Новая работа нашей команды. Постквантовые HD-кошельки с полной нехардированной производной публичного ключа. Кошельки только для просмотра, xpubs, иерархическое управление ключами и т.д. — все с доказуемой безопасностью при стандартных предположениях о решетках. Нехардированная производная BIP32 зависит от линейной алгебры эллиптических кривых. Вы добавляете смещение к родительскому публичному ключу и получаете действительный дочерний публичный ключ. Постквантовые схемы решеток нарушают это двумя способами. Некоторые схемы округляют свои публичные ключи во время генерации ключей, что разрушает линейность. И даже без округления каждая производная добавляет шум, который изменяет статистический профиль производных ключей, нарушая их несвязываемость. В этой работе мы построили две конструкции. Первая использует ML-DSA для только хардированной производной с полными доказательствами безопасности. Вторая, основной результат, использует Raccoon-G, вариант Raccoon с гауссовски распределенными секретами. Мы пропускаем шаг округления и публикуем полный публичный ключ, чтобы сохранить линейность. Кроме того, гауссианы стабильны при сложении, поэтому производные ключи остаются в той же распределительной семье, что и свежие. Это дает вам нехардированную производную с доказуемой несвязываемостью и не подделываемостью при стандартных предположениях о решетках. Компромисс заключается в больших ключах и подписях, а также в ограниченной глубине производной. На практике ограничение по глубине не является ограничительным, поскольку реальные структуры кошельков, такие как BIP44, в любом случае используют нехардированную производную только для последних двух уровней. Мы реализовали обе конструкции на Rust. Статья и Github ниже.