我一直在研究更多的后量子升级机制，特别是那些不需要更改地址的机制。 遵循RFC-8032（Ed25519风格）的EdDSA链具有内置优势。您的签名密钥不是一个原始的随机标量，而是通过哈希从一个短种子确定性地派生出来的。这意味着您可以证明您知道种子（在一个后量子安全的零知识证明中），并将一个新的后量子密钥绑定到同一个地址。没有资金移动，也没有新的曲线数据上链。即使是休眠账户也可以升级，只要种子存在。这涵盖了像Sui、Solana、NEAR、Stellar、Aptos这样的链。 比特币/以太坊默认情况下没有这种不变性，因为许多ECDSA密钥来自“只需选择一个随机标量”。但是，对于使用BIP-39 → BIP-32并具有明确定义路径的大型群体，存在可能的路径。您可以证明该确切的派生，并在不移动资金的情况下绑定一个后量子密钥。但是，这与钱包特定，可能会很复杂： - BIP-39的PBKDF2-HMAC-SHA512（2048轮）在零知识证明中成本高 - BIP-32在电路内部添加了HMAC-SHA512和secp256k1数学 尽管如此，对于常见路径（例如，以太坊m/44’/60’/0’/0/x），这可能是可行的。 一般来说，有两种部署模式： 1. 一次性证明 + 映射：发布一次证明并记录地址 → 后量子密钥。从那时起，您为该地址签署后量子。 2. 每笔交易证明：每笔交易携带一个单一的证明，将种子与地址绑定并授权消息。无状态，但每个验证者必须检查证明。这可能会排除许多链，因为每笔交易验证证明的性能开销。 为什么这有效：Shor算法破坏离散对数（因此公钥系统如ECDSA/EdDSA在公钥暴露后失败）。Grover算法仅为哈希前像提供了平方加速。因此，如果您的私钥是通过强哈希（例如，SHA-512）从种子派生的，即使未来的机器恢复今天的密钥，种子仍然保持隐藏。这就是为什么EdDSA中的“种子优先”设计有帮助。 此外，您不需要硬分叉就可以开始。在Q日之前，您还可以通过在两个方向上交叉签名遗留地址和后量子密钥并将其锚定到时间来绑定身份。这就是我们与yellowpages构建的内容。 在这篇文章中，我详细分析了机制，您今天可以在EdDSA链上节省什么，您在ECDSA上可以现实地节省什么，一次性证明与每笔交易证明的权衡，以及您应该关注的限制（种子处理、重放保护、证明成本）。完整的写作在下面。