我们团队的新论文。后量子 HD 钱包，具有完整的非硬化公钥派生。 仅观察钱包、xpubs、分层密钥管理等，所有这些在标准格假设下都具有可证明的安全性。 BIP32 非硬化派生依赖于椭圆曲线的线性代数。您将一个偏移量添加到父公钥，并获得一个有效的子公钥。 后量子格方案以两种方式破坏了这一点。一些方案在密钥生成过程中对其公钥进行四舍五入，这破坏了线性性。即使没有四舍五入，每次派生也会添加噪声，改变派生密钥的统计特征，破坏不可链接性。 在这项工作中，我们构建了两个构造。第一个使用 ML-DSA 进行仅硬化派生，并提供完整的安全性证明。第二个，即主要结果，使用 Raccoon-G，这是 Raccoon 的一种变体，具有高斯分布的秘密。我们跳过四舍五入步骤，发布完整的公钥以保持线性性。除此之外，高斯在加法下是稳定的，因此派生密钥保持在与新密钥相同的分布族中。这为您提供了在标准格假设下具有可证明的不可链接性和不可伪造性的非硬化派生。 权衡是更大的密钥和签名，以及有限的派生深度。在实践中，深度限制并不严格，因为像 BIP44 这样的真实钱包结构无论如何只在最后两个级别使用非硬化派生。 我们在 Rust 中实现了这两个构造。论文和 Github 在下面。