Zajmowałem się bardziej mechanizmami aktualizacji post-kwantowych, szczególnie tymi, które nie wymagają zmiany adresu. Łańcuchy EdDSA, które podążają za RFC-8032 (styl Ed25519), mają wbudowaną przewagę. Twój klucz podpisu nie jest surowym losowym skalarem, jest deterministycznie wyprowadzany z krótkiego ziarna przez haszowanie. Oznacza to, że możesz udowodnić, że znasz ziarno (w post-kwantowym dźwięcznym dowodzie ZK) i przypisać nowy klucz post-kwantowy do tego samego adresu. Żadne fundusze się nie przemieszczają i nie ma nowych danych krzywych w łańcuchu. Nawet uśpione konta mogą być zaktualizowane, jeśli ziarno istnieje. Dotyczy to łańcuchów takich jak Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum nie mają tej invariantu domyślnie, ponieważ wiele kluczy ECDSA pochodzi z "po prostu wybierz losowy skalar". Ale istnieje możliwa ścieżka dla dużych grup, które używają BIP-39 → BIP-32 z dobrze zdefiniowanymi ścieżkami. Możesz udowodnić tę dokładną derivację i przypisać klucz post-kwantowy bez przemieszczania funduszy. Ale jest to specyficzne dla portfela i może być skomplikowane: - PBKDF2-HMAC-SHA512 BIP-39 (2048 rund) jest kosztowne w ZK - BIP-32 dodaje HMAC-SHA512 i matematykę secp256k1 wewnątrz obwodu Niemniej jednak, dla wspólnych ścieżek (np. Ethereum m/44’/60’/0’/0/x) może to być wykonalne. Ogólnie istnieją dwa wzorce wdrożenia: 1. Dowód jednorazowy + mapowanie: opublikuj dowód raz i zarejestruj adres → klucz post-kwantowy. Od tego momentu podpisujesz post-kwantowo dla tego adresu. 2. Dowód na transakcję: każda transakcja niesie pojedynczy dowód, który łączy ziarno z adresem i autoryzuje wiadomość. Bezstanowy, ale każdy weryfikator musi sprawdzić dowód. To może wykluczyć wiele łańcuchów, biorąc pod uwagę narzut wydajnościowy związany z weryfikacją dowodu na każdą transakcję. Dlaczego to działa: algorytm Shora łamie logarytmy dyskretne (więc systemy kluczy publicznych, takie jak ECDSA/EdDSA, zawodzą, gdy klucz publiczny jest ujawniony). Algorytm Grovera daje tylko kwadratowe przyspieszenie dla preobrazów haszy. Więc jeśli twój klucz prywatny jest wyprowadzany z ziarna za pomocą silnego hasza (np. SHA-512), ziarno pozostaje ukryte, nawet jeśli przyszła maszyna odzyska dzisiejszy klucz. Dlatego projekt "ziarno-pierwszy" w EdDSA pomaga. Ponadto, nie potrzebujesz twardego forka, aby zacząć. Przed Dniem Q możesz również przypisać tożsamości bez ZK, krzyżowo podpisując stary adres i klucz post-kwantowy w obu kierunkach i kotwicząc to w czasie. To jest to, co zbudowaliśmy z yellowpages. W poście rozkładam mechanikę, co możesz zaoszczędzić dzisiaj na łańcuchach EdDSA, co możesz realistycznie zaoszczędzić na ECDSA, kompromisy między dowodami jednorazowymi a dowodami na transakcję oraz ograniczenia, na które powinieneś zwrócić uwagę (obsługa ziarna, ochrona przed powtórkami, koszt dowodu). Pełny artykuł poniżej.