Ny artikel från vårt team. Post-kvant-HD-plånböcker med fullständig icke-härdad härdad publik nyckel-derivation. Endast bevakningsplånböcker, xpubs, hierarkisk nyckelhantering, etc., alla med bevisbar säkerhet under standardantaganden om gitter. BIP32:s icke-härdade härledning beror på den linjära algebran av elliptiska kurvor. Du lägger till en offset till en föräldrans publika nyckel och får en giltig publik barnnyckel. Post-kvantgitterscheman bryter detta på två sätt. Vissa scheman rundar sina publika nycklar under nyckelgenereringen, vilket förstör linjäritet. Och även utan avrundning tillför varje härledning brus som förändrar den statistiska profilen för härledda nycklar och bryter olänkbarheten. I detta arbete byggde vi två konstruktioner. Den första använder ML-DSA för härdad härledning med fullständiga säkerhetsbevis. Det andra, huvudresultatet, använder Raccoon-G, en variant av Raccoon med Gauss-distribuerade hemligheter. Vi hoppar över avrundningssteget och publicerar hela den publika nyckeln för att bevara linjäritet. Dessutom är Gaussiska nycklar stabila vid addition, så härledda nycklar förblir i samma fördelningsfamilj som nya. Det ger dig icke-härdad härledning med bevisbar olänkbarhet och oförfalskbarhet enligt standardgitterantaganden. Kompromissen är större tonarter och signaturer, samt ett begränsat derivationsdjup. I praktiken är djupgränsen inte begränsande eftersom riktiga plånboksstrukturer som BIP44 ändå bara använder icke-härdad härledning för de två sista nivåerna. Vi implementerade båda konstruktionerna i Rust. Paper och Github nedan.

Med all respekt har Saylor fel här på quantum. Specifikt har han fel på fyra påståenden (jag fokuserar bara på de tekniska). Låt mig gå igenom var och en. Påstående 1: Konsensus inom cybersäkerhetsgemenskapen är att quantum inte är ett hot de kommande tio åren och därför behövs ingen omedelbar åtgärd. Det finns ingen sådan konsensus. Det motsatta är sant: varje större nationell säkerhets- och standardiseringsmyndighet i världen kräver aktivt post-kvantmigration just nu, eftersom migrationerna i sig tar ett decennium eller mer. NSA CNSA 2.0 kräver att alla nya nationella säkerhetssystem ska vara kvantsäkra före 2035, och det mesta av det arbetet görs under de kommande fem åren. NIST publicerade färdigställda PQC-standarder (ML-KEM, ML-DSA, SLH-DSA) i augusti 2024 och släppte IR 8547 som satte ett mål att avskaffa alla kvantkänsliga publika nyckelalgoritmer efter 2030 och helt förbjuda dem senast 2035. Storbritanniens NCSC satte migrationsmilstolpar för 2028, 2031 och 2035. Detta är inga svar på en avlägsen hypotetisk situation. Det här är program med efterlevnadsdeadlines eftersom organisationerna som satt dem har dragit slutsatsen att det knappt är tillräckligt tidigt att börja nu. Historiskt sett har det tagit lång tid från det att en ny algoritm standardiseras tills den är fullt integrerad i informationssystemen. Tidigare kryptografiska migrationer bekräftar detta. SHA-1:s avskrivning tog ungefär 7 år. AES-migreringen tog ungefär 5 år. TLS 1.3-lanseringen tog 3–5 år trots tydliga prestandafördelar. NIST har redan dragit slutsatsen att PQC-migration är fundamentalt mer komplex än något av dessa prejudikat. Tidslinjeargumentet ignorerar helt harvest-now-dekryptera-senare. Motståndare samlar idag in krypterad data för framtida dekryptering. USA:s centralbank publicerade en analys av detta i september 2025, med Bitcoin som fallstudie. Hotet är redan aktivt. Påstående 2: När kvantträffar uppgraderas allt; banker, internet, försvar, Bitcoin. Internet uppgraderas redan. 52 % av den mänskliga webbtrafiken på Cloudflare använde post-quantum key exchange i december 2025, nästan en fördubbling från 29 % i början av året. Chrome levererar ML-KEM för TLS. Apple aktiverade PQ TLS i iOS 26. OpenSSH har som standard använt post-quantum key agreement sedan version 9.0. Signal har post-kvantkryptering. AWS och Google Cloud stödjer PQC i sina KMS-produkter. Apple lade till ML-DSA och ML-KEM i CryptoKit som produktions-API:er. Banker och betalningsnätverk är centraliserade. Visa skickar en firmwareuppdatering eller så ändrar SWIFT en protokollspecifikation. TLS-uppgraderingar är osynliga för slutanvändare (om du använder Chrome använder du en TLS-version som stödjer post-quantum och du visste inte ens om det). Dessa system kan och kommer att migrera utan att kunderna gör något. Bitcoin kan inte göra detta. Bitcoin kräver en fork med global decentraliserad konsensus. En migration av PQC-signaturer är kategoriskt svårare än tidigare forks: ML-DSA-44-signaturer är 2 420 byte jämfört med 64 byte för Schnorr, en ökning med 38 gånger som bryter mot Bitcoins befintliga SegWit-vikt, skriptstackbegränsningar (max 520 byte) och antaganden om transaktionsspridning. En enda ML-DSA-44-signatur plus publik nyckel är flera gånger större än en hel typisk P2WPKH-förbrukning med en enda ingång idag. BIP-360 och QBIP finns som (utmärkta) förslag. Tyvärr har ingen av dem en aktiveringstidslinje. Företags-PQC-migrering är mycket enklare. Detta är organisationer med verkställande befogenheter att kräva förändringar, dedikerade säkerhetsteam och etablerade upphandlingsprocesser. Bitcoin har inget av detta. Blockkedjestyrning är strukturellt långsammare än centraliserad styrning. Inramningen "allt uppgraderas tillsammans" ignorerar också det permanent exponerade nyckelproblemet. När banker uppgraderar TLS spelar gamla sessioner ingen roll, de var flyktiga. När Bitcoin uppgraderas ligger de ~6,9 miljoner BTC med redan exponerade offentliga nycklar på den oföränderliga huvudboken fortfarande kvar. Du kan inte avpublicera en publik nyckel från en blockkedja. Dessa mynt måste aktivt flyttas av sina ägare till nya kvantsäkra adresser. Cirka 1,72 miljoner BTC i P2PK-adresser, inklusive Satoshis uppskattade 1,1 miljoner BTC, är sannolikt permanent exponerade eftersom de privata nycklarna har gått förlorade. Det finns inget motsvarande banksystem för detta. Banker upprätthåller inte en offentlig, permanent, oföränderlig registrering av varje kunds autentiseringsnyckel som sträcker sig tillbaka 17 år. Påstående 3: Digitala tillgångar har den mest avancerade kryptografiska säkerheten; mer än bank, kreditkort, aktier osv Detta blandar ihop förtroendelöshet med kryptografisk styrka. De är inte samma egendom. Bitcoin använder ECDSA istället för secp256k1. Din banks TLS-anslutning använder ECDHE över P-256 eller X25519. Dessa är samma klass av kryptografiska primitiva, elliptiska kurvscheman vars säkerhet vilar på svårigheten hos diskret logaritm. Shors algoritm bryter båda identiskt. Ingen av dem är "mer avancerad" än den andra. Det som skiljer sig är vad vi kallar försvar-in-djupet-arkitekturen runt den primitiva. En kreditkorts-tapp-för-betal-transaktion innefattar: TLS med kortvarubyte, ett EMV-chip med hårdvarubundna nycklar i ett certifierat säkert element, tokenisering så att handlaren aldrig ser det riktiga kortnumret, sessionsbaserad nyckelrotation, bedrägeridetektion, möjlighet till transaktionsåterställning och regulatorisk försäkring. En Bitcoin-transaktion innefattar: en ECDSA-signatur. Det är hela auktorisationslagrat. Ingen bedrägeriavdelning, ingen chargeback, inget identitetsverifieringslager som kan skilja en legitim ägare från en kvantangripare som har samma härledda privata nyckel. När en förfalskad underskrift väl accepteras genom konsensus är överföringen irreversibel. De system Saylor beskriver som mindre säkra implementerar faktiskt redan post-kvantskydd som Bitcoin ännu inte har startat. De kan göra detta eftersom de är centraliserade. Bitcoins decentralisering, dess kärnvärde, är just det som gör dess kvantmigration svårare, långsammare och senare än alla system han jämförde med. Påstående 4: Kryptogemenskapen kommer att vara först med att upptäcka hotet och agera. Detta förutsätter att en CRQC kommer att tillkännages offentligt. Nationens motståndare har noll incitament att avslöja en kvantkapacitet. Hela intelligensvärdet av en CRQC är att ingen vet att du har den. Du skördar tyst, du dekrypterar tyst, du utnyttjar tyst. Hur skulle "spotting it" se ut på Bitcoin? En kvantangripare utnyttjar inte en bugg, kringgår inte en brandvägg eller komprometterar en server. De ger giltiga signaturer som är omöjliga att skilja från den legitima ägarens, eftersom de matematiskt håller samma nyckel. Om en angripare börjar tömma P2PK-adresser är varje stöld en korrekt signerad transaktion. Det finns inget intrångsdetekteringssystem för Bitcoin-blockkedjan. Transaktioner är giltiga eller inte. När någon väl märker ett mönster över tusentals UTXOs är skadan redan skedd och oåterkallelig. Och det empiriska materialet motsäger direkt påståendet om att vara först ut. Det nuvarande beredskapsläget: en BIP utan aktiveringstid, en pågående debatt om huruvida Satoshis mynt ska frysas, och en kvantkänslig exponeringsyta som bara ökar. Exponeringen ökar, inte minskar, eftersom adressåteranvändning fortsätter att lägga till mer och mer BTC i den sårbara mängden. Under tiden har resten av internet redan distribuerat PQC till miljarder användare utan att någon märkt det. Var saker och ting faktiskt står till Vi underhåller Bitcoin Risq List, en öppen källkod, kontinuerligt uppdaterad spårare av kvantsårbara Bitcoin på adressnivå. Per blockhöjd 936 882 (februari 2026): cirka 6,9 miljoner BTC över 13,9 miljoner adresser har exponerade publika nycklar. Solana är 100 % kvantsårbar eftersom deras adressstruktur exponerar hela den publika nyckeln. Deloittes analys visade att 65 % av Ethereum finns i kvantkänsliga konton. Internet började sin post-kvantomställning 2022. Nationella säkerhetssystem har ett efterlevnadskrav för 2027. NIST siktar på att avveckla och förbjuda alla kvantkänsliga publika nyckelalgoritmer långt före 2035. Blockkedjeindustrin, som direkt skyddar bärarvärdet med exakt de kryptografiska primitiva principer som en kvantdator bryter, har både en BIP och en debatt. Frågan är inte om kvantmat utgör ett hot mot digitala tillgångar. Det handlar om huruvida branschen kommer att börja sin migration innan fönstret stänger. Klyftan mellan internets takt i användningen av PQC och blockkedjeindustrins takt är inte en klyfta i medvetenhet. Det är ett glapp i brådska och viktigt är att gapet inte täpps genom att påstå att hotet inte existerar.