He estado buscando más mecanismos de actualización post-cuántica, especialmente aquellos que no requieren un cambio de dirección. Las cadenas EdDSA que siguen RFC-8032 (estilo Ed25519) tienen una ventaja incorporada. Su clave de firma no es un escalar aleatorio sin procesar, se deriva de manera determinista de una semilla corta mediante hash. Eso significa que puede demostrar que conoce la semilla (en una prueba ZK post-cuántica) y Enlazar una nueva clave post-cuántica a la misma dirección. No hay movimientos de fondos ni nuevos datos de curvas en la cadena. Incluso las cuentas inactivas se pueden actualizar si existe la semilla. Esto cubre cadenas como Sui, Solana, NEAR, Stellar, Aptos. Bitcoin / Ethereum no tienen esa invariante de forma predeterminada porque muchas claves ECDSA provienen de "simplemente elija un escalar aleatorio". Pero hay un camino posible para las grandes cohortes que usan BIP-39 → BIP-32 con caminos bien definidos. Puede probar esa derivación exacta y vincular una clave post-cuántica sin mover fondos. Pero es específico de la billetera y puede ser complejo: - El PBKDF2-HMAC-SHA512 del BIP-39 (2048 rondas) es costoso en ZK - BIP-32 agrega matemáticas HMAC-SHA512 y secp256k1 dentro del circuito Aún así, para caminos comunes (por ejemplo, Ethereum m / 44 '/ 60 '/ 0 '/0 / x), puede ser factible. Por lo general, hay dos patrones de implementación: 1. Prueba única + mapeo: publique una prueba una vez y registre la dirección → clave post-cuántica. A partir de ese momento, firmas post-quantum para esa dirección. 2. Prueba por transacción: cada transacción lleva una única prueba que vincula la semilla a la dirección y autoriza el mensaje. Sin estado, pero cada verificador debe verificar la prueba. Esto puede descartar muchas cadenas dada la sobrecarga de rendimiento de verificar la prueba por tx. Por qué funciona esto: El algoritmo de Shor rompe los registros discretos (por lo que los sistemas de clave pública como ECDSA / EdDSA fallan una vez que se expone la clave pública). El algoritmo de Grover solo proporciona una aceleración cuadrática para las preimágenes hash. Entonces, si su clave privada se deriva de una semilla a través de un hash fuerte (por ejemplo, SHA-512), la semilla permanece oculta incluso si una máquina futura recupera la clave de hoy. Es por eso que el diseño "semilla primero" en EdDSA ayuda. Además, no necesita una bifurcación dura para comenzar. Antes del Q-Day, también puede vincular identidades sin ZK firmando la dirección heredada y la clave poscuántica en ambas direcciones y anclándola al tiempo. Eso es lo que construimos con yellowpages. En la publicación, desgloso la mecánica, lo que puede ahorrar hoy en las cadenas EdDSA, lo que puede ahorrar de manera realista en ECDSA, las compensaciones de las pruebas únicas frente a las pruebas por transmisión y los límites que debe preocuparse (manejo de semillas, protección de repetición, costo de prueba). Reseña completa a continuación.