Нова стаття від нашої команди. Постквантові HD-гаманці з повним незагартованим відкритим ключем. Гаманці лише для годинників, xpub, ієрархічне управління ключами тощо — усі вони мають доведену безпеку за стандартних ґратичних припущень. Незагартоване виведення BIP32 залежить від лінійної алгебри еліптичних кривих. Ви додаєте зсув до батьківського публічного ключа і отримуєте дійсний дочірній публічний ключ. Постквантові ґраткові схеми розривають це двома способами. Деякі схеми оточують свої публічні ключі під час генерації ключа, що руйнує лінійність. І навіть без округлення кожне виведення додає шум, який змінює статистичний профіль похідних ключів, порушуючи незв'язуваність. У цій роботі ми збудували дві споруди. Перший використовує ML-DSA для загартованого виведення з повними доказами безпеки. Другий, основний результат, використовує Raccoon-G, варіант Raccoon з секретами, розповсюдженими Гауссом. Ми пропускаємо етап округлення і публікуємо повний публічний ключ, щоб зберегти лінійність. Крім того, гаусові ключі стабільні при додаванні, тому похідні ключі залишаються в тій самій дистрибутивній сім'ї, що й нові. Це дає вам незагартоване виведення з доведеною незв'язуваністю та непідробністю за стандартних ґраткових припущень. Компроміс — більші тональності та сигнатури, а також обмежена глибина деривацій. На практиці межа глибини не є обмежувальною, оскільки реальні структури гаманця, як BIP44, використовують незагартовану деривацію лише для останніх двох рівнів. Ми реалізували обидві конструкції в Rust. Папер і Github нижче.

З повагою, Сейлор тут помиляється щодо квантового питання. Зокрема, він помиляється у чотирьох твердженнях (я зосереджуюся лише на технічних). Дозвольте мені пройтися по кожному. Твердження 1: Консенсус спільноти кібербезпеки полягає в тому, що квантова технологія не становить загрози протягом наступних 10 років, і тому негайні дії не потрібні. Такого консенсусу немає. Навпаки: кожен великий національний орган безпеки та стандартів у світі зараз активно вимагає постквантову міграцію, бо самі міграції тривають десятиліття або більше. NSA CNSA 2.0 вимагає, щоб усі нові системи національної безпеки були квантово безпечними до 2035 року, і більшість цієї роботи буде виконана в наступні 5 років. NIST опублікував фінальні стандарти PQC (ML-KEM, ML-DSA, SLH-DSA) у серпні 2024 року та випустив IR 8547, встановивши ціль — вивести всі квантово-вразливі алгоритми з відкритим ключем після 2030 року та повністю заборонити їх до 2035 року. UK NCSC встановив міграційні віхи на 2028, 2031 та 2035 роки. Це не відповіді на далеку гіпотетичну ситуацію. Це програми з дедлайнами, оскільки організації, які їх встановлюють, дійшли висновку, що починати зараз — це лише недостатньо рано. Історично від моменту стандартизації нового алгоритму до його повної інтеграції в інформаційні системи проходило багато часу. Минулі криптографічні міграції це підтверджують. Зняття SHA-1 тривало близько 7 років. Міграція AES тривала близько 5 років. Впровадження TLS 1.3 тривало 3-5 років, незважаючи на явні переваги у продуктивності. NIST вже дійшов висновку, що міграція PQC є фундаментально складнішою за будь-які з цих прецедентів. Аргумент із часовою лінією повністю ігнорує «збирай зараз-розшифровує-пізніше». Сьогодні противники збирають зашифровані дані для майбутнього розшифрування. Федеральна резервна система США опублікувала аналіз цього у вересні 2025 року, використавши Bitcoin як кейс-стаді. Загроза вже активна. Твердження 2: Коли настає квант, все оновлюється; банки, інтернет, оборона, біткоїн. Інтернет вже оновлюється. 52% людського веб-трафіку на Cloudflare використовували після квантового обміну ключами станом на грудень 2025 року, майже подвоївшись порівняно з 29% на початку року. Chrome постачає ML-KEM для TLS. Apple увімкнула PQ TLS в iOS 26. OpenSSH за замовчуванням дотримується узгодження ключів після кванту з версії 9.0. Сигнал має постквантове шифрування. AWS і Google Cloud підтримують PQC у своїх продуктах KMS. Apple додала ML-DSA та ML-KEM до CryptoKit як продакшн-API. Банки та платіжні мережі централізовані. Visa запускає оновлення прошивки або SWIFT змінює специфікацію протоколу. Оновлення TLS невидимі для кінцевих користувачів (якщо ви використовуєте Chrome, то використовуєте TLS-версію, яка підтримує постквантову версію, і ви навіть не знали). Ці системи можуть і будуть мігрувати без жодних дій клієнтів. Біткоїн не може цього зробити. Біткоїн потребує форку з глобальним децентралізованим консенсусом. Міграція сигнатур PQC категорично складніша, ніж попередні форки: підписи ML-DSA-44 мають 2 420 байтів проти 64 байтів у Schnorr, що у 38 разів більше, що порушує існуючу економіку ваги SegWit у Bitcoin, обмеження стеку скриптів (максимум 520 байт) та припущення щодо поширення транзакцій. Один підпис ML-DSA-44 плюс публічний ключ у кілька разів більший за типовий одновхідний P2WPKH сьогодні. BIP-360 і QBIP існують як (чудові) пропозиції. На жаль, жодна з них не має хронології активації. Міграція корпоративного PQC значно простіша. Це організації з виконавчими повноваженнями щодо внесення змін, спеціалізованими командами безпеки та встановленими процесами закупівель. У Bitcoin немає нічого з цього. Управління блокчейном структурно повільніше за централізоване. Кадрування «все оновлюється разом» також ігнорує проблему з постійно відкритим ключем. Коли банки оновлюють TLS, старі сесії не мають значення, вони були тимчасовими. Коли біткоїн оновиться, ~6,9 мільйона BTC з уже відкритими публічними ключами на незмінному реєстрі все ще залишаються там. Ви не можете скасувати публічний ключ із блокчейну. Ці монети мають активно переміщуватися власниками на нові квантово безпечні адреси. Приблизно 1,72 мільйона BTC у P2PK-адресах, включно з оцінками Сатоші у 1,1 мільйона BTC, ймовірно, назавжди відкриті через втрату приватних ключів. Немає банківського аналога цього. Банки не ведуть публічного, постійного, незмінного запису ключа автентифікації кожного клієнта за останні 17 років. Твердження 3: Цифрові активи мають найсучасніший криптографічний захист; Більше, ніж банківські послуги, кредитні картки, акції тощо Це поєднує недовіру з криптографічною силою. Це не одна й та сама власність. Біткойн використовує ECDSA замість secp256k1. TLS-з'єднання вашого банку використовує ECDHE через P-256 або X25519. Це той самий клас криптографічних примітивних схем еліптичних кривих, безпека яких залежить від складності задачі дискретного логарифму. Алгоритм Шорса ламає обидва однаково. Жоден із них не є «більш розвиненим» за інший. Відмінність полягає в тому, що ми називаємо архітектурою глибокого захисту навколо цього примітиву. Транзакція з використанням кредитної картки «tap-to-pay» включає: TLS з тимчасовим обміном ключами, EMV-чіп із апаратно-переплетеними ключами в сертифікованому захищеному елементі, токенізацію, щоб продавець ніколи не бачив справжній номер картки, сесійне обертання ключа, виявлення шахрайства, можливість скасування транзакцій та регуляторне страхування. Транзакція біткоїна включає: один підпис ECDSA. Це весь рівень авторизації. Немає відділу шахрайства, немає чарджбеку, немає шару перевірки особи, який міг би відрізнити легітимного власника від квантового зловмисника, що володіє тим самим похідним приватним ключем. Після того, як підроблений підпис прийнято консенсусом, передача стає незворотною. Системи, які Сейлор описує як менш безпечні, насправді вже впроваджують постквантові захисти, які Bitcoin ще не розпочав. Вони можуть це робити, бо централізовані. Децентралізація біткоїна, його основна ціннісна пропозиція, — саме те, що ускладнює його квантову міграцію складнішою, повільнішою і пізнішою, ніж у будь-якої системи, з якою він її порівнював. Твердження 4: криптоспільнота першою помітить загрозу і діятиме. Це передбачає, що CRQC буде оголошено публічно. Супротивники національних держав не мають жодних стимулів розкривати квантову можливість. Вся інтеллектуальна цінність CRQC полягає в тому, що ніхто не знає, що ви його маєте. Ти тихо збираєш врожай, тихо розшифровуєш, експлуатуєш тихо. Як би виглядало «виявлення» на Bitcoin? Квантовий атакувальник не експлуатує помилку, не обходить фаєрвол і не компрометує сервер. Вони створюють дійсні підписи, які не відрізняються від підписів законного власника, бо математично вони мають один і той самий ключ. Якщо зловмисник починає виводити P2PK-адреси, кожна крадіжка є правильно підписаною транзакцією. Для блокчейну Bitcoin немає системи виявлення вторгнень. Транзакції дійсні або ні. Коли хтось помічає закономірність у тисячах UTXO, шкода вже завдана і незворотна. І емпіричні дані прямо суперечать твердженню «перший, хто рухається». Поточний стан готовності: один BIP без терміну активації, триваюча дискусія щодо того, чи варто заморожувати монети Сатоші, і квантово-вразлива поверхня впливу, яка лише зростає. Вплив збільшується, а не зменшується, оскільки повторне використання адреси продовжує додавати все більше BTC до вразливого набору. Тим часом решта інтернету вже розгорнула PQC для мільярдів користувачів, і ніхто цього не помітив. Де справи насправді стоїть Ми підтримуємо Bitcoin Risq List — відкритий, постійно оновлюваний трекер квантово-вразливого біткоїна на рівні адреси. Станом на висоту блоку 936 882 (лютий 2026): приблизно 6,9 мільйона BTC по 13,9 мільйону адрес відкрили публічні ключі. Solana на 100% вразлива до квантів, оскільки їхня адресна структура відкриває повний публічний ключ. Аналіз Deloitte показав, що 65% Ethereum знаходиться на квантово вразливих рахунках. Інтернет розпочав свій постквантовий перехід у 2022 році. Системи національної безпеки мають вимогу відповідності на 2027 рік. NIST націлюється на виключення та заборону всіх квантово-вразливих алгоритмів відкритого ключа задовго до 2035 року. Індустрія блокчейну, яка безпосередньо захищає вартість носія за допомогою саме тих криптографічних примітивів, які ламає квантовий комп'ютер, має BIP і дискусію. Питання не в тому, чи становить квантова загроза для цифрових активів. Питання в тому, чи почне галузь свою міграцію до закриття періоду. Розрив між темпами впровадження PQC в інтернеті та темпами блокчейн-індустрії не є розривом у обізнаності. Це прогалина в терміновості, і що важливо, що ця прірва не закривається, стверджуючи, що загрози не існує.