Flott tråd av @ConorDeegan4 å gjennomgå tilnærminger for post-kvantemigrasjoner uten adresseendring (også emnet for en fersk artikkel om EdDSA av @kostascrypto et al).
TLDR, kanonisk frø-til-nøkkel-derivasjon bør behandles som en førsteklasses primitiv vs en ettertanke
Jeg har sett på flere post-kvanteoppgraderingsmekanismer, spesielt de som ikke krever adresseendring.
EdDSA-kjeder som følger RFC-8032 (Ed25519-stil) har en innebygd fordel. Signeringsnøkkelen din er ikke en rå tilfeldig skalar, den er deterministisk avledet fra et kort frø ved hashing. Det betyr at du kan bevise at du kjenner frøet (i et ZK-bevis etter kvantelyd) og
binde en ny post-kvantenøkkel til samme adresse. Ingen fondsbevegelser og ingen nye kurvedata på kjeden. Selv sovende kontoer kan oppgraderes hvis frøet eksisterer. Dette dekker kjeder som Sui, Solana, NEAR, Stellar, Aptos.
Bitcoin/Ethereum har ikke den invarianten som standard fordi mange ECDSA-nøkler kom fra "bare velg en tilfeldig skalar". Men det er en mulig bane for store kohorter som bruker BIP-39 → BIP-32 med veldefinerte baner. Du kan bevise den eksakte avledningen og binde en post-kvantenøkkel uten å flytte midler. Men det er lommebokspesifikt og kan være komplekst:
- BIP-39s PBKDF2-HMAC-SHA512 (2048-runder) er kostbart i ZK
- BIP-32 legger til HMAC-SHA512 og secp256k1 matematikk inne i kretsen
Likevel, for vanlige baner (f.eks. Ethereum m/44'/60'/0'/0/x), kan det være gjennomførbart.
Vanligvis er det to distribusjonsmønstre:
1. Engangsbevis + kartlegging: publiser et bevis én gang og registrer adresse → post-kvantenøkkel. Fra da av signerer du post-quantum for den adressen.
2. Bevis per transaksjon: hver transaksjon har et enkelt bevis som knytter frøet til adressen og autoriserer meldingen. Statsløs, men hver verifikator må sjekke beviset. Dette kan utelukke mange kjeder gitt ytelseskostnadene ved å verifisere beviset per tx.
Hvorfor dette fungerer: Shors algoritme bryter diskrete logger (slik at offentlige nøkkelsystemer som ECDSA/EdDSA mislykkes når den offentlige nøkkelen er eksponert). Grovers algoritme gir bare en kvadratisk hastighet for hash-forhåndsbilder. Så hvis din private nøkkel er avledet fra et frø via en sterk hash (f.eks.
SHA-512), forblir frøet skjult selv om en fremtidig maskin gjenoppretter dagens nøkkel. Det er derfor "frø-først"-designet i EdDSA hjelper.
Du trenger heller ikke en hard gaffel for å starte. Før Q-Day kan du også binde identiteter uten ZK ved å krysssignere den eldre adressen og post-kvantenøkkelen i begge retninger og forankre den til tid. Det er det vi bygde med gule sider.
I innlegget bryter jeg ned mekanikken, hva du kan spare i dag på EdDSA-kjeder, hva du realistisk kan spare på ECDSA, avveiningene mellom engangsbevis og per-tx-bevis, og grensene du bør bry deg om (frøhåndtering, replay-beskyttelse, beviskostnad). Full artikkel nedenfor.
11,88k
10
Innholdet på denne siden er levert av tredjeparter. Med mindre annet er oppgitt, er ikke OKX forfatteren av de siterte artikkelen(e) og krever ingen opphavsrett til materialet. Innholdet er kun gitt for informasjonsformål og representerer ikke synspunktene til OKX. Det er ikke ment å være en anbefaling av noe slag og bør ikke betraktes som investeringsråd eller en oppfordring om å kjøpe eller selge digitale aktiva. I den grad generativ AI brukes til å gi sammendrag eller annen informasjon, kan slikt AI-generert innhold være unøyaktig eller inkonsekvent. Vennligst les den koblede artikkelen for mer detaljer og informasjon. OKX er ikke ansvarlig for innhold som er vert på tredjeparts nettsteder. Beholdning av digitale aktiva, inkludert stablecoins og NFT-er, innebærer en høy grad av risiko og kan svinge mye. Du bør nøye vurdere om handel eller innehav av digitale aktiva passer for deg i lys av din økonomiske tilstand.