Новая работа нашей команды. Постквантовые HD-кошельки с полной нехардированной производной публичного ключа. Кошельки только для просмотра, xpubs, иерархическое управление ключами и т.д. — все с доказуемой безопасностью при стандартных предположениях о решетках. Нехардированная производная BIP32 зависит от линейной алгебры эллиптических кривых. Вы добавляете смещение к родительскому публичному ключу и получаете действительный дочерний публичный ключ. Постквантовые схемы решеток нарушают это двумя способами. Некоторые схемы округляют свои публичные ключи во время генерации ключей, что разрушает линейность. И даже без округления каждая производная добавляет шум, который изменяет статистический профиль производных ключей, нарушая их несвязываемость. В этой работе мы построили две конструкции. Первая использует ML-DSA для только хардированной производной с полными доказательствами безопасности. Вторая, основной результат, использует Raccoon-G, вариант Raccoon с гауссовски распределенными секретами. Мы пропускаем шаг округления и публикуем полный публичный ключ, чтобы сохранить линейность. Кроме того, гауссианы стабильны при сложении, поэтому производные ключи остаются в той же распределительной семье, что и свежие. Это дает вам нехардированную производную с доказуемой несвязываемостью и не подделываемостью при стандартных предположениях о решетках. Компромисс заключается в больших ключах и подписях, а также в ограниченной глубине производной. На практике ограничение по глубине не является ограничительным, поскольку реальные структуры кошельков, такие как BIP44, в любом случае используют нехардированную производную только для последних двух уровней. Мы реализовали обе конструкции на Rust. Статья и Github ниже.

С уважением, Сейлор здесь ошибается по поводу квантовых технологий. В частности, он ошибается в четырех утверждениях (я сосредоточусь только на технических). Позвольте мне пройтись по каждому из них. Утверждение 1: Консенсус в сообществе кибербезопасности заключается в том, что квантовые технологии не представляют угрозы в течение следующих 10 лет, и, следовательно, никаких немедленных действий не требуется. Такого консенсуса нет. Наоборот, каждая крупная национальная служба безопасности и стандартизации в мире активно требует миграции на постквантовые технологии прямо сейчас, потому что сама миграция занимает десятилетия или более. NSA CNSA 2.0 требует, чтобы все новые национальные системы безопасности были защищены от квантовых технологий до 2035 года, при этом большая часть работы будет выполнена в следующие 5 лет. NIST опубликовал окончательные стандарты PQC (ML-KEM, ML-DSA, SLH-DSA) в августе 2024 года и выпустил IR 8547, устанавливающий цель по прекращению использования всех уязвимых к квантовым технологиям алгоритмов с открытым ключом после 2030 года и полного запрета к 2035 году. UK NCSC установил вехи миграции на 2028, 2031 и 2035 годы. Это не ответы на далекую гипотетическую ситуацию. Это программы с сроками соблюдения, потому что организации, которые их устанавливают, пришли к выводу, что начинать сейчас едва ли достаточно рано. Исторически, интеграция нового алгоритма в информационные системы занимает много времени. Прошлые криптографические миграции это подтверждают. Устранение SHA-1 заняло около 7 лет. Миграция на AES заняла около 5 лет. Внедрение TLS 1.3 заняло 3-5 лет, несмотря на явные преимущества производительности. NIST уже пришел к выводу, что миграция на PQC по своей сути более сложна, чем любые из этих прецедентов. Аргумент о временных рамках полностью игнорирует принцип "собрать сейчас, расшифровать позже". Противники собирают зашифрованные данные сегодня для будущей расшифровки. Федеральная резервная система США опубликовала анализ этого в сентябре 2025 года, используя Bitcoin в качестве примера. Угроза уже активна. Утверждение 2: Когда квантовые технологии появятся, все обновится; банки, интернет, оборона, Bitcoin. Интернет уже обновляется. 52% человеческого веб-трафика на Cloudflare использовали постквантовый обмен ключами к декабрю 2025 года, почти удвоившись с 29% в начале года. Chrome поставляет ML-KEM для TLS. Apple включила PQ TLS в iOS 26. OpenSSH по умолчанию использует постквантовое согласование ключей с версии 9.0. Signal использует постквантовое шифрование. AWS и Google Cloud поддерживают PQC в своих продуктах KMS. Apple добавила ML-DSA и ML-KEM в CryptoKit в качестве производственных API. Банки и платежные сети централизованы. Visa продвигает обновление прошивки или SWIFT изменяет спецификацию протокола. Обновления TLS невидимы для конечных пользователей (если вы используете Chrome, вы используете версию TLS, которая поддерживает постквантовые технологии, и вы даже не знали об этом). Эти системы могут и будут мигрировать без каких-либо действий со стороны их клиентов. Bitcoin не может этого сделать. Bitcoin требует форка с глобальным децентрализованным консенсусом. Миграция на подписи PQC категорически сложнее, чем предыдущие форки: подписи ML-DSA-44 составляют 2420 байт против 64 байт для Schnorr, что является увеличением в 38 раз, что нарушает существующую экономику веса SegWit Bitcoin, лимиты стека Script (максимум 520 байт) и предположения о распространении транзакций. Одна подпись ML-DSA-44 плюс открытый ключ в несколько раз больше, чем вся типичная транзакция P2WPKH с одним входом сегодня. BIP-360 и QBIP существуют как (отличные) предложения. К сожалению, ни одно из них не имеет временных рамок активации. Миграция на PQC для предприятий гораздо проще. Это организации с исполнительной властью, чтобы требовать изменения, с выделенными командами безопасности и установленными процессами закупок. У Bitcoin нет ничего из этого. Управление блокчейном структурно медленнее, чем централизованное управление. Формулировка "все обновляется вместе" также игнорирует проблему постоянно открытых ключей. Когда банки обновляют TLS, старые сессии не имеют значения, они были эфемерными. Когда Bitcoin обновляется, ~6.9 миллиона BTC с уже открытыми публичными ключами на неизменном реестре все еще находятся там. Вы не можете удалить публичный ключ из блокчейна. Эти монеты должны быть активно перемещены их владельцами на новые адреса, защищенные от квантовых технологий. Приблизительно 1.72 миллиона BTC находятся в адресах P2PK, включая оценочные 1.1 миллиона BTC Сатоши, вероятно, навсегда открыты, потому что приватные ключи потеряны. Нет банковского эквивалента этому. Банки не ведут публичный, постоянный, неизменный реестр каждого ключа аутентификации клиента за последние 17 лет. Утверждение 3: Цифровые активы имеют самую продвинутую криптографическую безопасность; больше, чем банки, кредитные карты, акции и т.д. Это смешивает отсутствие доверия с криптографической силой. Это не одно и то же свойство. Bitcoin использует ECDSA на secp256k1. TLS-соединение вашего банка использует ECDHE на P-256 или X25519. Это один и тот же класс криптографических примитивов, схемы эллиптической кривой, безопасность которых основана на сложности задачи дискретного логарифма. Алгоритм Шора ломает оба идентично. Ни один из них не является "более продвинутым" чем другой. То, что отличается, это то, что мы называем архитектурой защиты в глубину вокруг этого примитива. Транзакция с кредитной картой с оплатой по касанию включает: TLS с эфемерным обменом ключами, чип EMV с аппаратно-привязанными ключами в сертифицированном защищенном элементе, токенизацию, чтобы продавец никогда не видел реальный номер карты, ротацию ключей на основе сессии, обнаружение мошенничества, возможность отмены транзакции и регуляторное страхование. Транзакция Bitcoin включает: одну подпись ECDSA. Это весь уровень авторизации. Нет отдела по борьбе с мошенничеством, нет возврата платежа, нет слоя проверки личности, который может отличить законного владельца от квантового атакующего, держащего тот же производный приватный ключ. Как только подделанная подпись принимается консенсусом, передача становится необратимой. Системы, которые описывает Сейлор как менее безопасные, на самом деле уже внедряют постквантовые защиты, которые Bitcoin еще не начал. Они могут это сделать, потому что они централизованы. Децентрализация Bitcoin, его основное ценностное предложение, именно то, что делает его миграцию на квантовые технологии более сложной, медленной и поздней, чем у каждой системы, с которой он его сравнивает. Утверждение 4: Сообщество криптовалют будет первым, кто заметит угрозу и предпримет действия. Это предполагает, что CRQC будет публично объявлен. Противники на уровне государств не имеют никакого стимула раскрывать квантовые возможности. Вся разведывательная ценность CRQC заключается в том, что никто не знает, что у вас есть. Вы собираете тихо, расшифровываете тихо, эксплуатируете тихо. Как бы выглядело "замечание этого" в Bitcoin? Квантовый атакующий не использует уязвимость, не обходит брандмауэр и не компрометирует сервер. Они производят действительные подписи, неотличимые от подписи законного владельца, потому что математически они держат тот же ключ. Если атакующий начинает опустошать адреса P2PK, каждое кража — это правильно подписанная транзакция. Для блокчейна Bitcoin нет системы обнаружения вторжений. Транзакции либо действительны, либо нет. К тому времени, когда кто-то заметит закономерность среди тысяч UTXO, ущерб уже нанесен и необратим. А эмпирическая запись прямо противоречит утверждению "первым действовать". Текущая готовность: один BIP без временных рамок активации, продолжающиеся дебаты о том, следует ли заморозить монеты Сатоши, и поверхность уязвимости к квантовым технологиям, которая только увеличивается. Уязвимость растет, а не уменьшается, потому что повторное использование адресов продолжает добавлять все больше и больше BTC в уязвимый набор. Тем временем остальная часть интернета уже внедрила PQC для миллиардов пользователей, не заметив этого. Где на самом деле находятся дела Мы ведем список рисков Bitcoin, открытый, постоянно обновляемый трекер уязвимого к квантовым технологиям Bitcoin на уровне адресов. На момент высоты блока 936882 (февраль 2026 года): примерно 6.9 миллиона BTC на 13.9 миллиона адресов имеют открытые публичные ключи. Solana на 100% уязвима к квантовым технологиям, так как их структура адресов раскрывает полный публичный ключ. Анализ Deloitte показал, что 65% Ethereum находится в квантово-уязвимых аккаунтах. Интернет начал свою постквантовую трансформацию в 2022 году. Национальные системы безопасности имеют обязательство по соблюдению до 2027 года. NIST нацеливается на прекращение использования и запрет всех уязвимых к квантовым технологиям алгоритмов с открытым ключом задолго до 2035 года. Блокчейн-индустрия, которая непосредственно защищает ценность носителя с помощью тех же криптографических примитивов, которые ломает квантовый компьютер, имеет BIP и дебаты. Вопрос не в том, является ли квантовая угроза для цифровых активов. Вопрос в том, начнет ли индустрия свою миграцию до закрытия окна. Разрыв между темпами принятия PQC в интернете и темпами блокчейн-индустрии не является разрывом в осведомленности. Это разрыв в срочности, и, что важно, этот разрыв не закрывается утверждением, что угроза не существует.