Nouveau document de notre équipe. Portefeuilles HD post-quantiques avec dérivation complète de clés publiques non durcies. Portefeuilles en mode observation, xpubs, gestion hiérarchique des clés, etc. tout avec une sécurité prouvable sous des hypothèses de réseau standard. La dérivation non durcie BIP32 dépend de l'algèbre linéaire des courbes elliptiques. Vous ajoutez un décalage à une clé publique parente et obtenez une clé publique enfant valide. Les schémas de réseau post-quantiques brisent cela de deux manières. Certains schémas arrondissent leurs clés publiques lors de la génération de clés, ce qui détruit la linéarité. Et même sans arrondi, chaque dérivation ajoute du bruit qui change le profil statistique des clés dérivées, brisant l'unlinkabilité. Dans ce travail, nous avons construit deux constructions. La première utilise ML-DSA pour une dérivation uniquement durcie avec des preuves de sécurité complètes. La seconde, le résultat principal, utilise Raccoon-G, une variante de Raccoon avec des secrets distribués selon une loi gaussienne. Nous sautons l'étape d'arrondi et publions la clé publique complète pour préserver la linéarité. De plus, les gaussiennes sont stables sous addition, donc les clés dérivées restent dans la même famille de distribution que les nouvelles. Cela vous donne une dérivation non durcie avec une unlinkabilité et une inaltérabilité prouvables sous des hypothèses de réseau standard. Le compromis est des clés et des signatures plus grandes, et une profondeur de dérivation limitée. En pratique, la limite de profondeur n'est pas restrictive puisque les structures de portefeuille réelles comme BIP44 n'utilisent de toute façon la dérivation non durcie que pour les deux derniers niveaux. Nous avons implémenté les deux constructions en Rust. Document et Github ci-dessous.

Respectueusement, Saylor a tort ici sur le quantique. Plus précisément, il a tort sur quatre affirmations (je ne me concentre que sur les aspects techniques). Permettez-moi de passer en revue chacune d'elles. Affirmation 1 : Le consensus de la communauté de la cybersécurité est que le quantique n'est pas une menace pour les 10 prochaines années et qu'aucune action immédiate n'est nécessaire. Il n'y a pas un tel consensus. Le contraire est vrai : chaque organisme de sécurité nationale et de normalisation majeur dans le monde exige actuellement une migration post-quantique, car les migrations elles-mêmes prennent une décennie ou plus. La CNSA 2.0 de la NSA exige que tous les nouveaux systèmes de sécurité nationale soient sûrs contre le quantique avant 2035, la plupart de ce travail étant effectué dans les 5 prochaines années. Le NIST a publié des normes PQC finalisées (ML-KEM, ML-DSA, SLH-DSA) en août 2024 et a publié l'IR 8547 fixant un objectif pour déprécier tous les algorithmes de clé publique vulnérables au quantique après 2030 et les interdire complètement d'ici 2035. Le NCSC du Royaume-Uni a fixé des jalons de migration pour 2028, 2031 et 2035. Ce ne sont pas des réponses à une hypothèse lointaine. Ce sont des programmes avec des délais de conformité parce que les organisations qui les ont établis ont conclu qu'il est à peine assez tôt pour commencer maintenant. Historiquement, il a fallu beaucoup de temps depuis le moment où un nouvel algorithme est standardisé jusqu'à ce qu'il soit entièrement intégré dans les systèmes d'information. Les migrations cryptographiques passées le confirment. La dépréciation de SHA-1 a pris environ 7 ans. La migration vers AES a pris environ 5 ans. Le déploiement de TLS 1.3 a pris de 3 à 5 ans malgré des avantages de performance clairs. Le NIST a déjà conclu que la migration PQC est fondamentalement plus complexe que tous ces précédents. L'argument du calendrier ignore complètement le principe de la récolte maintenant, décryptage plus tard. Les adversaires collectent des données cryptées aujourd'hui pour un décryptage futur. La Réserve fédérale des États-Unis a publié une analyse à ce sujet en septembre 2025, utilisant Bitcoin comme étude de cas. La menace est déjà active. Affirmation 2 : Lorsque le quantique frappera, tout sera mis à jour ; banques, internet, défense, Bitcoin. L'internet est déjà en train de se mettre à jour. 52 % du trafic web humain sur Cloudflare utilisait l'échange de clés post-quantiques d'ici décembre 2025, presque le double de 29 % au début de l'année. Chrome expédie ML-KEM pour TLS. Apple a activé PQ TLS dans iOS 26. OpenSSH a par défaut adopté l'accord de clé post-quantique depuis la version 9.0. Signal a un chiffrement post-quantique. AWS et Google Cloud prennent en charge le PQC dans leurs produits KMS. Apple a ajouté ML-DSA et ML-KEM à CryptoKit en tant qu'APIs de production. Les banques et les réseaux de paiement sont centralisés. Visa pousse une mise à jour de firmware ou SWIFT change une spécification de protocole. Les mises à jour TLS sont invisibles pour les utilisateurs finaux (si vous utilisez Chrome, vous utilisez une version TLS qui prend en charge le post-quantique et vous ne le saviez même pas). Ces systèmes peuvent et vont migrer sans que leurs clients n'aient à faire quoi que ce soit. Bitcoin ne peut pas faire cela. Bitcoin nécessite un fork avec un consensus décentralisé mondial. Une migration de signature PQC est catégoriquement plus difficile que les forks précédents : les signatures ML-DSA-44 font 2 420 octets contre 64 octets pour Schnorr, une augmentation de 38x qui casse l'économie de poids existante de SegWit de Bitcoin, les limites de pile de Script (maximum de 520 octets) et les hypothèses de propagation des transactions. Une seule signature ML-DSA-44 plus la clé publique est plusieurs fois plus grande qu'un dépense typique à entrée unique P2WPKH aujourd'hui. Le BIP-360 et le QBIP existent en tant que (grands) propositions. Malheureusement, aucun n'a de calendrier d'activation. La migration PQC des entreprises est beaucoup plus facile. Ce sont des organisations ayant l'autorité exécutive pour imposer des changements, des équipes de sécurité dédiées et des processus d'approvisionnement établis. Bitcoin n'a rien de tout cela. La gouvernance de la blockchain est structurellement plus lente que la gouvernance centralisée. Le cadre "tout se met à jour ensemble" ignore également le problème des clés exposées de manière permanente. Lorsque les banques mettent à jour TLS, les anciennes sessions n'ont pas d'importance, elles étaient éphémères. Lorsque Bitcoin se met à jour, les ~6,9 millions de BTC avec des clés publiques déjà exposées sur le registre immuable sont toujours là. Vous ne pouvez pas dé-publier une clé publique d'une blockchain. Ces pièces doivent être activement déplacées par leurs propriétaires vers de nouvelles adresses sûres contre le quantique. Environ 1,72 million de BTC dans des adresses P2PK, y compris les estimations de 1,1 million de BTC de Satoshi, sont probablement exposées de manière permanente car les clés privées sont perdues. Il n'y a pas d'équivalent bancaire à cela. Les banques ne maintiennent pas un enregistrement public, permanent et immuable de chaque clé d'authentification de client remontant à 17 ans. Affirmation 3 : Les actifs numériques ont la sécurité cryptographique la plus avancée ; plus que les banques, les cartes de crédit, les actions, etc. Cela confond l'absence de confiance avec la force cryptographique. Ce ne sont pas la même propriété. Bitcoin utilise ECDSA sur secp256k1. La connexion TLS de votre banque utilise ECDHE sur P-256 ou X25519. Ce sont la même classe de primitive cryptographique, des schémas de courbe elliptique dont la sécurité repose sur la difficulté du problème du logarithme discret. L'algorithme de Shor casse les deux de manière identique. Aucun n'est "plus avancé" que l'autre. Ce qui diffère, c'est ce que nous appelons l'architecture de défense en profondeur autour de cette primitive. Une transaction de paiement par carte de crédit implique : TLS avec échange de clés éphémères, une puce EMV avec des clés liées au matériel dans un élément sécurisé certifié, la tokenisation afin que le commerçant ne voie jamais le vrai numéro de carte, la rotation de clés basée sur la session, la détection de fraude, la capacité de retour de transaction et une assurance réglementaire. Une transaction Bitcoin implique : une signature ECDSA. C'est toute la couche d'autorisation. Pas de département de fraude, pas de rétrofacturation, pas de couche de vérification d'identité qui peut distinguer un propriétaire légitime d'un attaquant quantique détenant la même clé privée dérivée. Une fois qu'une signature falsifiée est acceptée par consensus, le transfert est irréversible. Les systèmes que Saylor décrit comme moins sécurisés déploient en fait déjà des protections post-quantiques que Bitcoin n'a pas encore commencées. Ils peuvent le faire parce qu'ils sont centralisés. La décentralisation de Bitcoin, sa proposition de valeur fondamentale, est précisément ce qui rend sa migration quantique plus difficile, plus lente et plus tardive que chaque système auquel il l'a comparé. Affirmation 4 : La communauté crypto sera la première à repérer la menace et à agir. Cela suppose qu'un CRQC sera annoncé publiquement. Les adversaires des États-nations n'ont aucun incitatif à divulguer une capacité quantique. La valeur d'intelligence d'un CRQC est que personne ne sait que vous l'avez. Vous récoltez discrètement, vous déchiffrez discrètement, vous exploitez discrètement. À quoi ressemblerait "le repérage" sur Bitcoin ? Un attaquant quantique n'exploite pas un bug, ne contourne pas un pare-feu ou ne compromet pas un serveur. Ils produisent des signatures valides indiscernables de celles du propriétaire légitime, car mathématiquement, ils détiennent la même clé. Si un attaquant commence à vider des adresses P2PK, chaque vol est une transaction correctement signée. Il n'y a pas de système de détection d'intrusion pour la blockchain Bitcoin. Les transactions sont valides ou elles ne le sont pas. Au moment où quelqu'un remarque un schéma à travers des milliers d'UTXO, les dégâts sont faits et irréversibles. Et l'enregistrement empirique contredit directement l'affirmation "premier à agir". L'état actuel de préparation : un BIP sans calendrier d'activation, un débat en cours sur la question de savoir s'il faut geler les pièces de Satoshi, et une surface d'exposition vulnérable au quantique qui ne fait qu'augmenter. L'exposition augmente, pas ne diminue, car la réutilisation des adresses continue d'ajouter de plus en plus de BTC à l'ensemble vulnérable. Pendant ce temps, le reste de l'internet a déjà déployé le PQC à des milliards d'utilisateurs sans que personne ne s'en aperçoive. Où en sont réellement les choses Nous maintenons la Bitcoin Risq List, un tracker open-source, continuellement mis à jour des Bitcoin vulnérables au quantique au niveau des adresses. À la hauteur du bloc 936 882 (février 2026) : environ 6,9 millions de BTC à travers 13,9 millions d'adresses ont des clés publiques exposées. Solana est 100 % vulnérable au quantique car leur structure d'adresse expose la clé publique complète. L'analyse de Deloitte a révélé que 65 % d'Ethereum se trouve dans des comptes vulnérables au quantique. L'internet a commencé sa transition post-quantique en 2022. Les systèmes de sécurité nationale ont un mandat de conformité pour 2027. Le NIST vise à déprécier et interdire tous les algorithmes de clé publique vulnérables au quantique bien avant 2035. L'industrie de la blockchain, qui protège directement la valeur porteuse avec les primitives cryptographiques exactes qu'un ordinateur quantique casse, a un BIP et un débat. La question n'est pas de savoir si le quantique est une menace pour les actifs numériques. C'est de savoir si l'industrie commencera sa migration avant que la fenêtre ne se ferme. L'écart entre le rythme d'adoption du PQC par l'internet et le rythme de l'industrie de la blockchain n'est pas un écart de sensibilisation. C'est un écart d'urgence et, surtout, l'écart n'est pas comblé en affirmant que la menace n'existe pas.