私は、よりポスト量子アップグレードのメカニズム、特にアドレスの変更を必要としないメカニズムを検討してきました。 RFC-8032 (Ed25519 スタイル) に準拠した EdDSA チェーンには、組み込みの利点があります。署名キーは生のランダムスカラーではなく、ハッシュによって短いシードから決定論的に派生します。つまり、シードを知っていることを証明できるということです(ポスト量子音のZK証明で)、 新しいポスト量子キーを同じアドレスにバインドします。資金の移動はなく、オンチェーンに新しい曲線データもありません。休眠アカウントでもシードが存在する場合はアップグレードできます。これは、Sui、Solana、NEAR、Stellar、Aptos などのチェーンを対象としています。 ビットコイン/イーサリアムには、多くのECDSAキーが「ランダムなスカラーを選択する」ことから来ているため、デフォルトではその不変性がありません。しかし、BIP-39 → BIP-32 を使用する大規模なコホートには、明確に定義されたパスがあります。その正確な導出を証明し、資金を移動することなくポスト量子キーをバインドできます。ただし、これはウォレット固有であり、複雑になる可能性があります。 - BIP-39のPBKDF2-HMAC-SHA512(2048発)はZKで高価です - BIP-32は、回路内にHMAC-SHA512およびsecp256k1演算を追加します。 それでも、一般的なパス (イーサリアム m/44'/60'/0'/0/x など) の場合は、実行可能かもしれません。 通常、次の 2 つのデプロイ パターンがあります。 1. ワンタイム証明 + マッピング: 証明を一度公開し、ポスト量子キー→アドレスを記録します。それ以降は、そのアドレスのポストクォンタムに署名します。 2. トランザクションごとの証明: 各トランザクションには、シードをアドレスに結び付け、メッセージを承認する単一の証明が伴います。ステートレスですが、すべての検証者は証明を確認する必要があります。これにより、tx ごとの証明を検証するパフォーマンスのオーバーヘッドを考慮すると、多くのチェーンが除外される可能性があります。 これが機能する理由: Shor のアルゴリズムは個別のログを壊します (したがって、公開鍵が公開されると、ECDSA/EdDSA などの公開鍵システムは失敗します)。Groverのアルゴリズムは、ハッシュプリイメージに対して二次高速化のみを提供します。したがって、秘密鍵が強力なハッシュを介してシードから派生した場合(例: SHA-512)、将来のマシンが今日の鍵を回収した場合でも、シードは隠されたままです。そのため、EdDSA の「シードファースト」設計が役立ちます。 また、開始するのにハードフォークは必要ありません。Q-Day の前には、レガシー アドレスとポスト量子キーを両方向にクロス署名し、時間に固定することで、ZK なしで ID をバインドすることもできます。それが私たちがイエローページで構築したものです。 この投稿では、メカニズム、EdDSA チェーンで現在節約できるもの、ECDSA で現実的に節約できるもの、1 回限りの証明と tx ごとの証明のトレードオフ、および注意すべき制限 (シード処理、リプレイ保護、証明コスト) を詳しく説明します。以下の記事全文。