Bài báo mới từ nhóm của chúng tôi. Ví HD hậu lượng tử với việc suy diễn khóa công khai không cứng hóa đầy đủ. Ví chỉ xem, xpubs, quản lý khóa phân cấp, v.v. tất cả đều có bảo mật có thể chứng minh dưới các giả định lưới tiêu chuẩn. Suy diễn không cứng hóa BIP32 phụ thuộc vào đại số tuyến tính của các đường cong elip. Bạn thêm một độ lệch vào khóa công khai cha và nhận được một khóa công khai con hợp lệ. Các sơ đồ lưới hậu lượng tử phá vỡ điều này theo hai cách. Một số sơ đồ làm tròn các khóa công khai của họ trong quá trình tạo khóa, điều này phá hủy tính tuyến tính. Và ngay cả khi không làm tròn, mỗi lần suy diễn thêm tiếng ồn làm thay đổi hồ sơ thống kê của các khóa được suy diễn, phá vỡ tính không liên kết. Trong công trình này, chúng tôi đã xây dựng hai cấu trúc. Cấu trúc đầu tiên sử dụng ML-DSA cho suy diễn chỉ cứng hóa với các chứng minh bảo mật đầy đủ. Cấu trúc thứ hai, kết quả chính, sử dụng Raccoon-G, một biến thể của Raccoon với các bí mật phân phối Gaussian. Chúng tôi bỏ qua bước làm tròn và công bố khóa công khai đầy đủ để bảo tồn tính tuyến tính. Hơn nữa, các phân phối Gaussian ổn định dưới phép cộng, vì vậy các khóa được suy diễn vẫn nằm trong cùng một gia đình phân phối như các khóa mới. Điều đó mang lại cho bạn suy diễn không cứng hóa với tính không liên kết và không thể giả mạo có thể chứng minh dưới các giả định lưới tiêu chuẩn. Sự đánh đổi là các khóa và chữ ký lớn hơn, và độ sâu suy diễn bị giới hạn. Trong thực tế, giới hạn độ sâu không hạn chế vì các cấu trúc ví thực tế như BIP44 chỉ sử dụng suy diễn không cứng hóa cho hai cấp độ cuối cùng. Chúng tôi đã triển khai cả hai cấu trúc trong Rust. Bài báo và Github bên dưới.

Tôn trọng mà nói, Saylor đã sai ở đây về lượng tử. Cụ thể, ông ấy đã sai về bốn tuyên bố (tôi chỉ tập trung vào những cái mang tính kỹ thuật). Hãy để tôi đi qua từng cái một. Tuyên bố 1: Sự đồng thuận của cộng đồng an ninh mạng là lượng tử không phải là một mối đe dọa trong 10 năm tới và do đó không cần hành động ngay lập tức. Không có sự đồng thuận như vậy. Ngược lại là đúng: mọi cơ quan an ninh quốc gia và tiêu chuẩn lớn trên thế giới hiện đang yêu cầu chuyển đổi sau lượng tử ngay bây giờ, vì chính các cuộc di chuyển đó mất một thập kỷ hoặc hơn. NSA CNSA 2.0 yêu cầu tất cả các Hệ thống An ninh Quốc gia mới phải an toàn trước lượng tử trước năm 2035, với phần lớn công việc đó được thực hiện trong 5 năm tới. NIST đã công bố các tiêu chuẩn PQC đã hoàn thiện (ML-KEM, ML-DSA, SLH-DSA) vào tháng 8 năm 2024 và phát hành IR 8547 đặt ra mục tiêu loại bỏ tất cả các thuật toán khóa công khai dễ bị tấn công bởi lượng tử sau năm 2030 và hoàn toàn không cho phép trước năm 2035. UK NCSC đã đặt ra các mốc chuyển đổi cho năm 2028, 2031 và 2035. Đây không phải là những phản ứng đối với một giả thuyết xa xôi. Đây là những chương trình có thời hạn tuân thủ vì các tổ chức đặt ra chúng đã kết luận rằng bắt đầu ngay bây giờ là chưa đủ sớm. Lịch sử cho thấy, đã mất một thời gian dài từ lúc một thuật toán mới được tiêu chuẩn hóa cho đến khi nó được tích hợp hoàn toàn vào các hệ thống thông tin. Các cuộc di chuyển mã hóa trong quá khứ xác nhận điều này. Việc loại bỏ SHA-1 mất khoảng 7 năm. Việc chuyển đổi AES mất khoảng 5 năm. Việc triển khai TLS 1.3 mất 3-5 năm mặc dù đã cung cấp lợi ích hiệu suất rõ ràng. NIST đã kết luận rằng việc chuyển đổi PQC về cơ bản phức tạp hơn bất kỳ tiền lệ nào trong số này. Lập luận về thời gian bỏ qua hoàn toàn việc thu thập ngay bây giờ và giải mã sau. Các đối thủ đang thu thập dữ liệu được mã hóa ngày hôm nay để giải mã trong tương lai. Cục Dự trữ Liên bang Hoa Kỳ đã công bố một phân tích về điều này vào tháng 9 năm 2025, sử dụng Bitcoin làm nghiên cứu trường hợp. Mối đe dọa đã hoạt động. Tuyên bố 2: Khi lượng tử xuất hiện, mọi thứ sẽ được nâng cấp; ngân hàng, internet, quốc phòng, Bitcoin. Internet đã đang nâng cấp. 52% lưu lượng web của con người trên Cloudflare đã sử dụng trao đổi khóa sau lượng tử vào tháng 12 năm 2025, gần gấp đôi từ 29% vào đầu năm. Chrome đã cung cấp ML-KEM cho TLS. Apple đã kích hoạt PQ TLS trong iOS 26. OpenSSH đã mặc định sử dụng thỏa thuận khóa sau lượng tử kể từ phiên bản 9.0. Signal có mã hóa sau lượng tử. AWS và Google Cloud hỗ trợ PQC trong các sản phẩm KMS của họ. Apple đã thêm ML-DSA và ML-KEM vào CryptoKit như các API sản xuất. Ngân hàng và mạng thanh toán là tập trung. Visa đẩy một bản cập nhật firmware hoặc SWIFT thay đổi một thông số giao thức. Các nâng cấp TLS là vô hình đối với người dùng cuối (nếu bạn sử dụng Chrome, bạn đang sử dụng một phiên bản TLS hỗ trợ sau lượng tử mà bạn thậm chí không biết). Những hệ thống này có thể và sẽ chuyển đổi mà không cần khách hàng của họ làm gì cả. Bitcoin không thể làm điều này. Bitcoin yêu cầu một fork với sự đồng thuận phi tập trung toàn cầu. Việc chuyển đổi chữ ký PQC khó hơn một cách rõ rệt so với các fork trước: chữ ký ML-DSA-44 có kích thước 2,420 byte so với 64 byte cho Schnorr, tăng 38 lần làm phá vỡ kinh tế trọng lượng SegWit hiện tại của Bitcoin, giới hạn ngăn xếp Script (tối đa 520 byte) và giả định về sự lan truyền giao dịch. Một chữ ký ML-DSA-44 duy nhất cộng với khóa công khai lớn hơn nhiều lần so với toàn bộ một giao dịch P2WPKH đầu vào đơn giản hiện nay. BIP-360 và QBIP tồn tại như những đề xuất (tuyệt vời). Thật không may, không cái nào có thời gian kích hoạt. Việc chuyển đổi PQC cho doanh nghiệp dễ dàng hơn nhiều. Đây là những tổ chức có quyền hành pháp để yêu cầu thay đổi, các đội ngũ bảo mật chuyên dụng và quy trình mua sắm đã được thiết lập. Bitcoin không có bất kỳ điều nào trong số này. Quản trị blockchain chậm hơn về cấu trúc so với quản trị tập trung. Khung "mọi thứ nâng cấp cùng nhau" cũng bỏ qua vấn đề khóa bị lộ vĩnh viễn. Khi các ngân hàng nâng cấp TLS, các phiên cũ không quan trọng, chúng là tạm thời. Khi Bitcoin nâng cấp, khoảng 6.9 triệu BTC với các khóa công khai đã bị lộ trên sổ cái không thể thay đổi vẫn đang ở đó. Bạn không thể xóa một khóa công khai khỏi blockchain. Những đồng coin đó cần được di chuyển một cách chủ động bởi các chủ sở hữu của chúng đến các địa chỉ an toàn trước lượng tử mới. Khoảng 1.72 triệu BTC trong các địa chỉ P2PK, bao gồm 1.1 triệu BTC ước tính của Satoshi, có khả năng bị lộ vĩnh viễn vì các khóa riêng đã bị mất. Không có tương đương ngân hàng nào cho điều này. Các ngân hàng không duy trì một hồ sơ công khai, vĩnh viễn, không thể thay đổi về mỗi khóa xác thực của khách hàng trong suốt 17 năm qua. Tuyên bố 3: Tài sản kỹ thuật số có bảo mật mã hóa tiên tiến nhất; nhiều hơn ngân hàng, thẻ tín dụng, cổ phiếu, v.v. Điều này nhầm lẫn giữa sự không tin cậy với sức mạnh mã hóa. Chúng không phải là cùng một thuộc tính. Bitcoin sử dụng ECDSA trên secp256k1. Kết nối TLS của ngân hàng của bạn sử dụng ECDHE trên P-256 hoặc X25519. Đây là cùng một loại nguyên thủy mã hóa, các sơ đồ đường cong elliptic mà độ bảo mật của chúng dựa trên độ khó của bài toán logarithm rời rạc. Thuật toán Shor phá vỡ cả hai một cách giống nhau. Không cái nào "tiên tiến hơn" cái nào. Điều khác biệt là những gì chúng ta gọi là kiến trúc phòng thủ sâu xung quanh nguyên thủy đó. Một giao dịch thẻ tín dụng tap-to-pay liên quan đến: TLS với trao đổi khóa tạm thời, một chip EMV với các khóa gắn liền với phần cứng trong một phần tử bảo mật được chứng nhận, mã hóa để thương nhân không bao giờ thấy số thẻ thực, quay vòng khóa theo phiên, phát hiện gian lận, khả năng đảo ngược giao dịch và bảo hiểm theo quy định. Một giao dịch Bitcoin liên quan đến: một chữ ký ECDSA. Đó là toàn bộ lớp ủy quyền. Không có bộ phận gian lận, không có hoàn tiền, không có lớp xác minh danh tính có thể phân biệt một chủ sở hữu hợp pháp với một kẻ tấn công lượng tử nắm giữ cùng một khóa riêng được tạo ra. Khi một chữ ký giả mạo được chấp nhận bởi sự đồng thuận, việc chuyển nhượng là không thể đảo ngược. Các hệ thống mà Saylor mô tả là kém an toàn hơn, thực tế đã triển khai các biện pháp bảo vệ sau lượng tử mà Bitcoin chưa bắt đầu. Họ có thể làm điều này vì họ là tập trung. Sự phi tập trung của Bitcoin, giá trị cốt lõi của nó, chính là điều làm cho việc chuyển đổi lượng tử của nó khó khăn hơn, chậm hơn và muộn hơn so với mọi hệ thống mà ông ấy so sánh. Tuyên bố 4: Cộng đồng crypto sẽ là những người đầu tiên phát hiện ra mối đe dọa và hành động. Điều này giả định rằng một CRQC sẽ được công bố công khai. Các đối thủ quốc gia không có động lực nào để tiết lộ khả năng lượng tử. Giá trị tình báo hoàn toàn của một CRQC là không ai biết bạn có nó. Bạn thu thập một cách lặng lẽ, bạn giải mã một cách lặng lẽ, bạn khai thác một cách lặng lẽ. Điều gì sẽ "phát hiện" trên Bitcoin? Một kẻ tấn công lượng tử không khai thác một lỗi, vượt qua một tường lửa, hoặc xâm nhập một máy chủ. Họ sản xuất các chữ ký hợp lệ không thể phân biệt với của chủ sở hữu hợp pháp, vì về mặt toán học, họ nắm giữ cùng một khóa. Nếu một kẻ tấn công bắt đầu rút tiền từ các địa chỉ P2PK, mỗi vụ trộm là một giao dịch được ký hợp lệ. Không có hệ thống phát hiện xâm nhập cho blockchain Bitcoin. Các giao dịch là hợp lệ hoặc không. Đến khi ai đó nhận thấy một mẫu trên hàng ngàn UTXO, thiệt hại đã xảy ra và không thể đảo ngược. Và hồ sơ thực nghiệm trực tiếp mâu thuẫn với tuyên bố "đầu tiên hành động". Tình trạng sẵn sàng hiện tại: một BIP không có thời gian kích hoạt, một cuộc tranh luận đang diễn ra về việc có nên đóng băng coin của Satoshi hay không, và một bề mặt dễ bị tấn công bởi lượng tử đang chỉ gia tăng. Sự phơi bày đang gia tăng, không giảm, vì việc tái sử dụng địa chỉ tiếp tục thêm nhiều BTC vào tập hợp dễ bị tổn thương hơn. Trong khi đó, phần còn lại của internet đã triển khai PQC cho hàng tỷ người dùng mà không ai nhận ra. Nơi mọi thứ thực sự đứng Chúng tôi duy trì Danh sách Rủi ro Bitcoin, một trình theo dõi mã nguồn mở, được cập nhật liên tục về Bitcoin dễ bị tổn thương trước lượng tử ở cấp địa chỉ. Tính đến chiều cao khối 936,882 (tháng 2 năm 2026): khoảng 6.9 triệu BTC trên 13.9 triệu địa chỉ đã có các khóa công khai bị lộ. Solana hoàn toàn dễ bị tổn thương trước lượng tử vì cấu trúc địa chỉ của họ phơi bày toàn bộ khóa công khai. Phân tích của Deloitte cho thấy 65% Ethereum nằm trong các tài khoản dễ bị tổn thương trước lượng tử. Internet đã bắt đầu chuyển đổi sau lượng tử vào năm 2022. Các hệ thống an ninh quốc gia có thời hạn tuân thủ vào năm 2027. NIST đặt mục tiêu loại bỏ và không cho phép tất cả các thuật toán khóa công khai dễ bị tổn thương trước lượng tử trước năm 2035. Ngành công nghiệp blockchain, ngành trực tiếp bảo vệ giá trị sở hữu với các nguyên thủy mã hóa chính xác mà một máy tính lượng tử phá vỡ, có một BIP và một cuộc tranh luận. Câu hỏi không phải là liệu lượng tử có phải là một mối đe dọa đối với tài sản kỹ thuật số hay không. Câu hỏi là liệu ngành công nghiệp có bắt đầu chuyển đổi của mình trước khi cửa sổ đóng lại. Khoảng cách giữa tốc độ áp dụng PQC của internet và tốc độ của ngành công nghiệp blockchain không phải là một khoảng cách về nhận thức. Đó là một khoảng cách về sự khẩn cấp và quan trọng, khoảng cách đó không được thu hẹp bằng cách khẳng định rằng mối đe dọa không tồn tại.