我們團隊的新論文。後量子 HD 錢包，具有完整的非硬化公鑰衍生。 僅觀察錢包、xpubs、層級密鑰管理等，所有這些在標準格假設下都具有可證明的安全性。 BIP32 非硬化衍生依賴於橢圓曲線的線性代數。您將偏移量添加到父公鑰，並獲得有效的子公鑰。 後量子格方案以兩種方式破壞這一點。一些方案在密鑰生成過程中對其公鑰進行四捨五入，這會破壞線性性。即使不進行四捨五入，每次衍生也會添加噪聲，改變衍生密鑰的統計特徵，破壞不可連結性。 在這項工作中，我們構建了兩個構造。第一個使用 ML-DSA 進行僅硬化的衍生，並提供完整的安全性證明。第二個，即主要結果，使用 Raccoon-G，這是一種具有高斯分佈秘密的 Raccoon 變體。我們跳過四捨五入步驟，並發布完整的公鑰以保持線性性。在此之上，高斯在加法下是穩定的，因此衍生密鑰保持在與新密鑰相同的分佈族中。這使您能夠在標準格假設下進行可證明的非硬化衍生，並保持不可連結性和不可偽造性。 權衡是更大的密鑰和簽名，以及有限的衍生深度。在實踐中，深度限制並不具限制性，因為像 BIP44 這樣的實際錢包結構無論如何只在最後兩個層級使用非硬化衍生。 我們在 Rust 中實現了這兩個構造。論文和 Github 在下方。

尊重地說，Saylor 在量子問題上是錯的。 具體來說，他在四個主張上是錯的（我只關注技術方面的）。讓我逐一說明。 主張 1：網絡安全社區的共識是，量子在未來 10 年內不是威脅，因此不需要立即採取行動。 並不存在這樣的共識。相反，事實是：世界上每個主要的國家安全和標準機構目前都在積極要求進行後量子遷移，因為遷移本身需要十年或更長時間。 NSA CNSA 2.0 要求所有新的國家安全系統在 2035 年之前必須是量子安全的，而大部分工作將在接下來的 5 年內完成。NIST 在 2024 年 8 月發布了最終的 PQC 標準（ML-KEM、ML-DSA、SLH-DSA），並發布了 IR 8547，設定了在 2030 年之後淘汰所有量子脆弱的公鑰算法的目標，並在 2035 年之前完全禁止。英國 NCSC 設定了 2028 年、2031 年和 2035 年的遷移里程碑。 這些不是對遙遠假設的回應。這些是有合規截止日期的計劃，因為制定這些計劃的組織已經得出結論，現在開始幾乎是剛剛好。 歷史上，從新算法標準化到完全整合到信息系統中需要很長時間。過去的加密遷移證實了這一點。SHA-1 的淘汰大約花了 7 年。AES 的遷移大約花了 5 年。TLS 1.3 的推出花了 3-5 年，儘管提供了明確的性能優勢。NIST 已經得出結論，PQC 遷移在根本上比這些先例更為複雜。 時間線論點完全忽略了「現在收割，稍後解密」的問題。對手今天正在收集加密數據以便未來解密。美國聯邦儲備在 2025 年 9 月發布了這方面的分析，以比特幣作為案例研究。威脅已經存在。 主張 2：當量子來臨時，一切都會升級；銀行、互聯網、國防、比特幣。 互聯網已經在升級。到 2025 年 12 月，52% 的人類網絡流量在 Cloudflare 上使用了後量子密鑰交換，幾乎是年初 29% 的兩倍。Chrome 為 TLS 提供 ML-KEM。Apple 在 iOS 26 中啟用了 PQ TLS。OpenSSH 自 9.0 版本以來默認使用後量子密鑰協議。Signal 擁有後量子加密。AWS 和 Google Cloud 在其 KMS 產品中支持 PQC。Apple 將 ML-DSA 和 ML-KEM 添加到 CryptoKit 作為生產 API。 銀行和支付網絡是集中式的。Visa 推送固件更新或 SWIFT 更改協議規範。TLS 升級對最終用戶是不可見的（如果你使用 Chrome，你使用的 TLS 版本支持後量子，而你甚至不知道）。這些系統可以並且將在客戶不做任何事情的情況下進行遷移。 比特幣無法做到這一點。比特幣需要全球去中心化共識的分叉。PQC 簽名遷移在類別上比以前的分叉更難：ML-DSA-44 簽名為 2,420 字節，而 Schnorr 為 64 字節，這是 38 倍的增長，打破了比特幣現有的 SegWit 重量經濟學、腳本堆棧限制（520 字節最大）和交易傳播假設。一個 ML-DSA-44 簽名加上公鑰的大小是當前典型單輸入 P2WPKH 支出的幾倍。BIP-360 和 QBIP 作為（很棒的）提案存在。可惜的是，這兩者都沒有啟用時間表。 企業 PQC 遷移要容易得多。這些組織擁有執行權限來強制變更，擁有專門的安全團隊和既定的採購流程。比特幣沒有這些。區塊鏈治理在結構上比集中治理更慢。 「一切一起升級」的框架也忽略了永久暴露密鑰的問題。當銀行升級 TLS 時，舊會話並不重要，它們是短暫的。當比特幣升級時，約 690 萬 BTC 的公鑰已經暴露在不可變的賬本上，仍然存在。你無法從區塊鏈上取消發布公鑰。那些硬幣需要由其擁有者主動移動到新的量子安全地址。大約 172 萬 BTC 在 P2PK 地址中，包括 Satoshi 預計的 110 萬 BTC，因為私鑰丟失而可能永久暴露。 這沒有銀行的對應物。銀行不會維護每位客戶的身份驗證密鑰的公共、永久、不可變記錄，追溯到 17 年前。 主張 3：數字資產擁有最先進的加密安全；超過銀行、信用卡、股票等。 這將無信任與加密強度混為一談。它們不是同一屬性。 比特幣使用 secp256k1 上的 ECDSA。你銀行的 TLS 連接使用 P-256 或 X25519 上的 ECDHE。這些是同一類加密原語，橢圓曲線方案，其安全性基於離散對數問題的困難性。 Shor 的算法同樣破壞這兩者。兩者都不是「更先進」的。不同的是我們所稱的圍繞該原語的深度防禦架構。信用卡的刷卡支付交易涉及：使用短暫密鑰交換的 TLS、在經過認證的安全元件中具有硬件綁定密鑰的 EMV 晶片、令牌化以便商家永遠不會看到真實的卡號、基於會話的密鑰輪換、欺詐檢測、交易撤銷能力和監管保險。 比特幣交易涉及：一個 ECDSA 簽名。這就是整個授權層。沒有欺詐部門，沒有退款，沒有身份驗證層可以區分合法擁有者和持有相同派生私鑰的量子攻擊者。一旦偽造的簽名被共識接受，轉移就是不可逆的。 Saylor 描述的系統被認為不那麼安全，實際上已經部署了比比特幣尚未開始的後量子保護。它們能做到這一點，因為它們是集中式的。比特幣的去中心化，其核心價值主張，正是使其量子遷移比他所比較的每個系統更困難、更緩慢和更晚。 主張 4：加密社區將是第一個發現威脅並採取行動的。 這假設 CRQC 將被公開宣布。國家對手沒有任何動機來披露量子能力。CRQC 的整個情報價值在於沒有人知道你擁有它。你安靜地收割，安靜地解密，安靜地利用。 在比特幣上「發現它」會是什麼樣子？量子攻擊者不會利用漏洞、繞過防火牆或入侵伺服器。他們產生的有效簽名與合法擁有者無法區分，因為在數學上，他們持有相同的密鑰。如果攻擊者開始盜取 P2PK 地址，每次盜竊都是一筆正確簽名的交易。比特幣區塊鏈上沒有入侵檢測系統。交易要麼有效，要麼無效。當有人注意到數千個 UTXO 中的模式時，損害已經發生且不可逆。 而且，實證記錄直接反駁了「第一個行動」的主張。目前的準備狀態：一個沒有啟用時間表的 BIP，關於是否凍結 Satoshi 的硬幣的持續辯論，以及一個量子脆弱的暴露面正在不斷增加。暴露正在增加，而不是減少，因為地址重用繼續將越來越多的 BTC 添加到脆弱集合中。 與此同時，互聯網的其餘部分已經向數十億用戶部署了 PQC，而沒有人注意到。 實際情況 我們維護比特幣風險清單，這是一個開源的、持續更新的量子脆弱比特幣地址級跟蹤器。截至區塊高度 936,882（2026 年 2 月）：約 690 萬 BTC 分佈在 1390 萬個地址上，擁有暴露的公鑰。 Solana 100% 量子脆弱，因為其地址結構暴露了完整的公鑰。德勤的分析發現 65% 的以太坊在量子脆弱的賬戶中。 互聯網在 2022 年開始了其後量子過渡。國家安全系統有 2027 年的合規要求。NIST 目標是在 2035 年之前淘汰和禁止所有量子脆弱的公鑰算法。 區塊鏈行業直接保護持有價值，使用量子計算機破壞的確切加密原語，只有一個 BIP 和一場辯論。 問題不是量子是否對數字資產構成威脅。問題是行業是否會在窗口關閉之前開始其遷移。互聯網的 PQC 採用速度與區塊鏈行業的速度之間的差距不是意識的差距。這是一個緊迫感的差距，更重要的是，這個差距並不是通過聲稱威脅不存在來縮小的。