Neues Papier von unserem Team. Post-quantum HD-Wallets mit vollständiger nicht-härtender Ableitung öffentlicher Schlüssel. Watch-Only-Wallets, xpubs, hierarchisches Schlüsselmanagement usw. alles mit nachweisbarer Sicherheit unter standardmäßigen Gitterannahmen. Die nicht-härtende Ableitung nach BIP32 hängt von der linearen Algebra elliptischer Kurven ab. Man fügt einem übergeordneten öffentlichen Schlüssel einen Offset hinzu und erhält einen gültigen untergeordneten öffentlichen Schlüssel. Post-quantum Gitter-Schemata brechen dies auf zwei Arten. Einige Schemata runden ihre öffentlichen Schlüssel während der Schlüsselerzeugung, was die Linearität zerstört. Und selbst ohne Runden fügt jede Ableitung Rauschen hinzu, das das statistische Profil der abgeleiteten Schlüssel verändert und die Unverknüpfbarkeit bricht. In dieser Arbeit haben wir zwei Konstruktionen entwickelt. Die erste verwendet ML-DSA für die nur-härtende Ableitung mit vollständigen Sicherheitsnachweisen. Die zweite, das Hauptergebnis, verwendet Raccoon-G, eine Variante von Raccoon mit gaussisch verteilten Geheimnissen. Wir überspringen den Rundungsschritt und veröffentlichen den vollständigen öffentlichen Schlüssel, um die Linearität zu bewahren. Darüber hinaus sind Gauss-Verteilungen stabil unter Addition, sodass abgeleitete Schlüssel in derselben Verteilungsfamilie wie frische bleiben. Das gibt Ihnen eine nicht-härtende Ableitung mit nachweisbarer Unverknüpfbarkeit und Unfälschbarkeit unter standardmäßigen Gitterannahmen. Der Kompromiss sind größere Schlüssel und Signaturen sowie eine begrenzte Ableitungstiefe. In der Praxis ist die Tiefenbegrenzung nicht einschränkend, da echte Wallet-Strukturen wie BIP44 ohnehin nur die nicht-härtende Ableitung für die letzten beiden Ebenen verwenden. Wir haben beide Konstruktionen in Rust implementiert. Papier und Github unten.

Respektvollerweise liegt Saylor hier bezüglich Quanten falsch. Konkret liegt er bei vier Behauptungen falsch (ich konzentriere mich nur auf die technischen). Lassen Sie mich jede einzeln durchgehen. Behauptung 1: Der Konsens der Cybersicherheitsgemeinschaft ist, dass Quanten in den nächsten 10 Jahren keine Bedrohung darstellen und daher keine sofortigen Maßnahmen erforderlich sind. Einen solchen Konsens gibt es nicht. Das Gegenteil ist der Fall: Jedes wichtige nationale Sicherheits- und Normungsgremium der Welt fordert derzeit aktiv eine Migration zu post-quanten Technologien, da die Migrationen selbst ein Jahrzehnt oder länger dauern. Die NSA CNSA 2.0 verlangt, dass alle neuen nationalen Sicherheitssysteme bis 2035 quantensicher sind, wobei der Großteil dieser Arbeiten in den nächsten 5 Jahren erledigt werden muss. NIST veröffentlichte im August 2024 die finalisierten PQC-Standards (ML-KEM, ML-DSA, SLH-DSA) und gab IR 8547 heraus, die ein Ziel festlegt, um alle quantenanfälligen Public-Key-Algorithmen nach 2030 abzulehnen und bis 2035 vollständig zu verbieten. Das UK NCSC setzte Migrationsmeilensteine für 2028, 2031 und 2035. Dies sind keine Reaktionen auf eine entfernte Hypothese. Dies sind Programme mit Fristen zur Einhaltung, weil die Organisationen, die sie festgelegt haben, zu dem Schluss gekommen sind, dass es kaum früh genug ist, um jetzt zu beginnen. Historisch gesehen hat es lange gedauert, vom Moment der Standardisierung eines neuen Algorithmus bis zu seiner vollständigen Integration in Informationssysteme. Frühere kryptografische Migrationen bestätigen dies. Die Abschaffung von SHA-1 dauerte etwa 7 Jahre. Die Migration zu AES dauerte rund 5 Jahre. Die Einführung von TLS 1.3 dauerte 3-5 Jahre, obwohl sie klare Leistungsverbesserungen bot. NIST hat bereits festgestellt, dass die Migration zu PQC grundsätzlich komplexer ist als jede dieser Vorgänger. Das Zeitargument ignoriert vollständig das Ernte-jetzt-entschlüsseln-später. Gegner sammeln heute verschlüsselte Daten für zukünftige Entschlüsselungen. Die US-Notenbank veröffentlichte im September 2025 eine Analyse dazu, die Bitcoin als Fallstudie verwendete. Die Bedrohung ist bereits aktiv. Behauptung 2: Wenn Quanten zuschlagen, wird alles aufgerüstet; Banken, das Internet, Verteidigung, Bitcoin. Das Internet wird bereits aufgerüstet. 52 % des menschlichen Webverkehrs auf Cloudflare verwendeten bis Dezember 2025 einen post-quanten Schlüsselaustausch, fast eine Verdopplung von 29 % zu Beginn des Jahres. Chrome liefert ML-KEM für TLS aus. Apple aktivierte PQ TLS in iOS 26. OpenSSH hat seit Version 9.0 standardmäßig auf post-quanten Schlüsselaustausch umgestellt. Signal hat post-quanten Verschlüsselung. AWS und Google Cloud unterstützen PQC in ihren KMS-Produkten. Apple fügte ML-DSA und ML-KEM zu CryptoKit als Produktions-APIs hinzu. Banken und Zahlungsnetzwerke sind zentralisiert. Visa drängt auf ein Firmware-Update oder SWIFT ändert eine Protokollspezifikation. TLS-Upgrades sind für Endbenutzer unsichtbar (wenn Sie Chrome verwenden, verwenden Sie eine TLS-Version, die post-quanten unterstützt, und Sie wussten es nicht einmal). Diese Systeme können und werden migrieren, ohne dass ihre Kunden etwas tun müssen. Bitcoin kann dies nicht tun. Bitcoin erfordert einen Fork mit globalem dezentralem Konsens. Eine Migration zu PQC-Signaturen ist kategorisch schwieriger als frühere Forks: ML-DSA-44-Signaturen sind 2.420 Bytes im Vergleich zu 64 Bytes für Schnorr, ein 38-facher Anstieg, der die bestehenden SegWit-Gewichtswirtschaften von Bitcoin, die Skriptstapelgrenzen (maximal 520 Bytes) und die Annahmen zur Transaktionsverbreitung bricht. Eine einzige ML-DSA-44-Signatur plus öffentlicher Schlüssel ist mehrere Male größer als ein typischer einzelner P2WPKH-Ausgabe heute. BIP-360 und QBIP existieren als (großartige) Vorschläge. Leider haben beide keinen Aktivierungszeitplan. Die Migration zu PQC in Unternehmen ist viel einfacher. Dies sind Organisationen mit exekutiver Autorität, um Änderungen anzuordnen, dedizierten Sicherheitsteams und etablierten Beschaffungsprozessen. Bitcoin hat keines davon. Die Blockchain-Governance ist strukturell langsamer als die zentrale Governance. Die "alles wird zusammen aufgerüstet"-Darstellung ignoriert auch das Problem der dauerhaft exponierten Schlüssel. Wenn Banken TLS aufrüsten, sind alte Sitzungen nicht wichtig, sie waren ephemer. Wenn Bitcoin aufrüstet, sitzen die ~6,9 Millionen BTC mit bereits exponierten öffentlichen Schlüsseln im unveränderlichen Ledger immer noch dort. Sie können einen öffentlichen Schlüssel nicht von einer Blockchain zurückziehen. Diese Coins müssen aktiv von ihren Besitzern auf neue quantensichere Adressen bewegt werden. Etwa 1,72 Millionen BTC in P2PK-Adressen, einschließlich der geschätzten 1,1 Millionen BTC von Satoshi, sind wahrscheinlich dauerhaft exponiert, da die privaten Schlüssel verloren sind. Es gibt kein Bankäquivalent dazu. Banken führen kein öffentliches, permanentes, unveränderliches Protokoll jedes Authentifizierungsschlüssels jedes Kunden, das 17 Jahre zurückreicht. Behauptung 3: Digitale Vermögenswerte haben die fortschrittlichste kryptografische Sicherheit; mehr als Banken, Kreditkarten, Aktien usw. Dies vermischt Vertrauenlosigkeit mit kryptografischer Stärke. Es sind nicht dieselben Eigenschaften. Bitcoin verwendet ECDSA über secp256k1. Die TLS-Verbindung Ihrer Bank verwendet ECDHE über P-256 oder X25519. Dies sind dieselbe Klasse von kryptografischen Primitiven, elliptische Kurvenschemata, deren Sicherheit auf der Schwierigkeit des diskreten Logarithmusproblems beruht. Shors Algorithmus bricht beide identisch. Keines ist "fortschrittlicher" als das andere. Was sich unterscheidet, ist das, was wir die Verteidigung-in-der-Tiefe-Architektur um dieses Primitive nennen. Eine Kreditkartentransaktion mit kontaktloser Zahlung umfasst: TLS mit ephemerem Schlüsselaustausch, einen EMV-Chip mit hardwaregebundenen Schlüsseln in einem zertifizierten sicheren Element, Tokenisierung, sodass der Händler die echte Kartennummer niemals sieht, sitzungsbasierte Schlüsselrotation, Betrugserkennung, Rückbuchungsmöglichkeiten und regulatorische Versicherungen. Eine Bitcoin-Transaktion umfasst: eine ECDSA-Signatur. Das ist die gesamte Autorisierungsebene. Keine Betrugsabteilung, keine Rückbuchung, keine Identitätsüberprüfungsebene, die einen legitimen Eigentümer von einem quantenangreifenden Angreifer unterscheiden kann, der denselben abgeleiteten privaten Schlüssel hält. Sobald eine gefälschte Signatur durch Konsens akzeptiert wird, ist die Übertragung irreversibel. Die Systeme, die Saylor als weniger sicher beschreibt, setzen tatsächlich bereits post-quanten Schutzmaßnahmen ein, die Bitcoin noch nicht begonnen hat. Sie können dies tun, weil sie zentralisiert sind. Die Dezentralisierung von Bitcoin, sein zentraler Wertvorschlag, ist genau das, was seine Migration zu Quanten schwieriger, langsamer und später macht als jedes System, mit dem er es verglichen hat. Behauptung 4: Die Krypto-Community wird die erste sein, die die Bedrohung erkennt und handelt. Dies setzt voraus, dass ein CRQC öffentlich angekündigt wird. Nation-State-Gegner haben keinen Anreiz, eine Quantenfähigkeit offenzulegen. Der gesamte Geheimdienstwert eines CRQC besteht darin, dass niemand weiß, dass Sie ihn haben. Sie ernten leise, entschlüsseln leise, nutzen leise aus. Wie würde "es erkennen" bei Bitcoin aussehen? Ein Quantenangreifer nutzt keinen Fehler aus, um eine Firewall zu umgehen oder einen Server zu kompromittieren. Sie produzieren gültige Signaturen, die von der legitimen Eigentümerin nicht zu unterscheiden sind, weil sie mathematisch denselben Schlüssel halten. Wenn ein Angreifer beginnt, P2PK-Adressen abzuziehen, ist jeder Diebstahl eine korrekt signierte Transaktion. Es gibt kein Intrusion-Detection-System für die Bitcoin-Blockchain. Transaktionen sind gültig oder sie sind es nicht. Bis jemand ein Muster über Tausende von UTXOs bemerkt, ist der Schaden angerichtet und irreversibel. Und der empirische Rekord widerspricht direkt der Behauptung "die ersten zu handeln". Der aktuelle Stand der Bereitschaft: ein BIP ohne Aktivierungszeitplan, eine laufende Debatte darüber, ob Satoshis Coins eingefroren werden sollen, und eine quantenanfällige Angriffsfläche, die nur zunimmt. Die Exposition nimmt zu, nicht ab, da die Adresswiederverwendung weiterhin immer mehr BTC zur anfälligen Menge hinzufügt. In der Zwischenzeit hat der Rest des Internets bereits PQC für Milliarden von Nutzern bereitgestellt, ohne dass es jemand bemerkt hat. Wo die Dinge tatsächlich stehen Wir führen die Bitcoin Risq List, einen Open-Source, kontinuierlich aktualisierten Tracker von quantenanfälligem Bitcoin auf Adressbasis. Stand Blockhöhe 936.882 (Februar 2026): etwa 6,9 Millionen BTC über 13,9 Millionen Adressen haben exponierte öffentliche Schlüssel. Solana ist 100 % quantenanfällig, da ihre Adressstruktur den vollständigen öffentlichen Schlüssel exponiert. Die Analyse von Deloitte ergab, dass 65 % von Ethereum in quantenanfälligen Konten sind. Das Internet begann seinen Übergang zu post-quanten Technologien im Jahr 2022. Nationale Sicherheitssysteme haben eine Compliance-Vorgabe bis 2027. NIST zielt darauf ab, alle quantenanfälligen Public-Key-Algorithmen lange vor 2035 abzulehnen und zu verbieten. Die Blockchain-Industrie, die direkt den Trägerwert mit den genauen kryptografischen Primitiven schützt, die ein Quantencomputer bricht, hat ein BIP und eine Debatte. Die Frage ist nicht, ob Quanten eine Bedrohung für digitale Vermögenswerte darstellen. Es ist, ob die Branche ihre Migration beginnen wird, bevor das Zeitfenster schließt. Die Kluft zwischen dem Tempo der PQC-Akzeptanz des Internets und dem Tempo der Blockchain-Industrie ist keine Kluft im Bewusstsein. Es ist eine Kluft in der Dringlichkeit und wichtig ist, dass die Kluft nicht geschlossen wird, indem man behauptet, dass die Bedrohung nicht existiert.