Novo artigo da nossa equipe. Carteiras HD pós-quânticas com derivação de chave pública não endurecida completa. Carteiras apenas para visualização, xpubs, gestão hierárquica de chaves, etc., tudo com segurança comprovável sob suposições padrão de rede de latice. A derivação não endurecida BIP32 depende da álgebra linear de curvas elípticas. Você adiciona um deslocamento a uma chave pública pai e obtém uma chave pública filha válida. Esquemas de rede de latice pós-quânticos quebram isso de duas maneiras. Alguns esquemas arredondam suas chaves públicas durante a geração de chaves, o que destrói a linearidade. E mesmo sem arredondamento, cada derivação adiciona ruído que altera o perfil estatístico das chaves derivadas, quebrando a desvinculabilidade. Neste trabalho, construímos duas construções. A primeira usa ML-DSA para derivação apenas endurecida com provas de segurança completas. A segunda, o resultado principal, usa Raccoon-G, uma variante do Raccoon com segredos distribuídos gaussianos. Pulamos a etapa de arredondamento e publicamos a chave pública completa para preservar a linearidade. Além disso, os gaussianos são estáveis sob adição, então as chaves derivadas permanecem na mesma família de distribuição que as novas. Isso lhe dá derivação não endurecida com desvinculabilidade e inforgabilidade comprováveis sob suposições padrão de rede de latice. A troca é chaves e assinaturas maiores, e uma profundidade de derivação limitada. Na prática, o limite de profundidade não é restritivo, uma vez que estruturas reais de carteiras como BIP44 usam apenas derivação não endurecida para os últimos dois níveis de qualquer maneira. Implementamos ambas as construções em Rust. Artigo e Github abaixo.

Respeitosamente, Saylor está errado aqui sobre o quântico. Especificamente, ele está errado em quatro afirmações (estou focando apenas nas técnicas). Deixe-me passar por cada uma delas. Afirmação 1: O consenso da comunidade de cibersegurança é que o quântico não é uma ameaça nos próximos 10 anos e, portanto, nenhuma ação imediata é necessária. Não existe tal consenso. O oposto é verdadeiro: todos os principais órgãos de segurança nacional e de normas do mundo estão ativamente exigindo migração pós-quântica agora, porque as migrações em si levam uma década ou mais. A NSA CNSA 2.0 exige que todos os novos Sistemas de Segurança Nacional sejam seguros contra quânticos antes de 2035, com a maior parte desse trabalho sendo feito nos próximos 5 anos. O NIST publicou padrões PQC finalizados (ML-KEM, ML-DSA, SLH-DSA) em agosto de 2024 e lançou o IR 8547 estabelecendo um alvo para descontinuar todos os algoritmos de chave pública vulneráveis a quânticos após 2030 e proibir completamente até 2035. O NCSC do Reino Unido estabeleceu marcos de migração para 2028, 2031 e 2035. Estas não são respostas a um hipotético distante. Estes são programas com prazos de conformidade porque as organizações que os estabeleceram concluíram que começar agora é mal apenas cedo o suficiente. Historicamente, levou muito tempo desde o momento em que um novo algoritmo é padronizado até que ele seja totalmente integrado em sistemas de informação. Migrações criptográficas passadas confirmam isso. A descontinuação do SHA-1 levou cerca de 7 anos. A migração do AES levou cerca de 5 anos. O lançamento do TLS 1.3 levou de 3 a 5 anos, apesar de oferecer benefícios de desempenho claros. O NIST já concluiu que a migração PQC é fundamentalmente mais complexa do que qualquer um desses precedentes. O argumento do cronograma ignora completamente a colheita-agora-descriptografar-depois. Os adversários estão coletando dados criptografados hoje para futura descriptografia. O Federal Reserve dos EUA publicou uma análise sobre isso em setembro de 2025, usando o Bitcoin como estudo de caso. A ameaça já está ativa. Afirmação 2: Quando o quântico chegar, tudo será atualizado; bancos, a internet, defesa, Bitcoin. A internet já está se atualizando. 52% do tráfego humano na web na Cloudflare usou troca de chaves pós-quânticas até dezembro de 2025, quase dobrando de 29% no início do ano. O Chrome envia ML-KEM para TLS. A Apple ativou o PQ TLS no iOS 26. O OpenSSH defaultou para acordos de chaves pós-quânticas desde a versão 9.0. O Signal tem criptografia pós-quântica. AWS e Google Cloud suportam PQC em seus produtos KMS. A Apple adicionou ML-DSA e ML-KEM ao CryptoKit como APIs de produção. Bancos e redes de pagamento são centralizados. A Visa empurra uma atualização de firmware ou o SWIFT muda uma especificação de protocolo. As atualizações do TLS são invisíveis para os usuários finais (se você usa o Chrome, você usa uma versão do TLS que suporta pós-quântico e você nem sabia). Esses sistemas podem e irão migrar sem que seus clientes façam nada. O Bitcoin não pode fazer isso. O Bitcoin requer um fork com consenso descentralizado global. Uma migração de assinatura PQC é categoricamente mais difícil do que forks anteriores: assinaturas ML-DSA-44 têm 2.420 bytes contra 64 bytes para Schnorr, um aumento de 38x que quebra a economia de peso existente do SegWit do Bitcoin, limites de pilha de Script (máximo de 520 bytes) e suposições de propagação de transações. Uma única assinatura ML-DSA-44 mais a chave pública é várias vezes maior do que um típico gasto P2WPKH de entrada única hoje. O BIP-360 e o QBIP existem como propostas (ótimas). Infelizmente, nenhuma delas tem um cronograma de ativação. A migração empresarial para PQC é muito mais fácil. Estas são organizações com autoridade executiva para exigir mudanças, equipes de segurança dedicadas e processos de aquisição estabelecidos. O Bitcoin não tem nada disso. A governança da blockchain é estruturalmente mais lenta do que a governança centralizada. A estrutura "tudo se atualiza junto" também ignora o problema da chave permanentemente exposta. Quando os bancos atualizam o TLS, as sessões antigas não importam, elas eram efêmeras. Quando o Bitcoin é atualizado, os ~6,9 milhões de BTC com chaves públicas já expostas no livro imutável ainda estão lá. Você não pode despublicar uma chave pública de uma blockchain. Essas moedas precisam ser ativamente movidas por seus proprietários para novos endereços seguros contra quânticos. Aproximadamente 1,72 milhão de BTC em endereços P2PK, incluindo os estimados 1,1 milhão de BTC de Satoshi, estão provavelmente permanentemente expostos porque as chaves privadas estão perdidas. Não há equivalente bancário a isso. Os bancos não mantêm um registro público, permanente e imutável de cada chave de autenticação de cliente que remonta a 17 anos. Afirmação 3: Os ativos digitais têm a segurança criptográfica mais avançada; mais do que bancos, cartões de crédito, ações, etc. Isso confunde a ausência de confiança com a força criptográfica. Não são a mesma propriedade. O Bitcoin usa ECDSA sobre secp256k1. A conexão TLS do seu banco usa ECDHE sobre P-256 ou X25519. Estas são a mesma classe de primitivos criptográficos, esquemas de curva elíptica cuja segurança repousa na dificuldade do problema do logaritmo discreto. O algoritmo de Shor quebra ambos de forma idêntica. Nenhum é "mais avançado" do que o outro. O que difere é o que chamamos de arquitetura de defesa em profundidade em torno desse primitivo. Uma transação de cartão de crédito por aproximação envolve: TLS com troca de chaves efêmeras, um chip EMV com chaves vinculadas ao hardware em um elemento seguro certificado, tokenização para que o comerciante nunca veja o número real do cartão, rotação de chaves baseada em sessão, detecção de fraudes, capacidade de reversão de transações e seguro regulatório. Uma transação de Bitcoin envolve: uma assinatura ECDSA. Essa é toda a camada de autorização. Sem departamento de fraudes, sem estorno, sem camada de verificação de identidade que possa distinguir um proprietário legítimo de um atacante quântico que possui a mesma chave privada derivada. Uma vez que uma assinatura forjada é aceita por consenso, a transferência é irreversível. Os sistemas que Saylor descreve como menos seguros estão, de fato, já implementando proteções pós-quânticas que o Bitcoin ainda não começou. Eles podem fazer isso porque são centralizados. A descentralização do Bitcoin, sua proposta de valor central, é precisamente o que torna sua migração quântica mais difícil, mais lenta e mais tardia do que todos os sistemas que ele comparou. Afirmação 4: A comunidade cripto será a primeira a detectar a ameaça e agir. Isso assume que um CRQC será anunciado publicamente. Adversários de estados-nação não têm nenhum incentivo para divulgar uma capacidade quântica. Todo o valor de inteligência de um CRQC é que ninguém sabe que você o possui. Você colhe silenciosamente, descriptografa silenciosamente, explora silenciosamente. Como seria "detectá-lo" no Bitcoin? Um atacante quântico não explora um bug, contorna um firewall ou compromete um servidor. Eles produzem assinaturas válidas indistinguíveis do proprietário legítimo, porque matematicamente, eles possuem a mesma chave. Se um atacante começar a drenar endereços P2PK, cada roubo é uma transação corretamente assinada. Não há sistema de detecção de intrusões para a blockchain do Bitcoin. As transações são válidas ou não são. Quando alguém percebe um padrão em milhares de UTXOs, o dano já foi feito e é irreversível. E o registro empírico contradiz diretamente a afirmação de "primeiro a agir". O estado atual de prontidão: um BIP sem cronograma de ativação, um debate em andamento sobre se congelar as moedas de Satoshi, e uma superfície de exposição vulnerável a quânticos que só está aumentando. A exposição está aumentando, não diminuindo, porque o reaproveitamento de endereços continua a adicionar mais e mais BTC ao conjunto vulnerável. Enquanto isso, o resto da internet já implementou PQC para bilhões de usuários sem que ninguém percebesse. Onde as coisas realmente estão Mantemos a Lista de Risco do Bitcoin, um rastreador de código aberto e continuamente atualizado de Bitcoin vulnerável a quânticos no nível de endereço. Até a altura do bloco 936.882 (fevereiro de 2026): aproximadamente 6,9 milhões de BTC em 13,9 milhões de endereços têm chaves públicas expostas. A Solana é 100% vulnerável a quânticos, pois sua estrutura de endereço expõe a chave pública completa. A análise da Deloitte descobriu que 65% do Ethereum está em contas vulneráveis a quânticos. A internet começou sua transição pós-quântica em 2022. Sistemas de segurança nacional têm um mandato de conformidade até 2027. O NIST visa descontinuar e proibir todos os algoritmos de chave pública vulneráveis a quânticos muito antes de 2035. A indústria de blockchain, que protege diretamente o valor portador com os exatos primitivos criptográficos que um computador quântico quebra, tem um BIP e um debate. A questão não é se o quântico é uma ameaça aos ativos digitais. É se a indústria começará sua migração antes que a janela se feche. A diferença entre o ritmo de adoção de PQC da internet e o ritmo da indústria de blockchain não é uma diferença de conscientização. É uma diferença de urgência e, o mais importante, a diferença não é fechada ao afirmar que a ameaça não existe.