando o Bitcoin como estudo de caso. A ameaça já está ativa. Afirmação 2: Quando o quantum atinge, tudo se atualiza; bancos, internet, defesa, Bitcoin. A internet já está se atualizando. 52% do tráfego humano na web na Cloudflare utilizou troca de chaves pós-quântica até dezembro de 2025, quase dobrando em relação aos 29% do início do ano. O Chrome lança ML-KEM para TLS. A Apple habilitou o PQ TLS no iOS 26. O OpenSSH adotou por padrão o acordo de chave pós-quântico desde a versão 9.0. O sinal possui criptografia pós-quântica. AWS e Google Cloud suportam PQC em seus produtos KMS. A Apple adicionou ML-DSA e ML-KEM ao CryptoKit como APIs de produção. Bancos e redes de pagamento são centralizados. Visa faz uma atualização de firmware ou o SWIFT altera uma especificação do protocolo. Atualizações TLS são invisíveis para os usuários finais (se você usa o Chrome, usa uma versão TLS que suporta pós-quântico e você nem sabia). Esses sistemas podem e vão migrar sem que seus clientes façam nada. O Bitcoin não pode fazer isso. O Bitcoin exige um fork com consenso global descentralizado. Uma migração de assinatura PQC é categoricamente mais difícil do que forks anteriores: as assinaturas ML-DSA-44 são de 2.420 bytes contra 64 bytes para Schnorr, um aumento de 38x que quebra a economia de peso SegWit existente do Bitcoin, os limites da pilha de scripts (máximo de 520 bytes) e as suposições de propagação de transações. Uma única assinatura ML-DSA-44 mais chave pública é várias vezes maior do que um gasto P2WPKH típico de entrada única hoje. BIP-360 e QBIP existem como propostas (excelentes). Infelizmente, nenhum deles tem um cronograma de ativação. A migração para PQC corporativo é muito mais fácil. São organizações com autoridade executiva para ordenar mudanças, equipes de segurança dedicadas e processos de aquisição estabelecidos. O Bitcoin não tem nada disso. A governança blockchain é estruturalmente mais lenta do que a governança centralizada. A estrutura de "tudo é atualizado junto" também ignora o problema da chave permanentemente exposta. Quando os bancos atualizam o TLS, as sessões antigas não importam, elas eram efêmeras. Quando o Bitcoin atualiza, os ~6,9 milhões de BTC com chaves públicas já expostas no livro-caixa imutável ainda estarão ali. Você não pode despublicar uma chave pública de uma blockchain. Essas moedas precisam ser movidas ativamente por seus proprietários para novos endereços seguros para o quântico. Aproximadamente 1,72 milhão de BTC em endereços P2PK, incluindo os estimados de 1,1 milhão de BTC de Satoshi, provavelmente estão permanentemente expostos porque as chaves privadas foram perdidas. Não existe equivalente bancário a isso. Os bancos não mantêm um registro público, permanente e imutável de cada chave de autenticação de cada cliente que remonta a 17 anos. Afirmação 3: Ativos digitais possuem a segurança criptográfica mais avançada; Mais do que bancos, cartões de crédito, ações, etc Isso confunde a falta de confiança com a força criptográfica. Eles não são a mesma propriedade. O Bitcoin usa ECDSA em vez de secp256k1. A conexão TLS do seu banco usa ECDHE via P-256 ou X25519. Esses são da mesma classe de esquemas primitivos criptográficos de curvas elípticas cuja segurança se baseia na dificuldade do problema do logaritmo discreto. O algoritmo de Shors quebra ambos de forma idêntica. Nenhum dos dois é "mais avançado" que o outro. O que difere é o que chamamos de arquitetura de defesa em profundidade em torno desse primitivo. Uma transação tap-to-pay com cartão de crédito envolve: TLS com troca efêmera de chaves, um chip EMV com chaves vinculadas por hardware em um elemento seguro certificado, tokenização para que o comerciante nunca veja o número real do cartão, rotação de chaves baseada em sessões, detecção de fraude, capacidade de reversão de transações e seguro regulatório. Uma transação de Bitcoin envolve: uma assinatura ECDSA. Essa é toda a camada de autorização. Sem departamento de fraude, sem estorno, sem camada de verificação de identidade que possa distinguir um proprietário legítimo de um atacante quântico que possua a mesma chave privada derivada. Uma vez que uma assinatura forjada é aceita por consenso, a transferência é irreversível. Os sistemas que Saylor descreve como menos seguros estão, na verdade, já implantando proteções pós-quântica que o Bitcoin ainda não iniciou. Eles podem fazer isso porque são centralizados. A descentralização do Bitcoin, sua proposta de valor central, é justamente o que torna sua migração quântica mais difícil, lenta e tardia do que qualquer sistema com o qual ele o comparou. Afirmação 4: A comunidade cripto será a primeira a perceber a ameaça e agir. Isso pressupõe que um CRQC será anunciado publicamente. Adversários de Estados-nação não têm nenhum incentivo para divulgar uma capacidade quântica. O valor de inteligência de um CRQC é que ninguém sabe que você o possui. Você coleta silenciosamente, descriptografa silenciosamente, explora silenciosamente. Como seria "detectá-lo" no Bitcoin? Um atacante quântico não explora um bug, não contorna um firewall nem compromete um servidor. Eles produzem assinaturas válidas indistinguíveis das do proprietário legítimo, porque matematicamente possuem a mesma chave. Se um atacante começar a drenar endereços P2PK, cada roubo é uma transação assinada corretamente. Não existe um sistema de detecção de intrusões para a blockchain do Bitcoin. Transações são válidas ou não são. Quando alguém percebe um padrão em milhares de UTXOs, o dano já está feito e é irreversível. E o registro empírico contradiz diretamente a afirmação do "primeiro a agir". O estado atual de prontidão: um BIP sem cronograma de ativação, um debate contínuo sobre congelar as moedas de Satoshi e uma superfície de exposição quântica vulnerável que só está aumentando. A exposição está aumentando, não diminuindo, porque o reuso de endereços continua adicionando cada vez mais BTC ao conjunto vulnerável. Enquanto isso, o restante da internet já implantou o PQC para bilhões de usuários sem que ninguém perceba. Onde as coisas realmente estão Mantemos a Bitcoin Risq List, um rastreador de código aberto e continuamente atualizado do Bitcoin vulnerável à frequência quântica no nível de endereço. Até a altura do bloco 936.882 (fevereiro de 2026): aproximadamente 6,9 milhões de BTC em 13,9 milhões de endereços já tinham chaves públicas expostas. A Solana é 100% vulnerável ao quântico, pois sua estrutura de endereços expõe toda a chave pública. A análise da Deloitte constatou que 65% do Ethereum está em contas vulneráveis à quantidade quântica. A internet iniciou sua transição pós-quântica em 2022. Sistemas de segurança nacional têm um mandato de conformidade para 2027. O NIST tem como alvo a depreciação e a proibição de todos os algoritmos de chave pública vulneráveis à frequência quântica muito antes de 2035. A indústria blockchain, que protege diretamente o valor portador com as primitivas criptográficas exatas que um computador quântico quebra, tem um BIP e um debate. A questão não é se o quantum representa uma ameaça aos ativos digitais. O importante é saber se a indústria começará sua migração antes do fechamento da janela. A diferença entre o ritmo de adoção do PQC na internet e o ritmo da indústria blockchain não é uma lacuna de conscientização. É uma lacuna de urgência e, importante, essa lacuna não é fechada afirmando que a ameaça não existe.