Я изучал больше механизмов обновления после квантовых вычислений, особенно тех, которые не требуют изменения адреса. Цепочки EdDSA, которые следуют RFC-8032 (стиль Ed25519), имеют встроенное преимущество. Ваш ключ подписи не является случайным скалярным значением, он детерминированно выводится из короткого семени путем хеширования. Это означает, что вы можете доказать, что знаете семя (в звуковом с точки зрения постквантовой безопасности ZK-доказательстве) и привязать новый постквантовый ключ к тому же адресу. Никаких перемещений средств и никаких новых данных кривой в блокчейне. Даже спящие аккаунты могут быть обновлены, если семя существует. Это охватывает цепочки, такие как Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum не имеют этого инварианта по умолчанию, потому что многие ключи ECDSA были получены из "просто выберите случайный скаляр". Но есть возможный путь для больших групп, которые используют BIP-39 → BIP-32 с четко определенными путями. Вы можете доказать это точное выведение и привязать постквантовый ключ без перемещения средств. Но это специфично для кошелька и может быть сложно: - PBKDF2-HMAC-SHA512 BIP-39 (2048 раундов) дорого в ZK - BIP-32 добавляет HMAC-SHA512 и математику secp256k1 внутри схемы Тем не менее, для общих путей (например, Ethereum m/44’/60’/0’/0/x) это может быть осуществимо. В общем, есть два паттерна развертывания: 1. Одноразовое доказательство + отображение: опубликовать доказательство один раз и записать адрес → постквантовый ключ. С этого момента вы подписываете постквантовые для этого адреса. 2. Доказательство на каждую транзакцию: каждая транзакция несет одно доказательство, которое связывает семя с адресом и авторизует сообщение. Без состояния, но каждый проверяющий должен проверить доказательство. Это может исключить много цепочек, учитывая накладные расходы на производительность проверки доказательства на каждую транзакцию. Почему это работает: алгоритм Шора ломает дискретные логарифмы (поэтому системы с открытым ключом, такие как ECDSA/EdDSA, терпят неудачу, как только открытый ключ становится известен). Алгоритм Гровера дает лишь квадратичное ускорение для предобразов хешей. Поэтому, если ваш закрытый ключ выводится из семени через сильный хеш (например, SHA-512), семя остается скрытым, даже если будущая машина восстанавливает сегодняшний ключ. Вот почему дизайн "семя-сначала" в EdDSA помогает. Кроме того, вам не нужен хард-форк, чтобы начать. Перед Q-Day вы также можете привязать идентичности без ZK, перекрестно подписывая наследственный адрес и постквантовый ключ в обоих направлениях и закрепляя это во времени. Вот что мы построили с yellowpages. В посте я разбираю механику, что вы можете сэкономить сегодня на цепочках EdDSA, что вы можете реально сэкономить на ECDSA, компромиссы одноразовых против доказательств на каждую транзакцию и ограничения, о которых вам следует заботиться (обработка семян, защита от повторного использования, стоимость доказательства). Полное описание ниже.